Sicurezza e gestione Agenda Bitlocker Driver Encryption User Account Protection Internet Explorer 7 Hardening dei servizi Windows Vista firewall Altre novità Nuova autenticazione per RDP Novità nell’auditing BitLocker Drive Encryption e TBS BitLocker Drive Encryption Protezione Pre-OS Vista enterprise e ultimate Verifica l’integrità di del sistema Cripta interi volumi compresi file di swap e di ibernazione, chiavi di registry e file di configurazione Usa TPM v1.2 per validare i componenti pre-OS Metodi di protezione e autenticazione personalizzabili Chiave di avvio su USB, PIN Driver Microsoft per TPM Stabilità e sicurezza TPM Base Services (TBS) Backup su Active Directory Backup automatico delle chiavi su AD Supporto nelle Group Policy Gestione via script Abilita applicazioni di terze parti Gestione TPM Gestione BitLocker Tool CLI Dismissione sicura Cancellazione della chiave e riuso Richieste hardware Trusted Platform Module (TPM) v1.2 Modulo tipo smartcard presente sulla motherboard Esegue funzioni crittografiche (RSA, SHA-1, RNG) Crea, salva e gestisce chiavi crittografiche Esegue operazioni di firma digitale Mantiene le misure (hash) della piattaforma Ancora catena di fiducia per le chiavi e credenziali Si autoprotegge dagli attacchi Firmware (Convenzionale o EFI BIOS) compatibile TCG Stabilisce una catena della fiducia per la parte di boot pre-OS Deve supportare le Static Root Trust Measurement (SRTM) specificate da TCG Vedere a www.trustedcomputinggroup.org Struttura del disco Le partizioni criptate dell’OS contengono: • OS criptato • Page file criptato • File temporanei criptati • Dati criptati • File di ibernazione criptato La System Partition contiene utility per il boot (non criptate, 50MB) MBR Platform Configuration Registers Funzionamento del TPM PCR[15] PCR[14] PCR[13] PCR[12] PCR[11] PCR[10] PCR[9] PCR[8] PCR[7] PCR[6] PCR[5] PCR[4] PCR[3] PCR[2] PCR[1] PCR[0] Reset di tutti i registri e trasferimento dell’esecuzione al Core Root of Trust Measurement Misura della successiva porzione del firmware in PCR[0] e dei dati in in PCR[1] (Test hardware e configurazione) Codice sempre misurato prime di essere eseguito Misure sono hash SHA-1 dei dati/codice controllato concatenati con hash nel PCR precedente Misure scritte in modo permanente nel PCR Opzioni di ROM e dati in PCR[2] e [3] MBR in PCR[4], tabella delle partizioni in PCR[5] Platform Configuration Registers Funzionamento del TPM PCR[15] PCR[14] PCR[13] PCR[12] PCR[11] PCR[10] PCR[9] PCR[8] PCR[7] PCR[6] PCR[5] PCR[4] PCR[3] PCR[2] PCR[1] PCR[0] Controllo passato a MBR; Caricamento del settore di boot Carica il primo settore della partizione di boot attiva in memoria Misura i primi 512 byte in PCR[8] Misurazione del rimanente in PCR[9] e trasferimento dell’esecuzione Codice di boot misura BOOTMGR in PCR[10] e trasferisce l’esecuzione Ogni ulteriore applicazione di boot deve essere caricata dalla sola partizione criptata Il BOOTMGR trasferisce il controllo al sistema operativo OS verifica integrità di ogni eseguibile caricato Backup delle chiavi Per macchine in dominio (raccomandato) Backup automatico Configurare Group Policy per salvare chiavi in AD Gestione e salvataggio delle chiavi centralizzate Macchine non in dominio Backup su device USB Backup su un servizio di storage web-based OEM o 3ze-parti possono creare servizi Backup su file Stampa o registrazione du mezzo fisico Ripristino in caso di problemi Accesso alla rete via AD Abilitazione della funzione Secure Startup Recovery Key Deposito della chiave per esempio via AD L’utente rompe il computer x HD della macchina rotta inserito nella nuova macchina x Alert: Secure Startup Recovery Secure Startup Recovery has failed. Please enter your Secure Startup Recovery Key. **** **** **** **** You will not be able to start up your computer nor access your data. Your hard drive will remain encrypted until you can provide either the recovery media or your recovery key. Ok Cancel Close SysAdmin sblocca e fornisce la chiave utente dopo aver verificato le credenziali x Secure Startup Recovery Mode You have successfully recovered your data. The recovery process is complete. Close Utente chiama SysAdmin Configurare Active Directory Per salvare le chiavi di ripristino in AD: Tutti i DC devono essere al minimo Win2K3SP1 Applicare l’estensione dello schema per avere gli attributi aggiuntivi (già presente in Windows Server Longhorn) Configurare i permessi sugli oggetti BitLocker e TPM Recovery Information nello schema Se ci sono più foreste, estendere lo schema di tutte le foreste che devono avere macchine con BitLocker Dare diritti di lettura agli utenti che dovranno poter essere assistiti Configurare le Group Policy Impostazioni per BitLocker in group policy Turn on AD backup of BDE recovery information Turn on AD backup of TPM recovery information Configure UI experience Abilitare il controllo del power management per macchine con BitLocker Impedire lo sleep mode (default) Impedire agli utenti la modifica di questa configurazione EFS e Bitlocker EFS BitLocker Fornisce sicurezza nel Fornisce sicurezza nel contesto utente contesto macchina – pensato per proteggere Migliorato in Windows l’OS Vista per incrementare la sicurezza fornita Protegge tutti i settori Sono tecnologie complementari che all’utente (smartcards) sulpossono volume dicoesistere fianco a fianco sullo stesso volume o su volumi installazione di diversi Non misura l’integrità Windows, inclusi i file dei singoli componenti temporanei, i file di del processo di boot swap e ibernazione. Non fornisce protezione Non fornisce sicurezza offline per l’OS, file a livello utente temporanei, file di swap e di ibernazione User Account Control Lavorare come Administrator è rischioso Spyware e Viruses rovinano le macchine Difficile controllare gli utenti enterprise Applicazioni che richiedono privilegi di amministratore Applicazioni disegnate per Win9x: tutti amministratori Applicazioni non disegnate per utenti standard Problemi: Accesso a file e voci di registry condivisi Molte attività comuni in Windows richiedono privilegi di amministratore Utente standard in Vista può fare di più Modifica della time zone Configurazione di connessioni wireless (WEP/WPA) sicure Modifica delle impostazioni di power management Creazione e configurazione di VPN Aggiungere device che hanno già driver installati o ammessi dalle policy Lo scudo indica in modo chiaro e consistente cosa non può fare un utente normale Virtualizzazione di file e registry Es. Internet Explorer I tentativi di scrittura non autorizzati vengono spostati in HKCU\Software\Microsoft\Internet Explorer\Low Rights\Virtual Documents and Settings\%user profile%\Local Settings\Temporary Internet Files\Virtual Se IE prova a scrivere qui… …viene ridiretto qui HKCU\Software\FooBar HKCU\Software\MS\IE\Low Rights\Virtual\Software\FooBar C:\Documents and Settings\%user profile%\FooBar C:\Documents and Settings\%user profile%\Local Settings\Temporary Internet Files\Virtual\FooBar UAC livello 2: Utenti standard con accesso alla password di amministrazione Elevazione temporanea dei privilegi Soluzione per gli utenti di laptop sconnessi Uso verificabile in event log UAC livello 3: Amministratori con restrizione all’elevazione Configurato via GPO: Lista “Allowed” basata su firma digitale restringe l’elevazione: Codice firmato da IT Vendors fidati (Microsoft, Adobe, ecc..) Scenario d’uso: Restrizione delle installazioni ad applicazioni fidate Blocco di tutti i programmi eccetto pochi che richiedono diritti di admin Internet Explorer 7 Protected Mode e protezione della privacy Basato su UAP per proteggere i dati utente Costringe IE a girare in modalità read-only (eccetto Temporary Internet Files e History) Blocca i tentativi di cancellare i dati utenti, modificare le impostazioni del browser o Il folder Startup (senza permesso dell’utente) Richiede sempre il permesso dell’utente per installare Add-in Riduzione dei rischi di cross-domain exploit Opzione di ripristino dei valori di fabbrica Avverte l’utente se inserisce dati su canali non SSL/TLS Evidenzia la barra degli indirizzi su connessioni sicure Evidenzia il nome di dominio se è un IP o ha caratteri speciali Pulizia della cache con un solo click IE7 in Protected Mode Broker Process Integrity Control IE7 in Protected Mode Compat Redirector Accesso come Admin Installa un driver, Installa un controllo ActiveX Modifica delle impostazioni, Salva immagini Impostazioni e file rediretti Contenuti in cache HKLM HKCR Program Files Accesso come User HKCU My Documents Startup Folder Temp Internet Files File e impostazioni non fidati Windows Vista Service Hardening Riduzione della dimensione dei livelli ad alto rischio Segmentazione dei servizi Aumento del numero di livelli Service … Service 1 D Service A Service … D D Service 2 Service 3 Service B D Kernel Drivers D User-mode Drivers D D D Windows Vista Firewall Altre novità Nuovo controllo RDP Audit Modifiche a valori del Registry (vecchi e nuovi valori) Modifiche in AD (vecchi e nuovi valori) Miglioramento nell’audit delle operazioni Eventi UAC Miglioramento nell’audit di IPSec RPC Call Accesso agli share di rete Gestione degli share di rete Funzioni di crittografia Eventi NAP (solo server) Eventi IAS (RADIUS) (solo server) Più informazioni in Event Log Forwarded Event SEA-WRK-002 SEA-WRK-001 SEA-DC-01 Viste riusabili Query cross-log System log Application log Security log Eventi Webcast per approfondire Windows Vista I nuovi strumenti di gestione e di monitoring Windows Vista Tecnologie per la protezione dei dati Windows Vista Le novità di Windows Firewall e di Windows Defender Windows Vista User Account Protection e Service Hardening 300 60 07/11/200610:00-11:00 300 90 12/12/200610:00-11:30 300 90 19/12/200610:00-11:00 300 60 15/01/200710:00-11:00 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.