Renato Francesco Giorgini Evangelist IT Pro [email protected] Architettura di sicurezza Sistema operativo a 64 bit Piattaforma sicura ed affidabile Controllo e blocco applicazioni Sicurezza dei dati e delle informazioni Accesso sicuro alle reti [email protected] Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 http://technet.microsoft.com/en-us/magazine/2009.05.win7.aspx?pr=blog [email protected] Feature Lists Quality Guidelines Arch Docs Schedules Requirements Design Testing and Verification Specifications Functional Specifications Design Security Training Security Kickoff & Register with SWI Security Design Best Practices Security Arch & Attack Surface Review Threat Modeling [email protected] Development of New Code Implementation Use Security Development Tools & Security Best Dev & Test Practices Code Product Support Signing A Service Packs/ Checkpoint RTM QFEs Security Express Updates Signoff Support Bug Fixes Verification Create Security Docs and Tools For Product Prepare Security Response Plan Release Security Push Pen Testing Final Security Review & Servicing Security Servicing & Response Execution Più account per i servizi, con permessi più specifici [email protected] Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi [email protected] Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema [email protected] Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dell’esposizione sulla rete [email protected] Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dell’esposizione sulla rete Isolamento tra servizi e applicazioni utente [email protected] Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dell’esposizione sulla rete Isolamento tra servizi e applicazioni utente Livelli di sicurezza differenti per sistema e applicazioni [email protected] Garantisce la protezione del Kernel Integrità Affidabilità Sicurezza È possibile modificare il Kernel solo con binari/patch prodotte e autorizzate da Microsoft Non è possibile Modificare parte di routine/binari del kernel Usare stack in kernel mode non allocati dal Kernel stesso Modificare le tabelle di sistema dei servizi No hook via KeServiceDescriptorTable Modificare l’Interrupt Dispatch Table (IDT) Modificare la Global Descriptor Table (GDT) [email protected] Verifica della firma digitale di tutto il software in Kernel Mode Verifica firma digitale e hash dei driver eseguiti in Kernel Mode su sistemi a 64 bit (e con OS a 64 bit): Winload Verifica firma digitale e hash di driver di boot, HAL e NTOSKrnl NTOSKrnl Verifica firma digitale e hash dei device driver caricati in Kernel Mode Verifica firma digitale e hash dei binari in User Mode per: Implementazione funzioni crittografiche Binari caricati nei Protected Processes per l’esecuzione di contenuti multimediali ad alta definizione [email protected] Piattaforma sicura e affidabile Costruito sulle fondamenta di Windows Vista User Account Control personalizzabile Controllo e blocco applicazioni AppLocker Software Restriction Policies Internet Explorer 8 Nuove funzionalità di Auditing [email protected] Sicurezza dei dati e delle informazioni Accesso sicuro alle reti Rights Management Services (RMS) Network Access Protection Encrypting File System (EFS) DirectAccess BitLocker BitLocker To GoTM Nuove funzionalità di network security Architettura Internet Explorer Protected Mode Loosely-Coupled IE Data Execution Prevention Address Space Layout Randomization Gestione ActiveX Per-User ActiveX Per-Site ActiveX Funzionalità Anti-malware, anti-phishing SmartScreen Filter Cross Site Scripting (XSS) Filter Protezione privacy utente InPrivate Browsing InPrivate Filtering [email protected] Architettura e funzionalità di sicurezza: www.microsoft.com/italy/beit/TechNet.aspx?video=376b8755-f6fd-4bbe-856a-609d0d2bbb37 Distribuzione centralizzata in ambito aziendale: www.microsoft.com/italy/beit/TechNet.aspx?video=471e410f-2627-4ec6-8f0f-f96e7f1257ce Gestione centralizzata tramite Group Policy: www.microsoft.com/italy/beit/TechNet.aspx?video=d839c304-1543-432f-afda-dd1720433561 [email protected] Non facilmente integrabili con le Group Policy È necessiaro utilizzare degli script di logon: http://support.microsoft.com/kb/921469 auditpol /set /subcategory:"user account management" /success:enable /failure:enable ... auditpol /backup /file:auditpolicy.txt xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* auditpol /restore /file:auditpolicy.txt [email protected] Sono integrate con le Group Policy GAP configurate nella Group Policy Management Console E’ possibile fare il Modeling delle GAP Sfruttano la struttura delle GPO Policy per Dominio, Sito, Organizational Unit Nuove funzionalità di reportistica e diagnostica Mi permettono di tracciare i motivi di accesso/nonaccesso alle risorse http://technet.microsoft.com/en-us/library/dd408940.aspx http://technet.microsoft.com/en-us/magazine/2008.03.auditing.aspx [email protected] AppLockerTM Spesso gli utenti possono installare applicazioni sulle loro macchine Ci sono applicazioni eseguibili senza installazione o installabili senza privilegi amministrativi [email protected] Policy per blocco/autorizzazione delle applicazioni Evoluzione delle Software Restriction Policies Client: Windows 7 Rights Management Services Protezione dei documenti da accessi non autorizzati La protezione è “legata” al documento protetto (mail, USB, fileshare, HD) Client RMS integrato in Windows 7 e servizi RMS presenti in Windows Server [email protected] Encrypting File System Cifratura folder e files Necessita di NTFS Possibilità di condividere il file cifrato con altri utenti Possibilità di memorizzare le chiavi EFS su Smart Card BitLockerTM Consente la cifratura di un intero disco/partizione Configurazione semplificata Supporto per dispositivi rimovibili Supporto per Group Policy SQL Server Active Directory Windows Server 2008 R2 con RMS 3 5 1 4 2 3 Autore [email protected] Destinatario BitLocker To GoTM + Partizione di Sistema Partizioni Locali [email protected] Partizioni Locali, Dispositivi Rimovibili Tecnologia di policy enforcment e controllo degli accessi Verifica l'Health Status dei client Abilita l’accesso alla rete ai client con Health Status compliant alle policy Not policy compliant Remediation Servers Restricted Network Example: Patch Policy Servers such as: Patch, AV Client DHCP, VPN Switch/Router [email protected] NPS Policy compliant Corporate Network Remote Desktop Gateway - abilitata la “Remediation” IPSec - Gestione SA (security associations) DirectAccess - controllo status client remoti Forefront codename “Stirling” Action Center Windows 7: [email protected] Permette di superare le carenze di sicurezza del servizio DNS Definito nelle RFC 4033, 4034 e 4035 Raccomandato NIST SP 800-53 DNS Server: 4 Nuovi Resource Records DNSKEY, RRSIG, NSEC, DS Supportato nei nuovi prodotti Microsoft DNS Server: Windows Server 2008 R2 DNS Client: Windows 7, Windows Server 2008 R2 Signing: Possibile solo con Static Zones Effettuato da riga di comando: DNSCmd.exe RSA/SHA-1, chiavi da 512-4096 bit Da integrare con IPSec e Group Policy [email protected] Situazione attuale DirectAccess Office Home È difficile gestire e mantenere aggiornati i PC sconnessi dalla rete aziendale Per gli utenti è complesso accedere alle risorse aziendali (VPN) [email protected] Office Home PC gestibili in modo sicuro anche da remoto Connessione alla rete aziendale sempre disponibile Client: Windows 7 Internet NAP / NPS Servers Compliant Client DirectAccess Server Windows Server 2008 R2 Intranet User Data Center and Business Critical Resources Enterprise Network Compliant Network [email protected] Intranet User Compliant Client Windows 7 Windows Server 2008 R2 Internet Information Services 7.5 Hyper-V 2.0 System Center Virtual Machine Manager Internet Explorer 8.0 Forefront “Stirling” …. [email protected] http://blogs.technet.com/italy/pages/it-pro-momentum-il-programma-perprofessionisti-it-consulenti-e-aziende-interessati-alle-nuove-tecnologie-microsoft.aspx [email protected] Windows Server 2008 R2 è costruito sulla base di Windows Server 2008 e sulla sua nuova architettura di sicurezza; Sarà solo a 64 bit, non può eseguire codice a 16 bit e ha bisogno di driver certificati digitalmente; Introduce nuove funzionalità di sicurezza, che saranno sfruttate al meglio dai client Windows 7 AppLocker, Direct Access, Bitlocker to Go, DNSSec; Le Group Policy sono lo strumento principale per gestire in azienda l’enforcment delle regole di sicurezza. [email protected] [email protected] http://blogs.technet.com/italy © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows 7, Windows Server 2008 R2 and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. [email protected]
Scarica
