Windows 7:
Nuove funzionalità di Sicurezza
Renato Francesco Giorgini
Evangelist IT Pro
[email protected]
Agenda
Internet Explorer 8.0
User Account Control
Accesso sicuro alle reti
Controllo delle applicazioni
Sicurezza dei dati
Policy di Auditing
[email protected]
Avvertenza
Tutte le informazioni fornite in questa
sessione sono basate su una versione
preliminare di Windows 7
Le funzionalità descritte possono cambiare
nella versione definitiva di Windows 7
senza alcun preavviso da parte di
Microsoft
[email protected]
Security Development Lifecycle
Feature Lists
Quality Guidelines
Arch Docs
Schedules
Requirements
Design Testing and Verification
Specifications
Functional
Specifications
Design
Security Training
Security Kickoff
& Register with
SWI
Security
Design
Best
Practices
Security Arch &
Attack Surface
Review
Threat
Modeling
[email protected]
Development
of New Code
Implementation
Use Security
Development
Tools &
Security Best
Dev & Test
Practices
Code
Product Support
Signing A
Service Packs/
Checkpoint RTM
QFEs Security
Express
Updates
Signoff
Support
Bug Fixes
Verification
Create
Security
Docs
and Tools
For Product
Prepare
Security
Response
Plan
Release
Security
Push
Pen
Testing
Final
Security
Review
& Servicing
Security
Servicing &
Response
Execution
Windows 7 Security
Piattaforma
sicura e
affidabile
Accesso sicuro
alle reti
Costruito sulle
fondamenta di
Windows Vista
Network Access
Protection
User Account Control
personalizzabile
Nuove funzionalità di
network security
Internet Explorer 8
DirectAccess
Nuove funzionalità di
Auditing
[email protected]
Controllo e
blocco
applicazioni
AppLocker
Software Restriction
Policies
Sicurezza dei
dati e delle
informazioni
Rights Management
Services (RMS)
Encrypting File
System (EFS)
BitLocker
BitLocker To GoTM
Internet Explorer 8.0
Internet Explorer 8.0 - Security
Architettura
Internet Explorer Protected Mode
Loosely-Coupled IE
Data Execution Prevention
Address Space Layout Randomization
Gestione ActiveX
Per-User ActiveX
Per-Site ActiveX
Funzionalità Anti-malware, anti-phishing
SmartScreen Filter
Cross Site Scripting (XSS) Filter
Protezione privacy utente
InPrivate Browsing
InPrivate Filtering
[email protected]
User Account Control
Integrity Levels :
Windows Vista, Windows 7
Privilegi Amministrativi
Internet Explorer 7/8
System
High
Medium
Low
Local
System
Local Service
Network
Service
Elevated
(Admin) tokens
LUA (User)
tokens
Authenticated
Users
World
(Everyone)
Shell, Desktop e Applicazioni Utente
[email protected]
User Account Control
Ridotto il numero di prompt di UAC
E’ ora possibile personalizzare in quali casi viene
richiesto il consenso esplicito dell’utente
[email protected]
{
User Account Control
}
[email protected]
Accesso sicuro alle reti
Accesso alla Rete aziendale da remoto
Situazione attuale
Windows 7
DirectAccess
Office
Home
È difficile gestire e mantenere
aggiornati i PC sconnessi dalla rete
aziendale
Per gli utenti è complesso accedere
alle risorse aziendali (VPN)
[email protected]
Office
Home
PC gestibili in modo sicuro anche
da remoto
Connessione alla rete aziendale
sempre disponibile
DirectAccess
Internet
NAP /
NPS
Servers
Compliant Client
DirectAccess Server
Intranet
User
Data Center and Business
Critical Resources
Enterprise Network
Compliant Network
[email protected]
Intranet
User
Compliant Client
Network Access Protection (NAP)
Tecnologia di policy enforcment e
controllo degli accessi
Verifica l'Health Status dei client
Abilita l’accesso alla rete ai client
con Health Status compliant alle
policy
Not policy
compliant
Remediation
Servers
Restricted
Network
Example: Patch
Policy Servers
such as: Patch, AV
Client
DHCP, VPN
Switch/Router
[email protected]
NPS
Policy
compliant
Corporate Network
NAP: Integrazione migliorata
Terminal Server Gateway - abilitata la “Remediation”
IPSec - Gestione SA (security associations)
DirectAccess - controllo status client remoti
Forefront codename “Stirling”
Action Center:
[email protected]
Controllo delle applicazioni
Controllo e blocco applicazioni
AppLockerTM
Spesso gli utenti possono installare
applicazioni sulle loro macchine
Ci sono applicazioni eseguibili
senza installazione o installabili
senza privilegi amministrativi
[email protected]
Policy per blocco/autorizzazione
delle applicazioni
Evoluzione delle Software
Restriction Policies
{
AppLocker
}
[email protected]
Sicurezza dei dati
Protezione dei dati
Rights
Management
Services
Protezione dei documenti
da accessi non autorizzati
La protezione è “legata” al
documento protetto (mail,
USB, fileshare, HD)
Client RMS integrato in
Windows 7 e servizi RMS
presenti in Windows Server
[email protected]
Encrypting
File System
Cifratura folder e files
Necessita di NTFS
Possibilità di condividere il
file cifrato con altri utenti
Possibilità di memorizzare
le chiavi EFS su Smart Card
BitLockerTM
Consente la cifratura di un
intero disco/partizione
Configurazione
semplificata
Supporto per dispositivi
rimovibili
Supporto per Group Policy
Protezione hard disk e drive rimovibili
BitLocker To GoTM
+
Partizione di
Sistema
Partizioni
Locali
[email protected]
Partizioni Locali,
Dispositivi Rimovibili
{
Bitlocker ToGo
}
[email protected]
Policy di Auditing
Granular Audit Policy - Windows Vista
In passato l’auditing poteva riempire il registro eventi
Le 9 categorie esistenti sono state divise in
sottocategorie (circa 50…)
Windows Vista
Windows XP
[email protected]
Granular Audit Policy - Windows Vista
Non facilmente integrabili con le Group Policy
È necessiaro utilizzare degli script di logon:
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
[email protected]
Granular Audit Policy - Windows 7
Sono integrate con le Group Policy
GAP configurate nella Group Policy Management Console
E’ possibile fare il Modeling delle GAP
Sfruttano la struttura delle GPO
Policy per Dominio, Sito, Organizational Unit
Nuove funzionalità di reportistica e diagnostica
Mi permettono di tracciare i motivi di accesso/nonaccesso alle risorse
http://technet.microsoft.com/en-us/library/dd408940.aspx
http://technet.microsoft.com/en-us/magazine/2008.03.auditing.aspx
[email protected]
{
Granular Audit Policy
}
[email protected]
In conclusione
Windows 7 è stato pensato per estendere le funzionalità
di sicurezza introdotte con Windows Vista
Internet Explorer 8.0 è un browser pensato per garantire
la sicurezza nella navigazione e la gestione centralizzata
delle impostazioni del browser
I nuovi componenti di Windows 7 consentiranno
Accesso sicuro e trasparente alla rete aziendale (DirectAccess)
Strumenti per il blocco delle applicazioni non autorizzate
(AppLocker)
Funzionalità per la protezione dei dati anche su dispositivi
removibili (Bitlocker To Go)
Strumenti di Auditing più semplici da configurare e mantenere
[email protected]
[email protected]
http://blogs.technet.com/italy
© 2009 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
Scarica

DirectAccess Windows 7 - Center