Windows XP SP2 maggiore sicurezza per i client Windows XP Nicola Pepe Senior Consultant Pulsar IT Windows XP SP2 Giorni trascorsi tra il rilascio della patch e l’exploit 331 Perchè? Patch management troppo complesso I tempi per l’exploit sono sempre più rapidi Gli exploit sono sempre più sofisticati Necessario modificare l’approcio 300 180 200 151 100 25 18 0 er Sass ter Blas achi hia/N Welc mer Slam SQL a Nimd Come? Uno “scudo” su ogni PC Tecnologie di protezione proattive anzichè reattive Un passo significativo verso piattaforme, applicazioni e dispositivi più sicuri Obiettivo: con SP2, 7 vulnerabilità su 10 sarebbero state mitigate Una sicurezza più affidabile, gestibile, evidente Più affidabile e robusto Maggiore gestibilità Enhanced Network Protection – Windows Firewall Improved Memory Protection – Data Execution Prevention Browsing più sicuro – Maggior controllo Email & Instant Messaging più sicure – gestione allegati Windows Firewall configurabile via AD Group Policy o cmd line scripting Windows Security Center amministrabile centralmente da Active Directory e Group Policy Evidenza migliorata Windows Firewall on by default Internet Explorer enhancements Windows Security Center Security features on by default Windows XP SP2 Overview Rete Protezione del sistema da attacchi sulla rete Allegati Email e Instant Messaging più sicuri Web Accesso a Internet più sicuro per le attività più comuni Memoria Protezione a livello di sistema operativo di base Windows Firewall: l’evoluzione dell’Internet Connection Firewall Benefici Rete Maggiore protezione per default dagli attacchi sulla rete Focus su utenti roaming, small business, utenti home Di cosa si tratta Allegati Windows Firewall attivo per default Maggiore configurabilità Group policy, linea di comando, setup unattended Migliore interfaccia utente Web Protezione anche in fase di avvio Supporto profili multipli PC nel Dominio (Domain) / PC stand-alone (Standard/Workgroup) Abilita file sharing su reti home con Windows Firewall attivo Memoria Impatto sulla compatibilità Alcune applicazioni potrebbero necessitare di essere configurate Porte chiuse by-default, aperte dinamicamente dal sistema Windows Firewall Configuration Entry Points Network and Internet Connections Control Panel Security Center Windows Firewall Configuration Entry Points continued… Network Connections folder Network connection property sheet Windows Firewall Windows Firewall Control Panel Windows Firewall Windows Firewall Control Panel Windows Firewall Adding exceptions Windows Firewall Compatibilità applicazioni Test eseguiti su centinaia di applicazioni Le applicazioni client funzionano per default Web browser Client Email Client IM (text messaging) Giochi multiplayer Client-Server Le applicazioni che “trasformano” un PC in un server non funzionano per default Giochi multiplayer Peer-to-Peer Amministrazione remota Client IM (voce/video, trasferimento file) Le applicazioni che necessitano di essere aggiunte manualmente alle eccezioni saranno elencate al sito http://www.microsoft.com/security/protect/ports.asp Windows Firewall Windows Firewall Notification Dialog Security Center (3 aree: firewall, patching, antivirus) Windows Firewall Allegati Email Rete Benefici Meccanismo per determinare gli allegati non sicuri Interfaccia consistente per definire l’affidabilità di un allegato Di cosa si tratta Allegati Una nuova API pubblica per gestire gli allegati in modo più sicuro (Attachment Execution Services) Per default gli allegati meno sicuri sono “no trust” Web Outlook Express, Windows Messenger, Internet Explorer modificati per usare le nuove API Anteprima del messaggio più sicura Impatto sulla compatibilità Memoria Utilizzare le nuove API nelle proprie applicazioni per una migliore user experience, e per una migliore determinazione delle implicazioni relative alla sicurezza del contenuto Email attach in Outlook Express Web Browsing Benefici Rete Accesso al web più sicuro Di cosa si tratta Allegati Web Memoria Maggiore protezione dell’area locale e della intranet Notifiche migliorate per l’esecuzione e installazione di applicazioni e controlli ActiveX – Limitazione dello spoofing I file HTML sulla macchina locale non sono in grado di eseguire script verso controlli ActiveX non sicuri, o accedere a dati attraverso il dominio Blocco di controlli ActiveX non firmati I file con errato o mancante header mime o estensione vengono bloccati Le finestre di pop-up vengono bloccate, possono essere attivate su richiesta dell’utente Impatto sulla compatibilità Le applicazioni web dovrebbero rispecchiare i default relativi alla sicurezza Pop-up Manager Problema Soluzione Gli utenti non possono controllare i pop-up sul proprio pc Alcuni exploit confondono gli utenti con pop-up e finestre di download Permette agli utenti di bloccare i pop-up Applicato solo a Internet Explorer – attivo per default Pop-up visualizzato su richiesta dell’utente Compatibilità L’utente puuò decidere di aprire un pop-up Gestione di allow-list di siti Possibile disabilitare la funzionalità Web Blocco del download automatico Problema Installazione accidentale di download indesiderati Prompt ActiveX/Download nascosto finchè l’utente non fa clic sulla barra informazioni Soluzione Web Gli ActiveX ed exe non avviati dall’utente sono bloccati – finchè l’utente non fa clic sulla barra informazioni Solo per la Zona Internet Applicato solo a IE Gli utenti possono bloccare publisher considerati non affidabili Compatibilità applicazioni Sollecitare l’utente per fare clic sulla barra informazioni Gestibile attraverso policy Prompt ActiveX/Download aggiornato per una maggiore consistenza Users can block publishers for ActiveX Gestione Add-on e rilevazione blocchi Problema L’utente ha add-on indesiderati in esecuzione nel browser Soluzione La funzionalità del pannello di controllo Gestione Add-on permette di disabilitare controlli indesiderati IE determina quali add-on hanno causato il crash e ne informa l’utente Web Pop-up Manager Hardware Execution Protection Rete Benefici Riduce l’esposizione ad alcuni buffer overrun Di cosa si tratta Allegati Sfrutta le caratteristiche dei processori a 64-bit e recenti 32-bit per permettere la sola esecuzione di codice residente in zone di memoria marcate come eseguibili Riduce la sfruttabilità dei buffer overrun Web Abilitato per default Impatto sulla compatibilità Assicurarsi che la propria applicazione non esegua Memoria codice in segmenti di dati End-user Experience Application termination (crash) experience Memory Ulteriori miglioramenti in Windows XP SP2 Include Windows Media 9 Series Player Migliori prestazioni e maggiore sicurezza rispetto alle versioni precedenti DirectX 9.0b Miglioramenti di carattere generale Bluetooth Include il supporto per Bluetooth 2.0 Client unificato Windows Local Area Network (LAN) Per l’accesso wireless LAN funzionante con un’ampia gamma di hotspot wireless, senza la necessità di installare client di terze parti Client SUS 2.0 (WUS) Client aggiornato per Software Update Services 2.0, che utilizza un nuovo motore per il reporting dello stato delle fix di sicurezza sul pc Automatic update SP2 rende più semplice l’utilizzo degli aggiornamenti automatici per le fix critiche di sicurezza Wireless LAN Bluetooth Automatic Updates Mantiene i sistemi aggiornati automaticamente “Secure by default” design goal L’infrastruttura client è la stessa usata per il Windows Update Controllabile via policy Supporta Microsoft Updates (Windows, Office, SQL, Exchange, etc.) Download optimizations Aggiornamenti di grandi dimensioni (es: Service Pack, Windows patches, ...) Ottimizzato per Windows Update Automatic Updates in Windows Automatic Updates System Tray Icon: Automatic Updates: Control Panel Automatic Updates Schedulati Automaticamente installa gli aggiornamenti all’ora predefinita Installazione immediata degli aggiornamenti che non impattano sull’operatività Notifica agli utenti eventuali necessità di riavvio Se il PC è spento all’ora predefinita, gli aggiornamenti vengono installati all’avvio Automatic Updates: Scenario aziendale (AD) Registry-based Policy support Configure AutoUpdate, Specify Intranet WU server, No auto restart, Reschedule wait time Require AutoUpdate Detection Frequency Reboot timeout and Reboot interval Support for non-administrators Intranet WU Service (SUS/WUS) compatible Client compatible with V1 and V2 servers Deadline install, uninstall support, and Scan only Update relationships: supersedence, prerequisite Client self-update Client APIs Windows Update Windows Update Windows Update Installazione allo spegnimento Sfrutta l’operazione di spegnimento del PC per mantenerlo aggiornato Obiettivo: “Secure by default” Controllabile da policy Security Center & Automatic Updates Security Center (differenti modalità operative: dominio, peer, singoli desktop) Integrazione con SUS/WUS e Active Directory Considerazioni Applicative La fase di pre-deployment è critica per il supporto delle applicazioni (test before!) Windows Firewall blocca tutte le connessioni entranti (tipo “server”) Peer-to-peer (MSN Messenger), some “agents” (e.g., backup) Solution: Group policy settings Internet Explorer decisamente più controllato Local Machine Zone Lockdown più attenzione agli eseguibili (restricted) Resizing, repositioning windows forbidden Solution evidenza nell’Information bar quando IE blocca contenuti Registry keys COM/RPC servers devono usare connessioni autenticate Solution: Registry keys oppure intervenire sull’applicazione Windows XP Service Pack 2 in sintesi Strong Security Settings Security Tools: Manageability & Control Improved & Safer User Experiences Improved Firewall New Internet Explorer with Security Improvements Safe Attachment execution Service Windows Security Center Pop-up Blocker for IE Firewall Centralized Management Smartkey Wireless Support Improved Wireless LAN support Bluetooth support built-in WM Player 9 Series and Movie Maker 2.1 Come prepararsi Documentazione tecnica su XP sp2 disponibile in: Windows XP Service Pack 2 Resources for IT Professionals http://www.microsoft.com/technet/prodtec hnol/winxppro/maintain/winxpsp2.mspx Preview scaricabile gratuitamente dal sito Microsoft per installazioni e test “pilota” Windows XP SP2 In distribuzione a settembre Download gratuito Ordinabile su CD Distribuita con diverse modalità (download, eventi, riviste) Italiano e inglese www.microsoft.com/windowsxp/sp2 Questions? © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Scarica
