Windows 7: Nuove funzionalità di Sicurezza Renato Francesco Giorgini Evangelist IT Pro [email protected] Agenda Internet Explorer 8.0 User Account Control Accesso sicuro alle reti Controllo delle applicazioni Sicurezza dei dati Policy di Auditing [email protected] Avvertenza Tutte le informazioni fornite in questa sessione sono basate su una versione preliminare di Windows 7 Le funzionalità descritte possono cambiare nella versione definitiva di Windows 7 senza alcun preavviso da parte di Microsoft [email protected] Security Development Lifecycle Feature Lists Quality Guidelines Arch Docs Schedules Requirements Design Testing and Verification Specifications Functional Specifications Design Security Training Security Kickoff & Register with SWI Security Design Best Practices Security Arch & Attack Surface Review Threat Modeling [email protected] Development of New Code Implementation Use Security Development Tools & Security Best Dev & Test Practices Code Product Support Signing A Service Packs/ Checkpoint RTM QFEs Security Express Updates Signoff Support Bug Fixes Verification Create Security Docs and Tools For Product Prepare Security Response Plan Release Security Push Pen Testing Final Security Review & Servicing Security Servicing & Response Execution Windows 7 Security Piattaforma sicura e affidabile Accesso sicuro alle reti Costruito sulle fondamenta di Windows Vista Network Access Protection User Account Control personalizzabile Nuove funzionalità di network security Internet Explorer 8 DirectAccess Nuove funzionalità di Auditing [email protected] Controllo e blocco applicazioni AppLocker Software Restriction Policies Sicurezza dei dati e delle informazioni Rights Management Services (RMS) Encrypting File System (EFS) BitLocker BitLocker To GoTM Internet Explorer 8.0 Internet Explorer 8.0 - Security Architettura Internet Explorer Protected Mode Loosely-Coupled IE Data Execution Prevention Address Space Layout Randomization Gestione ActiveX Per-User ActiveX Per-Site ActiveX Funzionalità Anti-malware, anti-phishing SmartScreen Filter Cross Site Scripting (XSS) Filter Protezione privacy utente InPrivate Browsing InPrivate Filtering [email protected] User Account Control Integrity Levels : Windows Vista, Windows 7 Privilegi Amministrativi Internet Explorer 7/8 System High Medium Low Local System Local Service Network Service Elevated (Admin) tokens LUA (User) tokens Authenticated Users World (Everyone) Shell, Desktop e Applicazioni Utente [email protected] User Account Control Ridotto il numero di prompt di UAC E’ ora possibile personalizzare in quali casi viene richiesto il consenso esplicito dell’utente [email protected] { User Account Control } [email protected] Accesso sicuro alle reti Accesso alla Rete aziendale da remoto Situazione attuale Windows 7 DirectAccess Office Home È difficile gestire e mantenere aggiornati i PC sconnessi dalla rete aziendale Per gli utenti è complesso accedere alle risorse aziendali (VPN) [email protected] Office Home PC gestibili in modo sicuro anche da remoto Connessione alla rete aziendale sempre disponibile DirectAccess Internet NAP / NPS Servers Compliant Client DirectAccess Server Intranet User Data Center and Business Critical Resources Enterprise Network Compliant Network [email protected] Intranet User Compliant Client Network Access Protection (NAP) Tecnologia di policy enforcment e controllo degli accessi Verifica l'Health Status dei client Abilita l’accesso alla rete ai client con Health Status compliant alle policy Not policy compliant Remediation Servers Restricted Network Example: Patch Policy Servers such as: Patch, AV Client DHCP, VPN Switch/Router [email protected] NPS Policy compliant Corporate Network NAP: Integrazione migliorata Terminal Server Gateway - abilitata la “Remediation” IPSec - Gestione SA (security associations) DirectAccess - controllo status client remoti Forefront codename “Stirling” Action Center: [email protected] Controllo delle applicazioni Controllo e blocco applicazioni AppLockerTM Spesso gli utenti possono installare applicazioni sulle loro macchine Ci sono applicazioni eseguibili senza installazione o installabili senza privilegi amministrativi [email protected] Policy per blocco/autorizzazione delle applicazioni Evoluzione delle Software Restriction Policies { AppLocker } [email protected] Sicurezza dei dati Protezione dei dati Rights Management Services Protezione dei documenti da accessi non autorizzati La protezione è “legata” al documento protetto (mail, USB, fileshare, HD) Client RMS integrato in Windows 7 e servizi RMS presenti in Windows Server [email protected] Encrypting File System Cifratura folder e files Necessita di NTFS Possibilità di condividere il file cifrato con altri utenti Possibilità di memorizzare le chiavi EFS su Smart Card BitLockerTM Consente la cifratura di un intero disco/partizione Configurazione semplificata Supporto per dispositivi rimovibili Supporto per Group Policy Protezione hard disk e drive rimovibili BitLocker To GoTM + Partizione di Sistema Partizioni Locali [email protected] Partizioni Locali, Dispositivi Rimovibili { Bitlocker ToGo } [email protected] Policy di Auditing Granular Audit Policy - Windows Vista In passato l’auditing poteva riempire il registro eventi Le 9 categorie esistenti sono state divise in sottocategorie (circa 50…) Windows Vista Windows XP [email protected] Granular Audit Policy - Windows Vista Non facilmente integrabili con le Group Policy È necessiaro utilizzare degli script di logon: http://support.microsoft.com/kb/921469 auditpol /set /subcategory:"user account management" /success:enable /failure:enable ... auditpol /backup /file:auditpolicy.txt xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* auditpol /restore /file:auditpolicy.txt [email protected] Granular Audit Policy - Windows 7 Sono integrate con le Group Policy GAP configurate nella Group Policy Management Console E’ possibile fare il Modeling delle GAP Sfruttano la struttura delle GPO Policy per Dominio, Sito, Organizational Unit Nuove funzionalità di reportistica e diagnostica Mi permettono di tracciare i motivi di accesso/nonaccesso alle risorse http://technet.microsoft.com/en-us/library/dd408940.aspx http://technet.microsoft.com/en-us/magazine/2008.03.auditing.aspx [email protected] { Granular Audit Policy } [email protected] In conclusione Windows 7 è stato pensato per estendere le funzionalità di sicurezza introdotte con Windows Vista Internet Explorer 8.0 è un browser pensato per garantire la sicurezza nella navigazione e la gestione centralizzata delle impostazioni del browser I nuovi componenti di Windows 7 consentiranno Accesso sicuro e trasparente alla rete aziendale (DirectAccess) Strumenti per il blocco delle applicazioni non autorizzate (AppLocker) Funzionalità per la protezione dei dati anche su dispositivi removibili (Bitlocker To Go) Strumenti di Auditing più semplici da configurare e mantenere [email protected] [email protected] http://blogs.technet.com/italy © 2009 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.