Panoramica di Windows XP Service Pack 2 Un sistema più sicuro Obiettivo: ridurre le vulnerabilità di protezione del sistema operativo. Contribuisce a ridurre l'esposizione ai più comuni rischi di attacco in base a quattro principi: protezione della rete protezione della memoria gestione più efficiente dei messaggi e-mail maggiore sicurezza durante la connessione a Internet. Protezione della rete Windows Firewall (ICF) attivato per impostazione predefinita per tutte le interfacce di rete Attivato nelle prime fasi del Boot, prima che lo stack di rete sia completamente abilitato Disattivato nelle ultime fasi del ciclo di arresto, una volta disabilitato lo stack di rete. Gestibile via: Group Policy Netsh Servizio RPC (Remote Procedure Call) Meno vulnerabile agli attacchi esterni Nuovi livelli di autorizzazioni per controllare i server RPC bloccati, esposti solo alla subnet locale, esposti all'intera rete. Windows Firewall Supporta queste autorizzazioni Limitare l'apertura delle porte dai server RPC specificati, in base al contesto di protezione in cui vengono eseguiti. Protezione dall'esecuzione (NX) Sulle CPU che supportano la tecnologia di protezione dall'esecuzione (NX), Service Pack 2 contrassegna pagine di dati come non eseguibili: Funzionalità a livello di hardware Impedisce l'esecuzione di codice da queste pagine. Impossibile sovraccaricare con del codice un buffer di dati contrassegnato Avrebbe potuto bloccare Blaster Tecnologia NX è supportata da Intel Itanium e AMD K8 a 64 bit Microsoft prevede che i prossimi processori a 32 e 64 bit supporteranno NX. Sandboxing Service Pack 2 implementa il modello di sandboxing. Tutti i file binari nel sistema sono stati ricompilati attivando i controlli della protezione del buffer: Consente alle librerie di runtime di intercettare la maggior parte dei sovraccarichi del buffer a livello di stack Sono stati aggiunti "cookie" all'heap Consente alle librerie di runtime di intercettare la maggior parte dei sovraccarichi del buffer a livello di heap. Nuova versione di Outlook Express Può bloccare immagini e altri contenuti esterni nei messaggi HTML Può segnalare all'utente se altre applicazioni tentano di inviare messaggi Può controllare il salvataggio e l'apertura di allegati che potrebbero contenere virus. Outlook Express è coordinato con il nuovo servizio di esecuzione delle applicazioni: Gli utenti possono leggere o visualizzare in anteprima tutti i messaggi in modalità testo Evitati i contenuti HTML potenzialmente non sicuri. Vale anche per MSN e Windows Messenger Nuova versione di Internet Explorer 1/2 Gestisce i componenti aggiuntivi e rileva i relativi malfunzionamenti Controlla se è consentita o meno l'esecuzione a livello binario Applica agli oggetti URL le stesse restrizioni applicate ai controlli ActiveX. Internet Explorer controlla in modo più preciso l'esecuzione di tutti i contenuti Limita le capacità dell'area Computer locale blocca gli attacchi che tentano di utilizzare contenuti locali per eseguire codice HTML dannoso. IE richiede che tutte le informazioni sul tipo di file fornite dai server Web siano coerenti, analizzando i file per verificare che non nascondano codice dannoso. Nuova versione di Internet Explorer 2/2 Impedisce l'accesso agli oggetti basati su script memorizzati nella cache: Alle pagine HTML è consentito solo di elaborare script per i propri oggetti. Dispone di una funzione incorporata per il blocco della visualizzazione delle finestre popup indesiderate e la gestione di quelle consentite. Può bloccare: Disattiv gli script in ascolto di eventi o contenuti in altri frame. Tutto il contenuto firmato proveniente da un autore non attendibile Tutto il codice con firme digitali non valide Impedisce agli script di spostare o ridimensionare le finestre, nascondere le barre di stato o coprire altre finestre. Facilità di manutenzione Windows XP Service Pack 2 include Aggiornamenti automatici versione 5. Opzione di installazione rapida che consente di scaricare rapidamente solo gli aggiornamenti critici e di protezione necessari, Security Center: Posizione centrale, interfaccia grafica di facile utilizzo. Windows Installer 3.0 "compressione delta". consente di evitare di scaricare patch non necessarie, permette di rimuoverle in modo affidabile. Security Center Segnala: Se manca l’antivirus Se le definizioni dei virus non sono recenti Se vengono ignorati aggiornamenti critici Se viene disattivato il firewall. Gli avvisi sono disattivbili. Implicazioni dei miglioramenti 1/2 Quasi tutti i miglioramenti evitano qualsiasi impatto sull'esperienza utente. Vi sono aree in cui sarà necessario effettuare alcune modifiche per mantenere le funzionalità senza compromettere la protezione. ICF: popup di avviso per applicazioni server verso Internet. Si può concedere l’autorizzazione e revocarla in seguito Implicazioni dei miglioramenti 2/2 Rivedere le applicazioni distribuite che utilizzano RPC o DCOM. Potrebbe essere necessario applicare patch agli strumenti di sviluppo e concedere loro le autorizzazioni di Windows Firewall per assicurare il funzionamento del debug remoto. Modificare l'utilizzo dei controlli ActiveX Pagine Web eseguite localmente che includono contenuto attivo potrebbe essere necessaria l'aggiunta di una riga supplementare con la "firma" o una modifica dell'estensione. Windows Firewall 1/2 Attivato di default Gestisce Stateful Inspection. Utilizza un criterio di protezione basato su tre regole principali: I pacchetti (ricevuti) appartenti a un flusso di connessione stabilito vengono inoltrati. I pacchetti (ricevuti) che non corrisponde a un flusso di connessione stabilito viene scartato. I pacchetti (inviati) che non corrisponde a un flusso di connessione stabilito vengono inoltrati (inseriti nella tabella dei flussi di connessione). Windows Firewall 2/2 E’ possibile aggiungere eccezioni L’ eccezione può essere locale o globale. Globale: accetta connessioni da qualsiasi origine, anche da Internet. Locale: accetta connessioni solo dalla subnet locale Il driver del firewall ha "criterio della fase di avvio“ Consente al computer di eseguire attività di rete di base (DNS e DHCP) e di comunicare con un controller di dominio per ottenere i criteri. Quando viene eseguito, Windows Firewall carica e applica i criteri della fase di esecuzione e rimuove i filtri della fase di avvio. Il criterio della fase di avvio non può essere configurato. RPC (Remote Procedure Call) 1/2 E’ una funzione per il passaggio di messaggi Sottosistema RPC (rpcss) si occupa del mapping degli endpoint dei servizi disponibili (endpoint dinamici). Il servizio rpclocator consente ai client di di individuare le applicazioni server compatibili disponibili. In Windows XP sono in esecuzione oltre 60 servizi basati su RPC consente a un'applicazione in un computer di richiamare servizi disponibili su diversi computer in una rete. Utilizzate per l'amministrazione remota, per condivisione. in ascolto delle richieste client in rete (Svchost.exe.) ICF bloccava tutte le comunicazioni RPC dall'esterno del computer (no condivisione e amministrazione remota) Windows Firewall: Processo tenta di aprire una porta, presentandosi come servizio RPC Windows Firewall accetta la richiesta solo se il chiamante è in esecuzione nel contesto di protezione del sistema locale, del servizio di rete o del servizio locale, in altre parole solo se il processo è effettivamente un servizio. Questa impostazione limita le possibilità che un programma Trojan horse senza privilegi riesca ad aprire una porta presentandosi come server RPC. RPC (Remote Procedure Call) 2/2 Aggiunto un nuovo criterio di sistema per i server RPC limita l'utilizzo ai client locali e/o autenticati. Per default, runtime di RPC rifiuta qualsiasi chiamata remota anonima. Se un servizio registra una richiamata di protezione in grado di autenticare chiamate remote anonime, per il servizio viene impostata un'eccezione. chiave di registro, RestrictRemoteClients, è possibile aumentare o ridurre le restrizioni. Demo Windows Firewall Protezione della memoria Gli attacchi buffer overrun sono tra i più comuni Inviata a un controllo una stringa di dimensioni superiori al buffer di memoria allocato per contenerla. La stringa introduce nel sistema del codice che viene eseguito e diffonde un virus o un worm. In Windows XP Service Pack 2 ci sono due misure di sicurezza per impedire questi attacchi: Il SO può attivare un bit di protezione dall'esecuzione per le pagine di memoria virtuale che dovrebbero contenere solo dati. (solo per CPU che lo supportano) Il SO è ora in grado di ridurre con maggiore precisione i buffer overrun Protezione dall'esecuzione (NX) Su Intel Itanium e AMD K8 a 64 bit l'hardware della CPU può contrassegnare la memoria con un attributo che indica che da tale memoria non deve essere eseguito codice. Questa funzionalità è applicata in base alla pagina di memoria virtuale modificando un bit nella PTE (Page Table Entry). Windows XP Service Pack 2 usa la protezione dall'esecuzione per impedire che venga eseguito codice dalle pagine di dati. Se tento di eseguire codice da una pagina di dati contrassegnata, l'hardware del processore genera un'eccezione e impedisce l'esecuzione del codice. Così non è possibile sovraccaricare con del codice un buffer di dati (avrebbe potuto bloccare Blaster). Microsoft prevede che i prossimi processori a 32 e 64 bit saranno in grado di offrire la protezione dell'esecuzione. Sandboxing Stack: utilizzato per le variabili locali temporanee di breve durata. L'heap viene utilizzato dai programmi per allocare e liberare in modo dinamico blocchi di memoria che possono avere una durata superiore. Per proteggere queste aree di memoria sui processori a 32 bit il Service Pack 2 introduce il sandboxing. Stack: Viene automaticamente allocato in caso di chiamata a una funzione Viene rilasciato alla chiusura della funzione. Tutti i file binari del sistema sono stati ricompilati attivando controlli di protezione del buffer a livello di stack. Istruzioni aggiunte alle sequenze di chiamata e restituzione delle funzioni consentono alle librerie di runtime di intercettare la maggior parte dei buffer overrun a livello di heap. Heap: Aggiunti dei "cookie", ovvero contrassegni speciali all'inizio e alla fine dei buffer allocati, che vengono controllati dalle librerie di runtime durante l'allocazione e il rilascio dei blocchi di memoria. In caso di cookie mancanti o incoerenti, le librerie di runtime rilevano il sovraccarico del buffer, generando un'eccezione software. Servizio di esecuzione allegati (AES) Controlla la visualizzazione e l'esecuzione dei file allegati ai messaggi. Interfaccia COM AES analizza un file e determina se può essere visualizzato o eseguito in modo sicuro in base a numerosi criteri. estensione del file (TXT, JPG, GIF sono sicuri). Verifica coerenza tipo MIME - estensione C’è un elenco per stabilire se una data associazione è sicura o pericolosa Antivirus attivo e aggiornato prima di consentire all'utente di visualizzare o eseguire file non sicuri. AES in Outlook Express e Windows Messenger Outlook Express richiama AES per aprire un messaggio di posta elettronica con allegato Allegato sicuro = è disponibile per l'utente Allegato non sicuro = bloccato (messaggio relativo al blocco) Allegato indefinito = messaggio di avviso quando l'utente tenta di trascinarlo, salvarlo, aprirlo o stamparlo. Se si esegue il file, questo verrà gestito in modo da garantire l'attivazione del programma antivirus. Windows Messenger ha la stessa gestione dei file allegati. Differenza: per l'invio degli allegati solitamente è necessaria l'autorizzazione del destinatario. Blocco del contenuto HTML in Outlook Express Spammer e virus per tracciare gli utenti di posta attivi includono nei messaggi HTML contenuti esterni (immagini). Quando il messaggio richiama il sito Web identifico il destinatario. Per proteggere la privacy dell'utente e impedire futuri attacchi, Outlook Express blocca le immagini e altri contenuti esterni in modalità HTML (disattivabile) Per default, l'esecuzione della posta elettronica HTML in Outlook Express è soggetta alle regole dell'area Siti con restrizioni. In Outlook Express dal SP2 le funzionalità binarie non sono più consentite. Quando Outlook Express è impostato per la lettura dei messaggi in formato testo, usa il controllo rich edit invece di quello HTML browser (mshtml) di Internet Explorer. La protezione di Outlook Express è stata migliorata senza alcun impatto negativo per gli utenti. Maggiore protezione durante l'esplorazione Alcuni componenti aggiuntivi per Internet Explorer (ActiveX) creano problemi: popup Nuovo Internet Explorer incluso in SP 2 comprende: Gestione dei componenti aggiuntivi: permette di visualizzare e controllare l'elenco dei componenti aggiuntivi che possono essere caricati da IE. Rilevamento dei malfunzionamenti: consente invece di individuare i problemi di arresto anomalo di Internet Explorer legati a un componente aggiuntivo, consentendone la disattivazione da parte dell'utente. Gli amministratori possono inoltre applicare a livello di organizzazione criteri relativi ai componenti aggiuntivi consentiti. Funzionalità binarie Componente che supporta due interfacce COM riconosciute e utilizzate da Internet Explorer. Permettono di integrare più funzionalità in Internet Explorer IE inclusa nel SP2 offre un maggiore controllo sulla protezione delle funzionalità binarie. Disattivate nell'area Siti con restrizioni: i programmi di posta elaborano i messaggi e-mail in formato HTML nell'area Siti con restrizioni. Si riduce la vulnerabilità della posta elettronica a virus e worm basati su funzionalità binarie. Quando si apre una pagina Web in Internet Explorer, alla pagina vengono applicate le restrizioni impostate, in base alla sua posizione. Le pagine Web sul computer locale si trovano nell'area Computer locale (livello di restrizioni più basso). L'area Computer locale consente di eseguire i contenuti Web con un livello basso di restrizioni. Sfruttata per acquisire privilegi più elevati e compromettere il funzionamento di un computer. In Windows XP Service Pack 2, a tutti i file e contenuti locali elaborati da Internet Explorer viene applicato il livello di protezione dell'area Computer locale. E’ limita notevolmente l'esecuzione dei contenuti HTML nell'area Computer locale e in Internet Explorer. Gli script ActiveX in pagine HTML locali visualizzate in Internet Explorer non vengono più eseguiti. Maggiore protezione durante l'esplorazione Internet Explorer utilizza le seguenti informazioni per decidere come gestire il file: Estensione Tipo di contenuto specificato nell'intestazione HTTP (tipo MIME) Disposizione del contenuto specificato nell'intestazione HTTP Risultati dell'analisi (sniffing) MIME Tutte le informazioni fornite dai server Web a Internet Explorer devono essere coerenti. Tipo MIME è "text/plain“, ma l’analisi MIME indica che il file è un eseguibile = Internet Explorer rinomina il file salvandolo nella propria cache e modificandone l'estensione. Maggiore protezione durante l'esplorazione Internet Explorer utilizza AES per controllare che i file scaricati siano sicuri e per visualizzare finestre di dialogo quando è necessaria l'autorizzazione dell'utente. Le finestre di dialogo di AES danno ulteriori informazioni e mostrano l'origine, il tipo e la dimensione del file scaricato, AES indica l'autore del software eseguibile in fase di installazione avviso particolarmente evidente nel caso di software proveniente da un'origine sconosciuta. Il nuovo gestore delle finestre popup blocca la visualizzazione della maggior parte delle finestre popup indesiderate. Le finestre popup aperte quando l'utente finale fa clic su un collegamento non vengono invece bloccate. Miglioramento della protezione per i controlli ActiveX e altri oggetti basati su script, la riduzione dei possibili buffer overrun e una maggiore protezione dalle finestre visualizzate sopra altre finestre e collocate fuori dallo schermo. Manutenzione ottimizzata dei computer: Windows Update 5 Windows XP Service Pack 2 usa una nuova versione del sito Web Windows Update Opzioni semplificate per impostare l'aggiornamento automatico. Installazione rapida verificare se sono disponibili, scaricare e installare solo gli aggiornamenti critici e della protezione effettivamente necessari per il computer. Aggiornamenti automatici del Pannello di controllo, posso scegliere di: scaricare automaticamente gli aggiornamenti senza installarli essere semplicemente informati della loro disponibilità gestirli manualmente. Windows Installer 3 Nuova versione del servizio Windows Installer: Windows Installer 3.0 Funzioni avanzate di inventario che identificano quali componenti delle patch è necessario o meno scaricare, Supporta la compressione delta (riduce la dimensione delle patch) Offre un migliore supporto per la disinstallazione delle patch. Security Center Punto centrale per cercare informazioni relative alla sicurezza ed eseguire qualsiasi operazione legata alla protezione. Controlla lo stato delle tre funzionalità principali di protezione: Firewall aggiornamenti automatici protezione antivirus. Se rileva un problema in una di queste aree, lo notifica Richiede l'attivazione di un firewall, il controllo quotidiano degli aggiornamenti automatici per il sistema Windows e l'attivazione di un prodotto antivirus con definizioni dei virus aggiornate. Lo stato di ognuno di questi elementi viene visualizzato in Security Center grazie a un'icona simile a un semaforo. Security Center riconosce Windows Firewall e numerosi firewall di terze parti, oltre alle più comuni soluzioni antivirus. Dispone di un'interfaccia aperta che può essere utilizzata dai produttori di software antivirus e firewall per consentire a Security Center di rilevare la presenza dei loro prodotti e segnalarne lo stato. Gli utenti possono indicare a Security Center la presenza di una soluzione di terze parti non rilevata oppure disattivare gli avvisi relativi a specifici problemi di protezione non applicabili al loro ambiente. © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
Scarica
