Sicurezza e gestione
Agenda






Bitlocker Driver Encryption
User Account Protection
Internet Explorer 7
Hardening dei servizi
Windows Vista firewall
Altre novità


Nuova autenticazione per RDP
Novità nell’auditing
BitLocker Drive Encryption e TBS

BitLocker Drive Encryption






Protezione Pre-OS


Vista enterprise e ultimate
Verifica l’integrità di del
sistema
Cripta interi volumi compresi
file di swap e di ibernazione,
chiavi di registry e file di
configurazione
Usa TPM v1.2 per validare i
componenti pre-OS
Metodi di protezione e
autenticazione
personalizzabili
Chiave di avvio su USB, PIN
Driver Microsoft per TPM

Stabilità e sicurezza

TPM Base Services (TBS)


Backup su Active Directory



Backup automatico delle
chiavi su AD
Supporto nelle Group Policy
Gestione via script




Abilita applicazioni di terze
parti
Gestione TPM
Gestione BitLocker
Tool CLI
Dismissione sicura

Cancellazione della chiave e
riuso
Richieste hardware

Trusted Platform Module (TPM) v1.2








Modulo tipo smartcard presente sulla motherboard
Esegue funzioni crittografiche (RSA, SHA-1, RNG)
Crea, salva e gestisce chiavi crittografiche
Esegue operazioni di firma digitale
Mantiene le misure (hash) della piattaforma
Ancora catena di fiducia per le chiavi e credenziali
Si autoprotegge dagli attacchi
Firmware (Convenzionale o EFI BIOS) compatibile
TCG



Stabilisce una catena della fiducia per la parte di boot pre-OS
Deve supportare le Static Root Trust Measurement (SRTM)
specificate da TCG
Vedere a www.trustedcomputinggroup.org
Struttura del disco
Le partizioni criptate
dell’OS contengono:
• OS criptato
• Page file criptato
• File temporanei criptati
• Dati criptati
• File di ibernazione
criptato
La System Partition contiene utility per il boot
(non criptate, 50MB)
MBR
Platform Configuration Registers
Funzionamento del TPM
PCR[15]
PCR[14]
PCR[13]
PCR[12]
PCR[11]
PCR[10]
PCR[9]
PCR[8]
PCR[7]
PCR[6]
PCR[5]
PCR[4]
PCR[3]
PCR[2]
PCR[1]
PCR[0]


Reset di tutti i registri e trasferimento
dell’esecuzione al Core Root of Trust
Measurement
Misura della successiva porzione del firmware in
PCR[0] e dei dati in in PCR[1] (Test hardware e
configurazione)





Codice sempre misurato prime di essere eseguito
Misure sono hash SHA-1 dei dati/codice controllato
concatenati con hash nel PCR precedente
Misure scritte in modo permanente nel PCR
Opzioni di ROM e dati in PCR[2] e [3]
MBR in PCR[4], tabella delle partizioni in PCR[5]
Platform Configuration Registers
Funzionamento del TPM
PCR[15]
PCR[14]
PCR[13]
PCR[12]
PCR[11]
PCR[10]
PCR[9]
PCR[8]
PCR[7]
PCR[6]
PCR[5]
PCR[4]
PCR[3]
PCR[2]
PCR[1]
PCR[0]

Controllo passato a MBR;



Caricamento del settore di boot





Carica il primo settore della partizione di boot attiva
in memoria
Misura i primi 512 byte in PCR[8]
Misurazione del rimanente in PCR[9] e
trasferimento dell’esecuzione
Codice di boot misura BOOTMGR in PCR[10] e
trasferisce l’esecuzione
Ogni ulteriore applicazione di boot deve essere
caricata dalla sola partizione criptata
Il BOOTMGR trasferisce il controllo al sistema
operativo
OS verifica integrità di ogni eseguibile caricato
Backup delle chiavi

Per macchine in dominio (raccomandato)

Backup automatico



Configurare Group Policy per salvare chiavi in AD
Gestione e salvataggio delle chiavi centralizzate
Macchine non in dominio


Backup su device USB
Backup su un servizio di storage web-based



OEM o 3ze-parti possono creare servizi
Backup su file
Stampa o registrazione du mezzo fisico
Ripristino in caso di problemi
Accesso
alla rete
via AD
Abilitazione della funzione
Secure Startup Recovery
Key
Deposito della chiave
per esempio via AD
L’utente rompe
il computer
x
HD della macchina rotta
inserito nella nuova macchina
x
Alert: Secure Startup Recovery
Secure Startup Recovery has failed.
Please enter your Secure Startup
Recovery Key.
**** **** **** ****
You will not be able to start up your
computer nor access your data. Your
hard drive will remain encrypted until
you can provide either the recovery
media or your recovery key.
Ok
Cancel
Close
SysAdmin sblocca e
fornisce la chiave
utente dopo aver
verificato le credenziali
x
Secure Startup Recovery Mode
You have successfully recovered
your data.
The recovery process is complete.
Close
Utente chiama SysAdmin
Configurare Active Directory

Per salvare le chiavi di ripristino in AD:





Tutti i DC devono essere al minimo Win2K3SP1
Applicare l’estensione dello schema per avere gli
attributi aggiuntivi (già presente in Windows Server
Longhorn)
Configurare i permessi sugli oggetti BitLocker e TPM
Recovery Information nello schema
Se ci sono più foreste, estendere lo schema di
tutte le foreste che devono avere macchine con
BitLocker
Dare diritti di lettura agli utenti che dovranno
poter essere assistiti
Configurare le Group Policy

Impostazioni per BitLocker in group policy




Turn on AD backup of BDE recovery information
Turn on AD backup of TPM recovery information
Configure UI experience
Abilitare il controllo del power management
per macchine con BitLocker


Impedire lo sleep mode (default)
Impedire agli utenti la modifica di questa
configurazione
EFS e Bitlocker

EFS

BitLocker
Fornisce sicurezza nel
 Fornisce sicurezza nel
contesto utente
contesto macchina –
pensato per proteggere
 Migliorato in Windows
l’OS
Vista per incrementare
la sicurezza fornita
 Protegge tutti i settori
Sono tecnologie
complementari che
all’utente (smartcards)
sulpossono
volume dicoesistere
fianco
a fianco sullo stesso volume
o su volumi
installazione
di diversi
 Non misura l’integrità
Windows, inclusi i file
dei singoli componenti
temporanei, i file di
del processo di boot
swap e ibernazione.
 Non fornisce protezione
 Non fornisce sicurezza
offline per l’OS, file
a livello utente
temporanei, file di swap
e di ibernazione

User Account Control

Lavorare come Administrator è rischioso



Spyware e Viruses rovinano le macchine
Difficile controllare gli utenti enterprise
Applicazioni che richiedono privilegi di
amministratore




Applicazioni disegnate per Win9x: tutti amministratori
Applicazioni non disegnate per utenti standard
Problemi: Accesso a file e voci di registry condivisi
Molte attività comuni in Windows richiedono
privilegi di amministratore
Utente standard in Vista può fare di più






Modifica della time zone
Configurazione di connessioni wireless
(WEP/WPA) sicure
Modifica delle impostazioni di power
management
Creazione e configurazione di VPN
Aggiungere device che hanno già driver
installati o ammessi dalle policy
Lo scudo indica in modo chiaro e
consistente cosa non può fare un utente
normale
Virtualizzazione di file e registry
Es. Internet Explorer

I tentativi di scrittura non autorizzati vengono spostati in


HKCU\Software\Microsoft\Internet Explorer\Low
Rights\Virtual
Documents and Settings\%user profile%\Local
Settings\Temporary Internet Files\Virtual
Se IE prova a scrivere qui… …viene ridiretto qui
HKCU\Software\FooBar
HKCU\Software\MS\IE\Low
Rights\Virtual\Software\FooBar
C:\Documents and
Settings\%user
profile%\FooBar
C:\Documents and
Settings\%user profile%\Local
Settings\Temporary Internet
Files\Virtual\FooBar
UAC livello 2:
Utenti standard con accesso alla password di amministrazione



Elevazione
temporanea dei
privilegi
Soluzione per gli
utenti di laptop
sconnessi
Uso verificabile in
event log
UAC livello 3:
Amministratori con restrizione all’elevazione


Configurato via GPO:
Lista “Allowed” basata su
firma digitale restringe
l’elevazione:



Codice firmato da IT
Vendors fidati (Microsoft,
Adobe, ecc..)
Scenario d’uso:


Restrizione delle installazioni
ad applicazioni fidate
Blocco di tutti i programmi
eccetto pochi che richiedono
diritti di admin
Internet Explorer 7
Protected Mode e protezione della privacy










Basato su UAP per proteggere i dati utente
Costringe IE a girare in modalità read-only (eccetto
Temporary Internet Files e History)
Blocca i tentativi di cancellare i dati utenti, modificare le
impostazioni del browser o Il folder Startup (senza
permesso dell’utente)
Richiede sempre il permesso dell’utente per installare Add-in
Riduzione dei rischi di cross-domain exploit
Opzione di ripristino dei valori di fabbrica
Avverte l’utente se inserisce dati su canali non SSL/TLS
Evidenzia la barra degli indirizzi su connessioni sicure
Evidenzia il nome di dominio se è un IP o ha caratteri
speciali
Pulizia della cache con un solo click
IE7 in Protected Mode
Broker Process
Integrity Control
IE7 in
Protected
Mode
Compat Redirector
Accesso come Admin
Installa un
driver,
Installa un
controllo
ActiveX
Modifica delle
impostazioni,
Salva
immagini
Impostazioni e file rediretti
Contenuti in cache
HKLM
HKCR
Program Files
Accesso come User
HKCU
My Documents
Startup Folder
Temp Internet Files
File e impostazioni non
fidati
Windows Vista Service Hardening
Riduzione della dimensione dei
livelli ad alto rischio
Segmentazione dei servizi
Aumento del numero di livelli
Service
…
Service
1
D
Service
A
Service
…
D
D
Service
2
Service
3
Service
B
D Kernel Drivers
D User-mode Drivers
D
D
D
Windows Vista Firewall
Altre novità
Nuovo controllo RDP
Audit











Modifiche a valori del Registry (vecchi e nuovi valori)
Modifiche in AD (vecchi e nuovi valori)
Miglioramento nell’audit delle operazioni
Eventi UAC
Miglioramento nell’audit di IPSec
RPC Call
Accesso agli share di rete
Gestione degli share di rete
Funzioni di crittografia
Eventi NAP (solo server)
Eventi IAS (RADIUS) (solo server)
Più informazioni in Event Log
Forwarded Event
SEA-WRK-002
SEA-WRK-001
SEA-DC-01
Viste riusabili
Query cross-log
System log
Application log
Security log
Eventi
Webcast per approfondire
Windows Vista I nuovi strumenti di
gestione e di monitoring
Windows Vista Tecnologie per la
protezione dei dati
Windows Vista Le novità di Windows
Firewall e di Windows
Defender
Windows Vista User Account Protection e
Service Hardening
300 60 07/11/200610:00-11:00
300 90 12/12/200610:00-11:30
300 90 19/12/200610:00-11:00
300 60 15/01/200710:00-11:00
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks
and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation.
Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft
cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.