In aula
Piergiorgio Malusardi
IT Pro Evangelist
[email protected]
http://blogs.technet.com/italy
Agenda
•
•
•
•
•
|
Introduzione
User Account Control
Parental Controls
Windows Firewall
Windows Meeting Space
[email protected] |
Introduzione
Strumenti semplici, leggeri che
consentano collaborazione
faccia-a-faccia e su intranet in
ogni momento e in ogni luogo
|
[email protected] |
USER ACCOUNT CONTROL
Obbiettivi di User Account Control
• Rendere il sistema più usabile per gli utenti standard
• Tutti gli utenti sono standard per default anche se fanno
logon come amministratori
• Gli amministratori usano i pieni privilegi solo per
operazioni/applicazioni amministrative
• Utenti devono fornire un consenso esplicito per
l’elevazione dei privilegi
• Alta compatibilità applicativa
|
[email protected] |
Come funziona User Account Control
Utente standard
|
Amministratore in
Admin Aproval Mode
Token di
utente con
accesso
limitato
Token di
utente con
accesso
limitato
Explorer
Explorer
[email protected] |
Token di
Admin con
accesso
completo
Gli utenti standard possono fare più cose
• Modifica della time zone
• Configurazione di connessioni wireless (WEP/WPA)
sicure
• Modifica delle impostazioni di power management
• Creazione e configurazione di VPN
• Aggiunta di device che hanno già driver installati o
ammessi dalle policy
• Lo scudo indica in modo chiaro e consistente cosa non
può fare un utente normale
|
[email protected] |
Effetti scia
Compatibilità
• Molte applicazioni erano disegnate per Win9x
– Tutti gli utenti erano amministratori
• Molte applicazioni non sono mai state provate con
utenti standard
– Sia di Microsoft che di terze parti
• Molte applicazioni con errori hanno gli stessi tipi di
problemi generali
– Accesso ai file condivisi
– Accesso a chiavi di registry condivise
|
[email protected] |
Effetti scia
Compatibilità
• La soluzione: virtualizzazione e redirezione
– Scritture:
gli accessi a file e chiavi di registry “per-macchina”
sono rediretti verso analoghe locazioni “per-utente”
– Letture:
prima sono testate le locazioni per-utente e quindi
quelle per-macchina
– Il default è “on” per gli utenti standard e “off” per gli
amministratori
|
[email protected] |
Locazioni delle redirezioni dei dati
• Molte applicazioni legacy scrivono in:
– HLKM\Software
– %SystemDrive%\Program Files, ecc
• La redirezione rimuove la necessità di elevazione dei
privilegi
– Scritture su HKLM vanno in HKU
•
HKU | <SID-utente>_classes | VirtualStore
– Scritture nelle directory di sistema redirette su locazioni perutente
•
|
%localappdata%\virtualstore
[email protected] |
(PC NON IN DOMINIO)
PARENTAL CONTROL
Parental Controls
• Possibilità di controllare:
– Giochi usabili
– Modalità di navigazione su Internet
– Modalità d’uso dei programmi di istant messaging
– Quando può essere usato il computer
|
[email protected] |
Parental Controls
|
[email protected] |
WINDOWS FIREWALL
Architettura di Windows Filtering Platform
Firewall di 3ze parti o
altra applicazione di filtro
Firewall
di Vista
API di Vista
ALE
Antivirus di 3ze
parti
Livello di stream
Livello di
trasporto
TCP/UDP
Livello di rete
Generic Filter Engine
Livello di forward
IDS di 3ze parti
NAT di 3ze parti
Livello NDIS
Nuovo stack del protocollo TCP/IP
|
Parental Control
di 3ze parti
[email protected] |
Moduli di callout
Livello di
trasporto TDI e
WinSock
User
Kernel
API di callout
Elaborazione dei pacchetti TCP/IP
Base Filtering Engine
Direzione di filtro
Ingresso
Default:
Blocca molto
Poche eccezioni
Regole di allow:
programmi, servizi
utenti, computer
protocolli, porte
|
[email protected] |
Uscita
Default:
Consente connessioni
interattive
Restringe i servizi
Regole di blocco:
programmi, servizi
utenti, computer
protocolli, porte
Confronto di funzioni
|
Windows XP SP2
Windows Vista
Direzione
Ingresso
Ingresso e uscita
Azione di default
Blocca
Configurabile per direzione
Tipi di pacchetto
TCP, UDP, alcuni ICMP
Tutti
Tipi di regole
Applicazioni, porte globali, tipi Condizioni multiple (da quintuple a
ICMP
metadati Ipsec)
Azione delle
regole
Blocca
Blocca, consente, bypass
Con logica di merge delle regole
UI e tool
Pannello di controllo, netsh
Pannello di controllo, netsh, MMC
API
COM pubbliche, C private
Più COM per esporre regole, più C per
esporre funzionalità
Gestione remota
nessuna
Via interfaccia RPC “blindata”
Group policy
File ADM
MMC, netsh
Terminologia
Eccezione, profili
Regole, categorie=profili
[email protected] |
Configurazione
• Da Pannello di Controllo: simile a Windows XP
– Poche modifiche di interfaccia
• Nuovo snap-in per MMC per tutte le funzioni extra
–
–
–
–
Snap-in “Windows Firewall with Advanced Security”
Console predefinita in Administrative Tools
Può assegnare impostazioni a computer remoti
Integra e semplifica le impostazioni di IPsec
• Nuovo insieme di comandi in:
netsh advfirewall
|
[email protected] |
Tipi di regole
Consente/nega il traffico per uno specifico
programma
Consente/nega il traffico per una specifica
Porta
porta TCP o UDP o per una lista di porte
Insieme di regole che consento a Windows
Predefinite
di funzionare in rete (es. Condivisione di
stampanti/file, assistenza remota,
amministrazione remota di servizi, ...)
Personalizzate Tutte le condizioni possibili
Programma
|
[email protected] |
Fusione e valutazione delle regole
Maggiore
Restrizione
dei servizi
Restringono le connessioni che i servizi
possono stabilire; I servizi di sistema sono
sempre configurati in modo appropriato
Restringono le connessioni per un
Regole di
particolare computer; usano IPsec per
connessione
richiedere autenticazione e autorizzazione
Minore
|
Bypass
autenticati
Consentono a specifici computer
autenticati di eludere altre regole
Regole di
blocco
Regole di
consenso
Blocco esplicito di traffico in
ingresso/uscita
Consenso esplicito per traffico in
ingresso/uscita
Comportamento di default per una
connessione
Regole di
default
[email protected] |
Eccezioni più flessibili
Account utente/computer e gruppi di Active Directory
Indirizzi IP sorgenti e destinazione (individuale o range)
Porte TCP/UDP sorgente e destinazione
Lista di porte separate da virgole (non range)
Numero di protocollo IP
Tipo di interfacce (wired, wireless, VPN/RAS)
Codici e tipi ICMP
Servizi (usate dalla profilazione dei servizi per limitare gli accessi)
|
[email protected] |
Categorie di reti
Dominio Quando un computer è in dominio e connesso al
dominio. Selezionata automaticamente
Privata
Quando un computer è connesso ad una rete privata
definita
Pubblica Tutte le altre reti
• Network Location Awareness (NLA) determina le modifiche alla rete
– Identifica le caratteristiche, assegna un GUID
• Il servizio network profile (NPS) crea un profilo della connessione
– Interfacce, DC, macchina autenticata, MAC del gateway, …
• NPS notifica al firewall quando NLA avverte delle modifiche
– Il firewall cambia categoria in 200 ms
• Se non è riconosciuto un dominio, l’utente deve specificare se il
profilo è privato o pubblico
– Si deve essere un amministratore locale per definire una rete come privata
|
[email protected] |
Cosa succede con più interfacce?
Esamina tutte
le reti connesse
Interfaccia
connessa a rete
pubblica?
Si
Profilo è
“pubblico”
|
No
Interfaccia
connessa a rete
privata?
Si
Profilo è
“privato”
[email protected] |
No
Interfacce
No
autenticate da un
DC?
Si
Profilo è
“dominio”
IPSec:iIntegrato con il firewall
• Elimina confusione e sovrapposizione di regole
• Tutte le regole di firewall sono IPsec aware
“Consenti all’applicazione foo di ricevere traffico sulla porta X solo se è
autenticata (e opzionalmente criptata) da IPsec”
“Consenti al servizio foo di ricevere traffico da un computer/utente remoto
solo se identificati da IKE”
|
[email protected] |
Policy semplificate
Non IPsec
Policy IPsec
semplificate
|
[email protected] |
Policy IPsec
Nuovi algoritmi di crittogrfici
Crittografia
AES-128
AES-192
AES-256
Scambio di chiavi P-256 (DH group 19 elliptic curve)
P-384 (DH group 20 elliptic curve)
|
[email protected] |
WINDOWS MEETING SPACE
Windows Meeting Space
• Risolve alcuni problemi di collaborazione
–
–
–
–
–
Collaborare in modo sicuro con altre persone
Unirsi facilmente a sessioni vicine o invitare persone vicine
Progettare e collaborare insieme su ogni applicazione
Condividere e modificare insieme e velocemente un file
Lavorare insieme quando non è disponibile una rete
• Facile da distribuire in azienda
– Sicurezza forte inserita nella soluzione
– Poco o nulla richiesto per configurare la rete
– Controllabile via Group Policy
• Piattaforma potente su cui è possibile sviluppare
|
[email protected] |
Architettura
Windows Meeting Space
P2P Collaboration
Services
File Replication
Services (FRS)
Stack di rete (Wireless, TCP/IP, etc.)
|
[email protected] |
Terminal Services
Come funziona
Sessione
password
Password
Canale metadati Canale
File
Canale file
Canale streaming
|
[email protected] |
Metadati per file
Token dello streaming
Sicurezza della sessione
• Fornita usando protocolli standard
• La password è usata come radice della sicurezza
• I canali Metadata, File e Streaming sono criptati
– Uso di protocolli di sicurezza standard
• Uso di WEP per connessioni basate su password
alla rete wireless ad-hoc
|
[email protected] |
Gestione via Group Policy
• Disponibilità della soluzione
• Disponibilità d’uso dell’infrastruttura Peer-toPeer
• Auditing di eventi specifici
• Disponibilità di condivisione dei File sharing e
reti wireless ad-hoc
• Possibilità di controllare la complessità delle
password
Rispettate le policy degli altri componenti del sistema
|
[email protected] |
Richieste di rete
• La tecnologia si basa su IPv6
• Sessioni su singola subnet
– Funzionano su LAN IPv4
– Non sono richiesti apparati di rete IPv6
• Sessioni su subnet multiple
– È necessaria una rete con apparati IPv6 o un server
ISATAP
|
[email protected] |
Risorse utili
• Windows Vista
http://www.microsoft.com/windowsvista
http://www.microsoft.com/italy/technet/windowsvista/intro.mspx
• P2P
http://www.microsoft.com/p2p
• IPv6:
http://www.microsoft.com/ipv6
|
[email protected] |
Per altre informazioni…
“Windows Vista ”
http://www.live.com
|
[email protected] |
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and
represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the
accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Scarica

Piergiorgio Malusardi