Difesa dei client
Un sistema più sicuro


Obiettivo: ridurre le vulnerabilità di
protezione del sistema operativo.
Contribuisce a ridurre l'esposizione ai
più comuni rischi di attacco in base a
quattro principi:




protezione della rete
protezione della memoria
gestione più efficiente dei messaggi e-mail
maggiore sicurezza durante la connessione a
Internet.
Protezione della rete




Windows Firewall (ICF) attivato per
impostazione predefinita per tutte le
interfacce di rete
Attivato nelle prime fasi del Boot, prima
che lo stack di rete sia completamente
abilitato
Disattivato nelle ultime fasi del ciclo di
arresto, una volta disabilitato lo stack di
rete.
Gestibile via:


Group Policy
Netsh
Servizio RPC (Remote Procedure
Call)



Meno vulnerabile agli attacchi esterni
Nuovi livelli di autorizzazioni per
controllare i server RPC bloccati, esposti
solo alla subnet locale, esposti all'intera
rete.
Windows Firewall


Supporta queste autorizzazioni
Limitare l'apertura delle porte dai server RPC
specificati, in base al contesto di protezione
in cui vengono eseguiti.
Protezione dall'esecuzione (NX)

Sulle CPU che supportano la tecnologia
di protezione dall'esecuzione (NX),
Service Pack 2 contrassegna pagine di
dati come non eseguibili:






Funzionalità a livello di hardware
Impedisce l'esecuzione di codice da queste
pagine.
Impossibile sovraccaricare con del codice un
buffer di dati contrassegnato
Avrebbe potuto bloccare Blaster
Tecnologia NX è supportata da Intel Itanium e
AMD K8 a 64 bit
Microsoft prevede che i prossimi processori
a 32 e 64 bit supporteranno NX.
Nuova versione di Outlook
Express




Può bloccare immagini e altri contenuti esterni
nei messaggi HTML
Può segnalare all'utente se altre applicazioni
tentano di inviare messaggi
Può controllare il salvataggio e l'apertura di
allegati che potrebbero contenere virus.
Outlook Express è coordinato con il nuovo
servizio di esecuzione delle applicazioni:



Gli utenti possono leggere o visualizzare in
anteprima tutti i messaggi in modalità testo
Evitati i contenuti HTML potenzialmente non sicuri.
Vale anche per MSN e Windows Messenger
Nuova versione di Internet
Explorer 1/2





Gestisce i componenti aggiuntivi e rileva i
relativi malfunzionamenti
Controlla se è consentita o meno l'esecuzione a
livello binario
Applica agli oggetti URL le stesse restrizioni
applicate ai controlli ActiveX.
Internet Explorer controlla in modo più preciso
l'esecuzione di tutti i contenuti
Limita le capacità dell'area Computer locale


blocca gli attacchi che tentano di utilizzare contenuti
locali per eseguire codice HTML dannoso.
IE richiede che tutte le informazioni sul tipo di file
fornite dai server Web siano coerenti, analizzando i
file per verificare che non nascondano codice
dannoso.
Nuova versione di Internet
Explorer 2/2


Impedisce l'accesso agli oggetti basati su
script memorizzati nella cache:
Alle pagine HTML è consentito solo di elaborare
script per i propri oggetti.



Dispone di una funzione incorporata per il
blocco della visualizzazione delle finestre
popup indesiderate e la gestione di quelle
consentite.
Può bloccare:



Disattiv gli script in ascolto di eventi o contenuti in
altri frame.
Tutto il contenuto firmato proveniente da un autore
non attendibile
Tutto il codice con firme digitali non valide
Impedisce agli script di spostare o
ridimensionare le finestre, nascondere le barre
di stato o coprire altre finestre.
Facilità di manutenzione



Windows XP Service Pack 2 include
Aggiornamenti automatici versione 5.
Opzione di installazione rapida che consente di
scaricare rapidamente solo gli aggiornamenti
critici e di protezione necessari,
Security Center:


Posizione centrale, interfaccia grafica di facile utilizzo.
Windows Installer 3.0


"compressione delta".
consente di evitare di scaricare patch non necessarie,
permette di rimuoverle in modo affidabile.
Security Center

Segnala:





Se manca l’antivirus
Se le definizioni dei virus non sono recenti
Se vengono ignorati aggiornamenti critici
Se viene disattivato il firewall.
Gli avvisi sono disattivbili.
Implicazioni dei miglioramenti
1/2


Quasi tutti i miglioramenti evitano
qualsiasi impatto sull'esperienza utente.
Vi sono aree in cui sarà necessario
effettuare alcune modifiche per mantenere
le funzionalità senza compromettere la
protezione.


ICF: popup di avviso per applicazioni server
verso Internet.
Si può concedere l’autorizzazione e revocarla
in seguito
Implicazioni dei miglioramenti
2/2

Rivedere le applicazioni distribuite che
utilizzano RPC o DCOM.


Potrebbe essere necessario applicare patch
agli strumenti di sviluppo e concedere loro le
autorizzazioni di Windows Firewall per
assicurare il funzionamento del debug
remoto.
Modificare l'utilizzo dei controlli ActiveX

Pagine Web eseguite localmente che
includono contenuto attivo potrebbe essere
necessaria l'aggiunta di una riga
supplementare con la "firma" o una modifica
dell'estensione.
Windows Firewall 1/2



Attivato di default
Gestisce Stateful Inspection.
Utilizza un criterio di protezione basato
su tre regole principali:



I pacchetti (ricevuti) appartenti a un flusso di
connessione stabilito vengono inoltrati.
I pacchetti (ricevuti) che non corrisponde a
un flusso di connessione stabilito viene
scartato.
I pacchetti (inviati) che non corrisponde a un
flusso di connessione stabilito vengono
inoltrati (inseriti nella tabella dei flussi di
connessione).
Windows Firewall 2/2


E’ possibile aggiungere eccezioni
L’ eccezione può essere locale o globale.



Globale: accetta connessioni da qualsiasi origine,
anche da Internet.
Locale: accetta connessioni solo dalla subnet locale
Il driver del firewall ha "criterio della fase di
avvio“



Consente al computer di eseguire attività di rete di
base (DNS e DHCP) e di comunicare con un
controller di dominio per ottenere i criteri.
Quando viene eseguito, Windows Firewall carica e
applica i criteri della fase di esecuzione e rimuove
i filtri della fase di avvio.
Il criterio della fase di avvio non può essere
configurato.
RPC (Remote Procedure Call) 1/2

E’ una funzione per il passaggio di messaggi





Sottosistema RPC (rpcss) si occupa del mapping degli endpoint
dei servizi disponibili (endpoint dinamici).
Il servizio rpclocator consente ai client di di individuare le
applicazioni server compatibili disponibili.
In Windows XP sono in esecuzione oltre 60 servizi basati su RPC



consente a un'applicazione in un computer di richiamare servizi
disponibili su diversi computer in una rete.
Utilizzate per l'amministrazione remota, per condivisione.
in ascolto delle richieste client in rete (Svchost.exe.)
ICF bloccava tutte le comunicazioni RPC dall'esterno del
computer (no condivisione e amministrazione remota)
Windows Firewall:


Processo tenta di aprire una porta, presentandosi come servizio RPC
Windows Firewall accetta la richiesta solo se il chiamante è in
esecuzione nel contesto di protezione del sistema locale, del servizio
di rete o del servizio locale, in altre parole solo se il processo è
effettivamente un servizio. Questa impostazione limita le possibilità
che un programma Trojan horse senza privilegi riesca ad aprire una
porta presentandosi come server RPC.
RPC (Remote Procedure Call) 2/2

Aggiunto un nuovo criterio di sistema
per i server RPC




limita l'utilizzo ai client locali e/o autenticati.
Per default, runtime di RPC rifiuta qualsiasi
chiamata remota anonima.
Se un servizio registra una richiamata di
protezione in grado di autenticare chiamate
remote anonime, per il servizio viene
impostata un'eccezione.
chiave di registro, RestrictRemoteClients,
è possibile aumentare o ridurre le restrizioni.
Servizio di esecuzione allegati
(AES)



Controlla la visualizzazione e
l'esecuzione dei file allegati ai messaggi.
Interfaccia COM
AES analizza un file e determina se può
essere visualizzato o eseguito in modo
sicuro in base a numerosi criteri.


estensione del file (TXT, JPG, GIF sono
sicuri).
Verifica coerenza tipo MIME - estensione


C’è un elenco per stabilire se una data
associazione è sicura o pericolosa
Antivirus attivo e aggiornato prima di
consentire all'utente di visualizzare o
eseguire file non sicuri.
AES in Outlook Express e
Windows Messenger

Outlook Express richiama AES per aprire un
messaggio di posta elettronica con allegato




Allegato sicuro = è disponibile per l'utente
Allegato non sicuro = bloccato (messaggio relativo al
blocco)
Allegato indefinito = messaggio di avviso quando
l'utente tenta di trascinarlo, salvarlo, aprirlo o
stamparlo. Se si esegue il file, questo verrà gestito in
modo da garantire l'attivazione del programma
antivirus.
Windows Messenger ha la stessa gestione dei
file allegati.

Differenza: per l'invio degli allegati solitamente è
necessaria l'autorizzazione del destinatario.
Blocco del contenuto HTML in
Outlook Express






Spammer e virus per tracciare gli utenti di posta attivi
includono nei messaggi HTML contenuti esterni
(immagini). Quando il messaggio richiama il sito Web
identifico il destinatario.
Per proteggere la privacy dell'utente e impedire futuri
attacchi, Outlook Express blocca le immagini e altri
contenuti esterni in modalità HTML (disattivabile)
Per default, l'esecuzione della posta elettronica HTML in
Outlook Express è soggetta alle regole dell'area Siti con
restrizioni.
In Outlook Express dal SP2 le funzionalità binarie non sono
più consentite.
Quando Outlook Express è impostato per la lettura dei
messaggi in formato testo, usa il controllo rich edit invece
di quello HTML browser (mshtml) di Internet Explorer.
La protezione di Outlook Express è stata migliorata senza
alcun impatto negativo per gli utenti.
Maggiore protezione durante
l'esplorazione


Alcuni componenti aggiuntivi per Internet
Explorer (ActiveX) creano problemi: popup
Nuovo Internet Explorer incluso in SP 2
comprende:



Gestione dei componenti aggiuntivi: permette di
visualizzare e controllare l'elenco dei componenti
aggiuntivi che possono essere caricati da IE.
Rilevamento dei malfunzionamenti: consente invece di
individuare i problemi di arresto anomalo di Internet
Explorer legati a un componente aggiuntivo,
consentendone la disattivazione da parte dell'utente.
Gli amministratori possono inoltre applicare a livello di
organizzazione criteri relativi ai componenti aggiuntivi
consentiti.
Maggiore protezione durante
l'esplorazione







Internet Explorer utilizza le seguenti informazioni
per decidere come gestire il file:
Estensione
Tipo di contenuto specificato nell'intestazione
HTTP (tipo MIME)
Disposizione del contenuto specificato
nell'intestazione HTTP
Risultati dell'analisi (sniffing) MIME
Tutte le informazioni fornite dai server Web a
Internet Explorer devono essere coerenti.
Tipo MIME è "text/plain“, ma l’analisi MIME indica
che il file è un eseguibile = Internet Explorer
rinomina il file salvandolo nella propria cache e
modificandone l'estensione.
Maggiore protezione durante
l'esplorazione






Internet Explorer utilizza AES per controllare che i file
scaricati siano sicuri
e per visualizzare finestre di dialogo quando è necessaria
l'autorizzazione dell'utente.
Le finestre di dialogo di AES danno ulteriori informazioni e
mostrano l'origine, il tipo e la dimensione del file scaricato,
AES indica l'autore del software eseguibile in fase di
installazione
 avviso particolarmente evidente nel caso di software
proveniente da un'origine sconosciuta.
Il nuovo gestore delle finestre popup blocca la
visualizzazione della maggior parte delle finestre popup
indesiderate.
Le finestre popup aperte quando l'utente finale fa clic su un
collegamento non vengono invece bloccate.
Miglioramento della protezione per i controlli ActiveX e altri
oggetti basati su script, la riduzione dei possibili buffer
overrun e una maggiore protezione dalle finestre
visualizzate sopra altre finestre e collocate fuori dallo
schermo.
Manutenzione ottimizzata dei
computer: Windows Update 5

Windows XP Service Pack 2 usa una nuova
versione del sito Web Windows Update



Opzioni semplificate per impostare l'aggiornamento
automatico.
Installazione rapida verificare se sono disponibili,
scaricare e installare solo gli aggiornamenti critici
e della protezione effettivamente necessari per il
computer.
Aggiornamenti automatici del Pannello di
controllo, posso scegliere di:



scaricare automaticamente gli aggiornamenti senza
installarli
essere semplicemente informati della loro
disponibilità
gestirli manualmente.
Windows Installer 3




Nuova versione del servizio Windows
Installer: Windows Installer 3.0
Funzioni avanzate di inventario che
identificano quali componenti delle patch
è necessario o meno scaricare,
Supporta la compressione delta (riduce
la dimensione delle patch)
Offre un migliore supporto per la
disinstallazione delle patch.
Agenda









Introduzione
Protezione di base dei client
Protezione dei client con Active Directory
Utilizzo di Criteri di gruppo per proteggere i
client
Protezione delle applicazioni
Impostazioni di Criteri di gruppo locali per
client autonomi
Criteri di restrizione del software
Software antivirus
Firewall client
Utilizzo di modelli di sicurezza


I modelli di sicurezza sono insiemi di impostazioni
di sicurezza
I modelli della guida Windows XP Security Guide
includono:





Due modelli di dominio che contengono impostazioni
per tutti i computer del dominio
Due modelli che contengono impostazioni per
i computer desktop
Due modelli che contengono impostazioni per
i computer portatili
Ogni modello è disponibile in una versione
aziendale e in una versione ad alta protezione
Le impostazioni del modello di sicurezza possono
essere modificate, salvate e importate in un
oggetto Criteri di gruppo
Utilizzo di modelli
amministrativi
I modelli amministrativi contengono
impostazioni del Registro di sistema che
possono essere applicate a utenti e
computer




I modelli amministrativi Windows XP SP1
contengono oltre 850 impostazioni
Nella guida Windows XP Security Guide sono
presenti tre tipi di modelli aggiuntivi
Altri produttori possono fornire modelli
aggiuntivi
È possibile importare
modelli aggiuntivi durante
la modifica di un oggetto
Criteri di gruppo
Impostazioni di sicurezza
Impostazioni di sicurezza
Spiegazione
Criteri per le password degli
account
Consente di impostare i criteri di password e di blocco account per il dominio
Criterio di blocco account
Impedisce l'accesso dopo un determinato numero di tentativi di accesso non riusciti
Criteri controllo
Consentono di specificare gli eventi di protezione da registrare
Registro eventi
Consente di specificare le impostazioni per il mantenimento e le dimensioni massime del registro
File System
Consente di specificare le autorizzazioni e le impostazioni di controllo per gli oggetti del file system
Criteri IPSec
Consente di filtrare il traffico in ingresso e in uscita dal server per bloccare il traffico indesiderato
Impostazioni del Registro di
sistema
Consente di specificare le autorizzazioni di accesso e le impostazioni di controllo per le chiavi del
Registro di sistema
Gruppi con restrizioni
Consente di specificare quali account sono membri del gruppo e di quali gruppi il gruppo è membro
Opzioni di sicurezza
Consente di specificare una vasta gamma di impostazioni di sicurezza per utenti e computer
Criteri di restrizione del software
Consente di impedire l'esecuzione di software dannoso sui computer client
Servizi di sistema
Consente di specificare la modalità di avvio e le autorizzazioni per i servizi
Assegnazione diritti utente
Consente di specificare quali utenti e quali gruppi possono eseguire azioni specifiche sui computer
Otto principali impostazioni di
sicurezza dei client

Le impostazioni di sicurezza dei computer
client più comunemente modificate includono:








È consentita la formattazione e l'espulsione dei
supporti rimovibili
Non consentire l'enumerazione anonima degli account
SAM
Attiva controllo
Consenti l'accesso libero agli utenti anonimi
Livello di autenticazione di LAN Manager
Criterio password
Non memorizzare il valore hash di LAN Manager al
prossimo cambio di password
Firma SMB
Dimostrazione 2
Utilizzo di Criteri di gruppo
Visualizzazione delle impostazioni di sicurezza
di Windows XP
Visualizzazione dei modelli amministrativi
Visualizzazione dei modelli di protezione disponibili
Applicazione dei modelli di protezione
Implementazione dei modelli di protezione
Come applicare modelli di sicurezza
e modelli amministrativi
Dominio principale
Criteri di dominio
Client aziendale
Domain.inf
Unità
organizzativa
controller di
dominio
Criteri per
Unità
computer
organizzativa
desktop
Windows XP
Unità
organizzati
va reparto
Unità
organizzativa
utenti XP
protetti
Client aziendale
Desktop.inf
Unità organizzativa desktop
Criteri per
utenti XP
protetti
Criteri per
Unità
organizzativa computer
portatili
portatili
Client aziendale
Laptop.inf
Procedure consigliate per
l'utilizzo di Criteri di gruppo per la
protezione dei client
Utilizzare i modelli client aziendali come base e
modificarli secondo le esigenze
Implementare criteri di account e controllo rigidi
Verificare a fondo i modelli prima di distribuirli
Utilizzare modelli amministrativi aggiuntivi
Impostazioni di Criteri di gruppo
locali

Quando i client non sono membri
di un dominio Active Directory,
utilizzare i Criteri di gruppo locali
per configurare i computer


I client Windows XP autonomi
utilizzano una versione modificata dei
modelli di sicurezza
Ogni client Windows XP Professional
utilizza un oggetto Criteri di gruppo
locale e l'Editor oggetti Criteri di
gruppo o script per applicarne le
impostazioni
Modelli di sicurezza predefiniti

Se i client si connettono a un dominio
Windows NT 4.0, utilizzare:
Client aziendale
precedente

Client a protezione
elevata precedente
Protezione di base
per computer
desktop
Legacy Enterprise Client desktop.inf
Legacy High Security desktop.inf
Protezione di base
per computer
portatili
Legacy Enterprise Client laptop.inf
Legacy High Security laptop.inf
Se i client non si connettono a un dominio
Windows NT 4.0, utilizzare i modelli di
sicurezza per client autonomi
Agenda









Introduzione
Protezione di base dei client
Protezione dei client con Active Directory
Utilizzo di Criteri di gruppo per proteggere i
client
Protezione delle applicazioni
Impostazioni di Criteri gruppo locale per
client autonomi
Criteri di restrizione del software
Software antivirus
Firewall client
Definizione di criteri di restrizione
del software


Meccanismo basato su criteri che consente
di identificare e controllare l’esecuzione del
software su un computer client
Il livello di sicurezza predefinito presenta
due opzioni:


Senza restrizioni: può essere eseguito tutto il
software tranne quello specificamente negato
Non consentito: può essere eseguito solo il
software specificamente consentito
Funzionamento della restrizione
del software
1
Definire i criteri per il
dominio mediante l'Editor
Criteri di gruppo
2
Scaricare i criteri sul
computer mediante Criteri
di gruppo
3
Applicazione da parte del
sistema operativo
all'esecuzione del software
Quattro regole per
l'identificazione di software
Regola hash


Confronta l'hash MD5 o SHA1 di
un file con quello che si tenta di
eseguire
Da utilizzare quando si desidera
consentire o impedire l'esecuzione
di una determinata versione di
un file
Regola percorso



Confronta il percorso del file da
eseguire con un elenco dei
percorsi consentiti
Da utilizzare quando è presente
una cartella con molti file per la
stessa applicazione
Essenziale quando i criteri di
restrizione del software sono rigidi
Regola certificato


Verifica la firma digitale di
un'applicazione (ad esempio
Authenticode)
Da utilizzare quando si desidera
limitare le applicazioni win32 e il
contenuto ActiveX
Regola area Internet


Controlla le modalità con cui
è possibile accedere alle aree
Internet
Da utilizzare in ambienti ad elevata
sicurezza per controllare l'accesso
ad applicazioni Web
Dimostrazione 4
Applicazione di un criterio di
restrizione del software
Creazione di un criterio di restrizione
del software
Riavvio della macchina virtuale
Impostazione della priorità dell'amministratore
sulle impostazioni
Verifica dei criteri di restrizione del software
Come applicare le restrizioni del
software
1.
2.
3.
4.
Aprire l'oggetto Criteri di gruppo per l'unità
organizzativa in cui si desidera applicare il criterio
di restrizione software
Spostarsi sul nodo Impostazioni
computer/Impostazioni di Windows/Impostazioni di
sicurezza
Fare clic con il pulsante destro del mouse su Criteri
di restrizione del software e scegliere Crea nuovi
criteri
Configurare le regole Hash, Certificato, Percorso e
Area Internet in base alle esigenze
dell'organizzazione
Procedure consigliate per
l'applicazione di criteri di restrizione
del software
Creare un piano di ripristino
Utilizzare un oggetto Criteri di gruppo separato
per implementare le restrizioni del software
Utilizzare i criteri di restrizione del software con
NTFS per disporre di più livelli di difesa
Non collegare mai a un altro dominio
Verificare accuratamente le nuove impostazioni dei
criteri
© 2003 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.