Technet Security Workshop IV
Windows XP Service Pack 2
Windows Server 2003 SP 1
Security Feature
Massimo Agrelli, CISSP
Security Solution Architect - Microsoft Services
Agenda
Windows XP Service Pack 2 (:45)
Windows Server 2003 Service Pack 1 (:15)
Microsoft Windows XP SP 2
Windows XPSP2
Giorni tra la patch e
l’exploit
331
Perchè?
Ambiente sempre più “ostile”
Exploit sempre più ravvicinati
Patch management complesso
Aiutare anche gli end-user
180
151
25
Come?
Configurazione più “restrittiva” di default
Approccio Proattivo
Un primo step nel percorso verso computer, applicazioni e device
più sicuri (TwC)
Goal: Con i cambiamenti della SP2 , 7 attuali vulnerabilità su 10
sarebbero mitigate
Oltre il “Patching”
Rendere i clienti più “resistenti”
agli attacchi anche se le patch
non sono ancora installate
Aiutare a mitigare le vulnerabilità conosciute e
non conosciute
Implementare la strategia di defense-in-depth
Creazione di una console detta “Security Center”
facile da usare anche per gli end-user
Vettori di Attacco ai Client
Malicious e-mail
attachments
Port-based
attacks
Malicious Web
content
Buffer overrun
attacks
Nuove tecnologie XP SP2
Network Protection
Firewall/RPC/DCOM
Click here
Safer Browsing
Blocking
Pop ups
Email
Email / IM – attachments
Group Policy
Windows Security Center
Improved
Maintenance
Memory – overruns reduced
Internet
Windows XP SP2
Network
Aiutare a proteggere i sistemi dagli attacchi di rete
Email/IM
Abilitare Email e
Instant Messaging più sicuri
Web
Internet più sicuro nell’utilizzo corrente
Memory
Fornire una protezione per il sistema operativo a
livello di sistema/hardware
Network/Windows Firewall
Goal
Network
Email/IM
Web
Memory
Fornire una migliore protezione dai network attacks by
default
Focus su roaming systems (laptop), small business,
home users
Cosa abbiamo fatto
Windows Firewall (successore di ICF) è attivo di default
nella maggior parte delle configurazioni:
Blocca il traffico inbound
Permette il traffico outbound
Più opzioni di configurazione
Group policy, command line, unattended setup
Migliore user interface
Boot time protection
Network/Windows Firewall 2/2
Cosa abbiamo fatto (continua)
Network
Email/IM
Web
Supporto per profili diversi
Connessione alla rete aziendale (meno restrittivo)
Connessione ad altre reti (Internet)
Permette eccezioni per File & print, Admin tools, gpmc,
RSoP etc
Disabilitazione servizi non più usati
Alerter
Messenger (net send)
Restrict anonymous connections a DCOM/RPC
Impatti sulle applicazioni
Memory
Connessioni Inbound bloccate per default
Porte in ascolto aperte solo quando l’applicazione è in
esecuzione
Cambiamenti a DCOM/RPC
Network
Email/IM
Web
Memory
Goal
• Ridurre la “superfice di attacco” di DCOM / RPC
esposta sulla rete
Cosa abbiamo fatto
• Richiedere autenticazione per default
• Abilitare la possibilità di per gli sviluppatori di
restringere le RPC interfaces alla “local machine”
• Muovere il codice di RPCSS in processi a bassi
privilegi
• Disabilitare RPC over UDP by default
Impatto per gli sviluppatori
• Dove appropriato, usare le nuove RPC API per limitare
le chiamate alla macchina locale
• Assicurarsi che le applicazioni non usino l’acecsso
anonimo
Email Attachments
Goal
Network
Un unico meccanismo per determinare gli “unsafe
attachments”
User interface comune per la gestione degli “attachment”
Cosa abbiamo fatto
Email/IM
Web
Creare una nuova API per la gestione sicura degli attach
Default configurato per bloccare gli “unsafe attachments”
Outlook Express, Windows Messenger, Internet Explorer
modificati per usare le nuove API
Open / execute attachments con i minimi privilegi possibili
Message “preview” più sicuro
Impatti per gli sviluppatori
Memory
Usare le nuove API nelle applicazioni per favorire l’utente
Le Applicazioni che si basano su email attachments
possono subire degli impatti
Web Browsing
Goal
Network
Email/IM
Web
Memory
Assicurare un uso del web più sicuro
Cosa abbiamo fatto
Lockdown delle zone: local machine e local intranet
Notifiche migliorate per l’esecuzione e installazioni
di applicazioni e ActiveX
Limitare lo spoofing dell’interfaccia utente
I Pop-up sono disabilitati (se non esplicitamente
selezionati dall’utente)
Impatto sulle applicazioni
Verificare la compatibilità delle applicazioni Web con
i nuovi default più sicuri
Verificare la compatibilità delle applicazioni Aziendali
che usano pop-up
Memory Protection
Goal
Network
Email/IM
Web
Memory
Ridurre l’esposizione dovuta ai Buffer Overflow
Cosa abbiamo fatto
Tutti gli eseguibili/binari del sistema operativo sono
stati ricompilati con “buffer security checks” per
permettere alle runtime libraries di individuare la
maggior parte dei buffer overruns dello stack
In aggiunta dei "cookies" sono stati aggiunti all’
heap per permettere alle runtime libraries di
individuare anche la maggior parte dei buffer
overruns dell’heap
Permanent Pool Overrun Checking, protezione
memoria condivisa
Impatti sulle applicazioni
Alcuni driver non certificati e con una gestione non
corretta della memoria possono non funzionare
Hardware Execution Protection
No Execution (NX)
Goal
Network
Email/IM
Web
Memory
Ridurre l’esposizione dovuta ai Buffer Overflow
Cosa abbiamo fatto
Sfruttare il supporto hardware nei nuovi processori a
64-bit e 32-bit per permettere l’esecuzione di codice
solo nelle porzioni di memoria esplicitamente
“marcate” come execute
Abilitato di default su tutti i sistemi che lo supportano
per tutto il codice binario di Windows
Impatti per gli sviluppatori
Assicurasi che il codice non esegua operazioni in un
data segment
Verificare il funzionamento in PAE mode <4GB RAM
Eseguire test del codice su processori a 64-bit e 32bit con “execution protection”
Windows XP SP2
Altri miglioramenti di Windows XP
SP2
Automatic update
SP2 rende più facile abilitare e usare Automatic Update per i
Critical Updates (Security Center, install on shutdowns)
SUS 2.0 client (WUS)
Software Update Services 2.0 Client incluso. Utilizza un motore
comune per le patch Microsoft
Windows Media 9 Series Player
Performance e Security migliorate
DirectX 9.0b
Supporto per network firewall e DirectPlay
Bluetooth
Supporto per Bluetooth 2.0
Unified Windows Local Area Network (LAN) client
Nuovo wireless LAN client più semplice e flessibile
Considerazioni per il deployment
E’ importante un test Pre-deployment
Il Firewall blocca tutte le connessioni incoming
Peer-to-peer (MSN Messenger), alcuni agenti (es. backup)
Soluzione: Group policy settings
Internet Explorer molto più restrittivo
“Local Machine Zone” molto restrittiva
Installazione ActiveX controllata
Resize e posizionamento finestre impedito
Soluzioni
“Information bar” quando IE blocca dei contenuti
Registry keys
COM/RPC server devono usare connesioni autenticate
Solutione: modificare applicazione o Registry keys
Riassunto XP SP2
Passo avanti verso il TWC
Mitigazione di una grande classe di
vulnerabilità
Network attacks
Social engineering attacks
Buffer overruns
Controllo Amministrativo di tutti i
cambiamenti
Group policy, Registry, Shell Scripts
Windows XPSP2
Cosa?
Tecnologia: Soluzioni di sicurezza attive “by default”
Diffusione: Materiale e training per clienti e partner
Processi: Patch management migliorato
Security center per aiutare gli utenti finali
Quando?
RC1: 12 Marzo 12, 2004 (Download the SP2 Preview)
RC2: Giugno 2004
Release: RC2 + 6/8 Settimane … prima delle ferie!
Reference
Main page/Download RC
http://www.microsoft.com/windowsxp/sp2
Changes to Functionality in Microsoft Windows XP
Service Pack 2
http://www.microsoft.com/technet/prodtechnol/winxppr
o/maintain/sp2chngs.mspx
Deploying Windows Firewall Settings for Windows
XP SP2
http://www.microsoft.com/downloads/details.aspx?
FamilyID=4454e0e1-61fa-447a-bdcd499f73a637d1&DisplayLang=en
Trustworthy Computing Defined
http://go.microsoft.com/fwlink/?LinkId=20970
Windows Server 2003 SP 1
Windows Server SP1 Security
Features
Includerà le security feature più rilevanti di XP SP2
(RPC, DCOM Lockdown)
“Boot-time network protection” con Windows
Firewall
Fixes, updates, rimozione di tecnologie non più
usate
(EDlin, TFTP)
Ancora meno reboot necessari dopo installazione
delle patch
Feature packs disponibili con altre funzionalità (es
Windows Update Services)
Security Configuration Wizard (SCW)
Security Configuration Wizard
Riduzione guidata della “superficie d’attacco”
Security Coverage
Operational coverage
Security per … persone normali
La configurazione basta su ruoli rende il processo più
semplice
Guida “automatizzata” oltre che “cartacea”
Soluzione testata e supportata da Microsoft
Security Configuration Wizard
Aree Coperte
Service configuration
IP packet filtering
IP security
Registry values
Audit policy
IIS (SCW diventa il lockdown tool per IIS 6)
Security Configuration Editor template
inclusion
Security Configuration Wizard
Windows Server 2003 SP1
Attualmente in fase di Beta test “ristretto”
Uscita prevista alcuni mesi dopo Windows XP
SP2 (Q4/2004)
© 2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.