Windows Server 2003
Service Pack 1
Anteprima Tecnica
Agenda
 Novità per la sicurezza dei sistemi
 Novità per la sicurezza della rete
 Opzioni di distribuzione di SP1
Sicurezza dei sistemi
Post Setup Security Updates
 Protezione dei server tra la fase di
installazione del sistema operativo e quella
degli ultimi aggiornamenti
 Windows Firewall è abilitato se non
espressamente configurato in fase di
installazione
Sicurezza dei sistemi
Post Setup Security Updates
 Invocato dopo:
 Migrazione da Windows NT4 a Windows Server
2003 SP1
 Installazione combinata di Windows Server 2003
e SP1
 NON invocata dopo:
 Aggiornamento da Windows 2000 a Windows
Server 2003 SP1
 Aggiornamento da Windows Server 2003 a SP1
Sicurezza dei sistemi
Data Execution Prevention
 Hardware DEP
 Richiede il supporto del processore
 Processore marca come non eseguibili le aree di
memoria a meno che contengano esplicitamente
codice eseguibile
 Software DEP
 Funziona su ogni processore che supporta Windows
Server 2003
 Protegge i binari di sistema da exploits relativi a
exception handling
 Problemi di compatibilità? Assenti o limitati
Sicurezza dei sistemi
Data Execution Prevention
 In Boot.ini /noexecute=PolicyLevel
 OptIn
Software DEP è abilitata
Hardware DEP abilitata solo per applicazioni specificamente
configurate
 OptOut
Software DEP e Hardware DEP abilitate. Disabilitate solo per le
applicazioni nella lista delle eccezioni
 AlwaysOn
Software DEP e Hardware DEP sempre abilitate. Le eccezioni sono
ignorate
 AlwaysOff
Software DEP e Hardware DEP sempre disabilitate
Sicurezza dei sistemi
Data Execution Prevention
 Interfaccia Grafica
 Tab Data Execution Prevention in Pannello
di Controllo | System | Advanced |
Performance |
 Configurare la lista delle eccezioni per le
applicazioni
 Disabilitare Hardware DEP
Sicurezza dei sistemi
Security Configuration Wizard
• Pannello di controllo
• Add\Remove Programs
• Windows Components
Sicurezza dei sistemi
Security Configuration Wizard
 Identifica le porte aperte
 Eseguire con i servizi e le applicazioni, necessari in
produzione, attivi
 Selezionare il ruolo del server dal DB delle
configurazioni
 Configura i servizi richiesti
 Configura le porte per Windows Firewall
 Configura la sicurezza per LDAP e SMB
 Configura le politiche di Audit
 Configura le impostazioni specifiche per il ruolo
scelto
Sicurezza dei sistemi
Security Configuration Wizard
 Configurazione salvata in file XML
 Applicata dal wizard
 Applica una politica di sicurezza esistente
 Applicata da command line
 scwcmd.exe configure /p:webserverpolicy.xml
 Usabile negli script
 Setup eseguibile in modo non presidiato con
script
Sicurezza dei sistemi
Windows Firewall
 Miglioramento di Internet Connection
Firewall (ICF)
 Non abilitato per default
 Eccetto durante l’esecuzione del Post Setup
Security Update
 Puo’ essere configurato in fase di installazione
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/wfsp2sum.mspx
Sicurezza dei sistemi
Windows Firewall
 Miglioramento di Internet Connection Firewall
(ICF)
 Non abilitato per default
 Eccetto durante l’esecuzione del Post Setup Security
Update
 Puo’ essere configurato in fase di installazione
Sicurezza in fase di boot
 Configurazione unica per tutte le NIC o specifica
per NIC
 Puo’ essere configurato per impedire le eccezioni
 Profili di configurazione multipli con GPO
Sicurezza dei sistemi
Windows Firewall
Agenda
 Novità per la sicurezza dei sistemi
 Novità per la sicurezza della rete
 Opzioni di distribuzione di SP1
Novità per la sicurezza della rete
Novità nello stack TCP/IP
 Restrizione del traffico su Raw Socket
 Metodo per creare pacchetti con un numero
inferiore di controlli di sicurezza
 Usato soprattutto dai network analyzer
TCP
UDP
non puo’ usare raw
socket
non è consentito l’uso di raw
socket con IP sorgenti diversi da
quelli presenti sulle interfacce di
rete delle macchina
 Si riduce la possibilità di spoofing e DDOS
Novità per la sicurezza della rete
Novità nello stack TCP/IP
 Limitazione del numero di connessioni
TCP incomplete in uscita
 Al raggiungimento del limite le successive
richieste vengono accodate e smaltite ad
un rate costante
 Limita la velocità di diffusione di virus e
worm
Novità per la sicurezza della rete
Novità nello stack TCP/IP
 Winsock self-healing
 Winsock fornisce il supporto alle applicazioni per la
gestione dei socket
 Estensibile attraverso Layered Service Provider
 Quando qualche LSP ha problemi la sua rimozione
puo’ portare alla corruzione del catalogo Winsock in
registry e alla perdita di connessione di rete
 SP1 risolve il problema risistemando il registry dopo la
disinstallazione di un LSP
 netsh winsock reset catalog (riporta al default)
 netsh winsock show catalog (elenco dei LSP)
Network Security Enhancements
WebDAV redirector
 WebDAV Redirector consente l’uso di
WebDAV server come normali file server
 Disabilitazione per default della Basic
Authentication su canali in chiaro
 Riabilitabile modificando la voce di registry:
HKLM\system\CurrentControlSet\Services\WebClient\Pa
rameters\UseBasicAuth
Novità per la sicurezza della rete
Wireless Provisioning Services (WPS)
 Fornisce a WISP, HSP e alle aziende un metodo per
inviare informazioni di provisioning e configurazione ai
client mobile
 È un’estensione dei servizi wireless già presenti in
(Wireless AutoConfig, WAP, PEAP)
 Modifica IAS per consentire la Guest AuthN in fase di
Provisioning
 È possibile fornire servizi di accesso Wireless in località
diverse anche con nome di rete diverso agli utenti
 Dopo il loggato o il Provisioning in una località l’utente
potrà usare le stesse informazioni in altre località
 Wireless AutoConfig sceglierà la rete corretta in base alle
informazioni contenute nel file di provisioning
 Dati di provisioning mantenuti aggiornati automaticamente
Novità per la sicurezza della rete
Wireless Provisioning Services (WPS)
 La prima connessione prevede le seguenti fasi:
 Il computer determina la presenza di una rete
wireless e mostra le relative informazioni all’utente
 L’utente esegue il logon con un account guest e il
computer è connesso alla rete wireless
 Il computer scarica una serie di file XML che servono
per gestire la fase di provisioning e viene avviato un
Wizard che guida l’utente nella creazione (acquisto?)
di un account
 Quando l’account è creato viene inviato al client un
file XML con le nuove credenziali e le informazioni di
configurazioni di WAC e 802.1.x.
 Viene effettuata una riconnessione con le nuove
credenziali (PEAP-MSCHAPv2) e l’accesso alla rete
è completato
Novità per la sicurezza della rete
Wireless Network Setup Wizard
 Consente la creazione semplificata di
configurazioni per HW wireless
 La configurazione effettuata può essere
salvata in un file XML e questo può essere
usato per configurare altri computer
 In futuro lo stesso meccanismo sarà usato
per la configurazione di reti WAN e LAN
Agenda
 Novità per la sicurezza dei sistemi
 Novità per la sicurezza della rete
 Opzioni di distribuzione di SP1
Opzioni di distribuzione di SP1
Distribuzione di SP1
 Installazione manuale
 Slipstreaming
 Immagine software
 Installazione con scripted
© 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.