In aula Piergiorgio Malusardi IT Pro Evangelist [email protected] http://blogs.technet.com/italy Agenda • • • • • | Introduzione User Account Control Parental Controls Windows Firewall Windows Meeting Space [email protected] | Introduzione Strumenti semplici, leggeri che consentano collaborazione faccia-a-faccia e su intranet in ogni momento e in ogni luogo | [email protected] | USER ACCOUNT CONTROL Obbiettivi di User Account Control • Rendere il sistema più usabile per gli utenti standard • Tutti gli utenti sono standard per default anche se fanno logon come amministratori • Gli amministratori usano i pieni privilegi solo per operazioni/applicazioni amministrative • Utenti devono fornire un consenso esplicito per l’elevazione dei privilegi • Alta compatibilità applicativa | [email protected] | Come funziona User Account Control Utente standard | Amministratore in Admin Aproval Mode Token di utente con accesso limitato Token di utente con accesso limitato Explorer Explorer [email protected] | Token di Admin con accesso completo Gli utenti standard possono fare più cose • Modifica della time zone • Configurazione di connessioni wireless (WEP/WPA) sicure • Modifica delle impostazioni di power management • Creazione e configurazione di VPN • Aggiunta di device che hanno già driver installati o ammessi dalle policy • Lo scudo indica in modo chiaro e consistente cosa non può fare un utente normale | [email protected] | Effetti scia Compatibilità • Molte applicazioni erano disegnate per Win9x – Tutti gli utenti erano amministratori • Molte applicazioni non sono mai state provate con utenti standard – Sia di Microsoft che di terze parti • Molte applicazioni con errori hanno gli stessi tipi di problemi generali – Accesso ai file condivisi – Accesso a chiavi di registry condivise | [email protected] | Effetti scia Compatibilità • La soluzione: virtualizzazione e redirezione – Scritture: gli accessi a file e chiavi di registry “per-macchina” sono rediretti verso analoghe locazioni “per-utente” – Letture: prima sono testate le locazioni per-utente e quindi quelle per-macchina – Il default è “on” per gli utenti standard e “off” per gli amministratori | [email protected] | Locazioni delle redirezioni dei dati • Molte applicazioni legacy scrivono in: – HLKM\Software – %SystemDrive%\Program Files, ecc • La redirezione rimuove la necessità di elevazione dei privilegi – Scritture su HKLM vanno in HKU • HKU | <SID-utente>_classes | VirtualStore – Scritture nelle directory di sistema redirette su locazioni perutente • | %localappdata%\virtualstore [email protected] | (PC NON IN DOMINIO) PARENTAL CONTROL Parental Controls • Possibilità di controllare: – Giochi usabili – Modalità di navigazione su Internet – Modalità d’uso dei programmi di istant messaging – Quando può essere usato il computer | [email protected] | Parental Controls | [email protected] | WINDOWS FIREWALL Architettura di Windows Filtering Platform Firewall di 3ze parti o altra applicazione di filtro Firewall di Vista API di Vista ALE Antivirus di 3ze parti Livello di stream Livello di trasporto TCP/UDP Livello di rete Generic Filter Engine Livello di forward IDS di 3ze parti NAT di 3ze parti Livello NDIS Nuovo stack del protocollo TCP/IP | Parental Control di 3ze parti [email protected] | Moduli di callout Livello di trasporto TDI e WinSock User Kernel API di callout Elaborazione dei pacchetti TCP/IP Base Filtering Engine Direzione di filtro Ingresso Default: Blocca molto Poche eccezioni Regole di allow: programmi, servizi utenti, computer protocolli, porte | [email protected] | Uscita Default: Consente connessioni interattive Restringe i servizi Regole di blocco: programmi, servizi utenti, computer protocolli, porte Confronto di funzioni | Windows XP SP2 Windows Vista Direzione Ingresso Ingresso e uscita Azione di default Blocca Configurabile per direzione Tipi di pacchetto TCP, UDP, alcuni ICMP Tutti Tipi di regole Applicazioni, porte globali, tipi Condizioni multiple (da quintuple a ICMP metadati Ipsec) Azione delle regole Blocca Blocca, consente, bypass Con logica di merge delle regole UI e tool Pannello di controllo, netsh Pannello di controllo, netsh, MMC API COM pubbliche, C private Più COM per esporre regole, più C per esporre funzionalità Gestione remota nessuna Via interfaccia RPC “blindata” Group policy File ADM MMC, netsh Terminologia Eccezione, profili Regole, categorie=profili [email protected] | Configurazione • Da Pannello di Controllo: simile a Windows XP – Poche modifiche di interfaccia • Nuovo snap-in per MMC per tutte le funzioni extra – – – – Snap-in “Windows Firewall with Advanced Security” Console predefinita in Administrative Tools Può assegnare impostazioni a computer remoti Integra e semplifica le impostazioni di IPsec • Nuovo insieme di comandi in: netsh advfirewall | [email protected] | Tipi di regole Consente/nega il traffico per uno specifico programma Consente/nega il traffico per una specifica Porta porta TCP o UDP o per una lista di porte Insieme di regole che consento a Windows Predefinite di funzionare in rete (es. Condivisione di stampanti/file, assistenza remota, amministrazione remota di servizi, ...) Personalizzate Tutte le condizioni possibili Programma | [email protected] | Fusione e valutazione delle regole Maggiore Restrizione dei servizi Restringono le connessioni che i servizi possono stabilire; I servizi di sistema sono sempre configurati in modo appropriato Restringono le connessioni per un Regole di particolare computer; usano IPsec per connessione richiedere autenticazione e autorizzazione Minore | Bypass autenticati Consentono a specifici computer autenticati di eludere altre regole Regole di blocco Regole di consenso Blocco esplicito di traffico in ingresso/uscita Consenso esplicito per traffico in ingresso/uscita Comportamento di default per una connessione Regole di default [email protected] | Eccezioni più flessibili Account utente/computer e gruppi di Active Directory Indirizzi IP sorgenti e destinazione (individuale o range) Porte TCP/UDP sorgente e destinazione Lista di porte separate da virgole (non range) Numero di protocollo IP Tipo di interfacce (wired, wireless, VPN/RAS) Codici e tipi ICMP Servizi (usate dalla profilazione dei servizi per limitare gli accessi) | [email protected] | Categorie di reti Dominio Quando un computer è in dominio e connesso al dominio. Selezionata automaticamente Privata Quando un computer è connesso ad una rete privata definita Pubblica Tutte le altre reti • Network Location Awareness (NLA) determina le modifiche alla rete – Identifica le caratteristiche, assegna un GUID • Il servizio network profile (NPS) crea un profilo della connessione – Interfacce, DC, macchina autenticata, MAC del gateway, … • NPS notifica al firewall quando NLA avverte delle modifiche – Il firewall cambia categoria in 200 ms • Se non è riconosciuto un dominio, l’utente deve specificare se il profilo è privato o pubblico – Si deve essere un amministratore locale per definire una rete come privata | [email protected] | Cosa succede con più interfacce? Esamina tutte le reti connesse Interfaccia connessa a rete pubblica? Si Profilo è “pubblico” | No Interfaccia connessa a rete privata? Si Profilo è “privato” [email protected] | No Interfacce No autenticate da un DC? Si Profilo è “dominio” IPSec:iIntegrato con il firewall • Elimina confusione e sovrapposizione di regole • Tutte le regole di firewall sono IPsec aware “Consenti all’applicazione foo di ricevere traffico sulla porta X solo se è autenticata (e opzionalmente criptata) da IPsec” “Consenti al servizio foo di ricevere traffico da un computer/utente remoto solo se identificati da IKE” | [email protected] | Policy semplificate Non IPsec Policy IPsec semplificate | [email protected] | Policy IPsec Nuovi algoritmi di crittogrfici Crittografia AES-128 AES-192 AES-256 Scambio di chiavi P-256 (DH group 19 elliptic curve) P-384 (DH group 20 elliptic curve) | [email protected] | WINDOWS MEETING SPACE Windows Meeting Space • Risolve alcuni problemi di collaborazione – – – – – Collaborare in modo sicuro con altre persone Unirsi facilmente a sessioni vicine o invitare persone vicine Progettare e collaborare insieme su ogni applicazione Condividere e modificare insieme e velocemente un file Lavorare insieme quando non è disponibile una rete • Facile da distribuire in azienda – Sicurezza forte inserita nella soluzione – Poco o nulla richiesto per configurare la rete – Controllabile via Group Policy • Piattaforma potente su cui è possibile sviluppare | [email protected] | Architettura Windows Meeting Space P2P Collaboration Services File Replication Services (FRS) Stack di rete (Wireless, TCP/IP, etc.) | [email protected] | Terminal Services Come funziona Sessione password Password Canale metadati Canale File Canale file Canale streaming | [email protected] | Metadati per file Token dello streaming Sicurezza della sessione • Fornita usando protocolli standard • La password è usata come radice della sicurezza • I canali Metadata, File e Streaming sono criptati – Uso di protocolli di sicurezza standard • Uso di WEP per connessioni basate su password alla rete wireless ad-hoc | [email protected] | Gestione via Group Policy • Disponibilità della soluzione • Disponibilità d’uso dell’infrastruttura Peer-toPeer • Auditing di eventi specifici • Disponibilità di condivisione dei File sharing e reti wireless ad-hoc • Possibilità di controllare la complessità delle password Rispettate le policy degli altri componenti del sistema | [email protected] | Richieste di rete • La tecnologia si basa su IPv6 • Sessioni su singola subnet – Funzionano su LAN IPv4 – Non sono richiesti apparati di rete IPv6 • Sessioni su subnet multiple – È necessaria una rete con apparati IPv6 o un server ISATAP | [email protected] | Risorse utili • Windows Vista http://www.microsoft.com/windowsvista http://www.microsoft.com/italy/technet/windowsvista/intro.mspx • P2P http://www.microsoft.com/p2p • IPv6: http://www.microsoft.com/ipv6 | [email protected] | Per altre informazioni… “Windows Vista ” http://www.live.com | [email protected] | © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.