La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Principali caratterisitche di sicurezza. Agenda UAP (User Account Protection) Parental Control Internet Explorer 7.0 Protezione dai virus Windows Service.

Copie: 1
La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows Relatore :Ivan Salvadè

Presentazioni simili


Presentazione sul tema: "Principali caratterisitche di sicurezza. Agenda UAP (User Account Protection) Parental Control Internet Explorer 7.0 Protezione dai virus Windows Service."— Transcript della presentazione:

1 Principali caratterisitche di sicurezza

2 Agenda UAP (User Account Protection) Parental Control Internet Explorer 7.0 Protezione dai virus Windows Service Hardening Network Access Protection Firewall Avvio sicuro

3 User Account Protection E molto frequente lavorare sui propri pc come amministratori Ci consente usabilità Non ci consente sicurezza Virus, worm e spyware penetrano nelle macchine e usano questi privilegi amministrativi Chi ha troppi diritti, può fare troppi danni… Anche diverse applicazioni richiedono diritti di Administrator o di Power User Anche molte operazioni di gestione del sistema operativo li richiedono

4 Cosa fa UAP… Abilita gli utenti ad eseguire operazioni come non-administrator Solo lutente built-in Administrator avrà sempre pieni poteri amministrativi Qualunque altro utente, anche facente parte del gruppo Administrators, avrà inizialmente poteri limitati Se deve eseguire operazioni comuni, userà questi suoi diritti limitati Se deve eseguire operazioni amministrative, dovrà effettuare unelevazione dei suoi privilegi In Windows Vista Beta1, UAP non è abilitato per default. Nella Beta2 sarà attivo.

5 Come funziona UAP Per utenti del gruppo Users Ogni volta che devono eseguire operazioni amministrative, sono richieste le credenziali di un utente amministrativo (come prima, ma senza obbligo di richiamare Run as) Per utenti di un gruppo amministrativo Al logon vengono dotati di uno split-token Possiedono ora 2 tipi di credenziali : amministrative e comuni. Quelle comuni sono utilizzate per tutte le operazioni comuni (browser, posta, ecc…) Per eseguire task amministrativi, un prompt chiede allutente di confermare le credenziali di admin Per maggior scorrevolezza, è anche possibile far apparire il prompt, senza richiesta di re-immettere la password

6 Protezione delle applicazioni (1) Durante linstallazione Windows Vista rileva ogni tentativo di lanciare un Setup Installer Il prompt chiede la conferma amministrativa Dopo linstallazione Vecchie applicazioni non funzionano correttamente se non si è amministratori Motivo : cercano di scrivere in parti di registro o in cartelle di solito accessibili solo agli amministratori Vista virtualizza queste parti di registro o cartelle e le trascrive in parti accessibili agli utenti standard (HKCU e per-user store)

7 Protezione delle applicazioni (2) Le vecchie applicazioni funzionano ora anche con diritti di standard user UAP è da considerarsi come tecnologia di transizione Gli sviluppatori sono tenuti a scrivere codice compatibile con Windows Vista Usare tecnologia Windows Installer Fare testing come non-administrator Operazioni amministrative solo in installazione Operazioni user in esecuzione

8 Esecuzione delle applicazioni E sempre possibile indicare manualmente ad una applicazione di essere eseguita con privilegi elevati (Run elevated) E possibile anche indicare ad una applicazione di essere eseguita SEMPRE con privilegi elevati (è il tab Compatibility nelle proprietà delleseguibile) Pulsante Unlock per alcuni strumenti del Pannello di Controllo

9 Parental Control Garantisce un uso corretto del pc ai propri figli Limita quando e per quanto un figlio può utilizzare il computer Limita quali siti web un figlio può visitare Limita quali programmi un figlio può eseguire Restringe laccesso ad alcuni giochi Esegue report dettagliati sullutilizzo del computer da parte dei figli

10 Internet Explorer 7.0 Basato su UAP Esegue in modalità read-only (eccetto File Temporanei Internet e Cronologia) Malware penetrato da Internet non può eseguire operazioni dannose Gli Add-on possono essere installati solo col permesso dellutente Possibilità di cancellare tutta la cache e i controlli ActiveX con un solo clic Filtro anti-phishing integrato

11 Altre caratteristiche di IE7 Avvisa sempre lutente quando inserisce dati in un sito non protetto SSL/TLS Viene evidenziata la barra degli indirizzi se si è connessi ad un sito sicuro Tab browsing integrato in RTM Evidenzia il nome di dominio se questo è un indirizzo IP o contiene caratteri speciali IDN per gli URL con caratteri multilingua Zoom delle pagine web senza perdere qualità SSLv3 e TLSv1 per la crittazione

12 IE6 IE6 in esecuzione come Admin Installa un driver, Avvia Windows Update Modifica impostazioni, Download di immagini Cache dei contenuti Exploit possono installare MALWARE Accesso come Admin Accesso come User Temp Internet Files HKLM Program Files HKCU My Documents Startup Folder File e impostazioni non fidati

13 IE7 in Protected Mode IE7 in Protected Mode IE7 in Protected Mode Installa un driver, Installa un controllo ActiveX Modifica delle impostazioni, Salva immagini Integrity Control Broker Process Impostazioni e file rediretti Compat Redirector Contenuti in cache Accesso come Admin Accesso come User Temp Internet Files HKLM HKCC Program Files HKCU My Documents Startup Folder File e impostazioni non fidati

14 Protezione dai virus Agente integrato che opera in due fasi: Durante laggiornamento da XP a Vista, verifica i file esistenti su disco alla ricerca di virus (usa un database standard delle signature) Dopo linstallazione periodicamente Windows Vista scarica nuovi database delle signature da Windows Update

15 Windows Service Hardening Impedisce ai servizi Windows critici di eseguire attività dannose nel registro, nel file system o in rete Es. RPC bloccato nel modificare il registro Ad ogni servizio sono associati un SID e un profilo che consentono o negano operazioni locali o di rete Serve a bloccare i tentativi dei codici maligni di costringere i servizi di sistema a eseguire operazioni dannose E ora difficile che software maligni si propaghino da pc a pc

16 Network Access Protection Agente che impedisce a un client di connettersi alla rete interna se non dispone di ultime patch e antivirus aggiornato Dipende dalle caratteristiche dellinfrastruttura server circostante (Longhorn Server) Si applica a tecnologie DHCP, VPN, IEEE 802.1x, IPSec Serve a impedire che computer non protetti si connettano alla rete interna, diffondendo worm o virus Per informazioni sulla tecnologia

17 Firewall Basato sul firewall di Windows XP SP2 Filtri per il traffico in uscita Configurabile tramite Group Policy Configurabile tramite linea di comando

18 Avvio sicuro Situazione attuale Tanti programmi di cracking delle password Attacchi off-line alle chiavi di sistema Attacchi ai protocolli di sicurezza Furto o perdita di pc o dischi rigidi Compromissione dei file criptati Difficoltà ad eliminare completamente dati sensibili dai dischi (numerosi tools di analisi e recupero)

19 Soluzioni di Windows Vista TPM (Trusted Platform Module), metodo di sicurezza hardware-based Microchip installato su motherboard Protegge da attacchi software, non da operazioni di utenti riconosciuti Memorizza in maniera sicura tutte le chiavi di crittografia, password e certificati Evita accessi al disco (in caso di furto) Evita accessi ai dati da sistemi operativi diversi

20 Struttura del disco Le partizioni criptate dellOS contengono: OS crittato Page file crittato File temporanei criptati Dati criptati File di ibernazione crittato La System Partition contiene utility per il boot (non criptate, 50MB) MBR

21 Valore del Full Volume Encryption La crittazione del file di ibernazione protegge dallibernazione di portatili con documenti sensibili aperti La Full Volume Encryption aumenta la sicurezza di tutte le chiave di registry, file di configurazione, file di paginazione e ibernazione presenti sul disco crittato La semplice distruzione della chiave consente la dismissione sicura degli asset aziendali

22 Scenari di ripristino La chiave principale di crittazione, a scelta, è memorizzabile su supporti esterni o in AD, per successivo richiamo Scenario di ripristino dopo rottura dellhardware È possibile spostare il disco dal portatile rotto al nuovo portatile Scenario di ripristino dopo attacco Cambiamento/cancellazione dei file del Boot Loader

23 Ripristino dellavvio sicuro Abilitazione della funzione Accesso alla rete via AD Deposito della chiave per esempio via AD Lutente rompe il computer HD della macchina rotta inserito nella nuova macchina Utente chiama SysAdmin SysAdmin sblocca e fornisce la chiave utente dopo aver verificato le credenziali

24 EFS e FVE Partner nella protezione EFS Fornisce sicurezza nel contesto utente Migliorato in Windows Vista per incrementare la sicurezza fornita allutente (smartcards) Non misura lintegrità dei singoli componenti del processo di boot Non fornisce protezione offline per lOS, file temporanei, file di swap e di ibernazione FVE Fornisce sicurezza nel contesto macchina – pensato per proteggere lOS Protegge tutti i settori sul volume di installazione di Windows, inclusi i file temporanei, i file di swap e ibernazione. Non fornisce sicurezza a livello utente

25 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Scaricare ppt "Principali caratterisitche di sicurezza. Agenda UAP (User Account Protection) Parental Control Internet Explorer 7.0 Protezione dai virus Windows Service."

Presentazioni simili


Annunci Google