La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Principali caratterisitche di sicurezza

PubblicatoSimona Tucci Modificato 10 anni fa

Copie: 1
La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows Relatore :Ivan Salvadè
La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows Relatore :Ivan Salvadè

Presentazioni simili

Presentazione sul tema: "Principali caratterisitche di sicurezza"— Transcript della presentazione:

1 Principali caratterisitche di sicurezza

2 Agenda UAP (User Account Protection) Parental Control
Internet Explorer 7.0 Protezione dai virus Windows Service Hardening Network Access Protection Firewall Avvio sicuro

3 User Account Protection
E’ molto frequente lavorare sui propri pc come amministratori Ci consente usabilità Non ci consente sicurezza Virus, worm e spyware penetrano nelle macchine e usano questi privilegi amministrativi Chi ha troppi diritti, può fare “troppi danni”… Anche diverse applicazioni richiedono diritti di Administrator o di Power User Anche molte operazioni di gestione del sistema operativo li richiedono

4 Cosa fa UAP… Abilita gli utenti ad eseguire operazioni come non-administrator Solo l’utente built-in “Administrator” avrà sempre pieni poteri amministrativi Qualunque altro utente, anche facente parte del gruppo “Administrators”, avrà inizialmente poteri limitati Se deve eseguire operazioni comuni, userà questi suoi diritti limitati Se deve eseguire operazioni amministrative, dovrà effettuare un’elevazione dei suoi privilegi In Windows Vista Beta1, UAP non è abilitato per default. Nella Beta2 sarà attivo.

5 Come funziona UAP Per utenti del gruppo “Users”
Ogni volta che devono eseguire operazioni amministrative, sono richieste le credenziali di un utente amministrativo (come prima, ma senza obbligo di richiamare “Run as”) Per utenti di un gruppo amministrativo Al logon vengono dotati di uno “split-token” Possiedono ora 2 tipi di credenziali : amministrative e comuni. Quelle comuni sono utilizzate per tutte le operazioni comuni (browser, posta, ecc…) Per eseguire task amministrativi, un prompt chiede all’utente di confermare le credenziali di admin Per maggior scorrevolezza, è anche possibile far apparire il prompt, senza richiesta di re-immettere la password

6 Protezione delle applicazioni (1)
Durante l’installazione Windows Vista rileva ogni tentativo di lanciare un Setup Installer Il prompt chiede la conferma amministrativa Dopo l’installazione Vecchie applicazioni non funzionano correttamente se non si è amministratori Motivo : cercano di scrivere in parti di registro o in cartelle di solito accessibili solo agli amministratori Vista “virtualizza” queste parti di registro o cartelle e le trascrive in parti accessibili agli utenti standard (HKCU e per-user store)

7 Protezione delle applicazioni (2)
Le vecchie applicazioni funzionano ora anche con diritti di standard user UAP è da considerarsi come tecnologia di transizione Gli sviluppatori sono tenuti a scrivere codice compatibile con Windows Vista Usare tecnologia Windows Installer Fare testing come “non-administrator” Operazioni amministrative solo in installazione Operazioni user in esecuzione

8 Esecuzione delle applicazioni
E’ sempre possibile indicare manualmente ad una applicazione di essere eseguita con privilegi elevati (“Run elevated”) E’ possibile anche indicare ad una applicazione di essere eseguita SEMPRE con privilegi elevati (è il tab “Compatibility” nelle proprietà dell’eseguibile) Pulsante “Unlock” per alcuni strumenti del Pannello di Controllo

9 Parental Control Garantisce un uso “corretto” del pc ai propri figli
Limita quando e per quanto un figlio può utilizzare il computer Limita quali siti web un figlio può visitare Limita quali programmi un figlio può eseguire Restringe l’accesso ad alcuni giochi Esegue report dettagliati sull’utilizzo del computer da parte dei figli

10 Internet Explorer 7.0 Basato su UAP
Esegue in modalità read-only (eccetto “File Temporanei Internet” e “Cronologia) Malware penetrato da Internet non può eseguire operazioni dannose Gli Add-on possono essere installati solo col permesso dell’utente Possibilità di cancellare tutta la cache e i controlli ActiveX con un solo clic Filtro anti-phishing integrato

11 Altre caratteristiche di IE7
Avvisa sempre l’utente quando inserisce dati in un sito non protetto SSL/TLS Viene evidenziata la barra degli indirizzi se si è connessi ad un sito sicuro “Tab browsing” integrato in RTM Evidenzia il nome di dominio se questo è un indirizzo IP o contiene caratteri speciali IDN per gli URL con caratteri multilingua Zoom delle pagine web senza perdere qualità SSLv3 e TLSv1 per la crittazione

12 Exploit possono installare MALWARE Exploit possono installare MALWARE
IE6 in esecuzione come Admin IE6 Accesso come Admin Installa un driver, Avvia Windows Update HKLM Program Files Exploit possono installare MALWARE Accesso come User Modifica impostazioni, Download di immagini HKCU My Documents Startup Folder Exploit possono installare MALWARE Temp Internet Files Cache dei contenuti File e impostazioni non fidati

13 File e impostazioni non fidati
IE7 in Protected Mode IE7 in Protected Mode Integrity Control Impostazioni e file rediretti Compat Redirector Broker Process Accesso come Admin Installa un driver, Installa un controllo ActiveX HKLM HKCC Program Files Accesso come User Modifica delle impostazioni, Salva immagini HKCU My Documents Startup Folder Temp Internet Files File e impostazioni non fidati Contenuti in cache

14 Protezione dai virus Agente integrato che opera in due fasi:
Durante l’aggiornamento da XP a Vista, verifica i file esistenti su disco alla ricerca di virus (usa un database standard delle signature) Dopo l’installazione periodicamente Windows Vista scarica nuovi database delle signature da Windows Update

15 Windows Service Hardening
Impedisce ai servizi Windows critici di eseguire attività dannose nel registro, nel file system o in rete Es. RPC bloccato nel modificare il registro Ad ogni servizio sono associati un SID e un profilo che consentono o negano operazioni locali o di rete Serve a bloccare i tentativi dei codici maligni di costringere i servizi di sistema a eseguire operazioni dannose E’ ora difficile che software maligni si propaghino da pc a pc

16 Network Access Protection
Agente che impedisce a un client di connettersi alla rete interna se non dispone di ultime patch e antivirus aggiornato Dipende dalle caratteristiche dell’infrastruttura server circostante (Longhorn Server) Si applica a tecnologie DHCP, VPN, IEEE 802.1x, IPSec Serve a impedire che computer non protetti si connettano alla rete interna, diffondendo worm o virus Per informazioni sulla tecnologia

17 Firewall Basato sul firewall di Windows XP SP2
Filtri per il traffico in uscita Configurabile tramite Group Policy Configurabile tramite linea di comando

18 Avvio sicuro Situazione attuale
Tanti programmi di cracking delle password Attacchi off-line alle chiavi di sistema Attacchi ai protocolli di sicurezza Furto o perdita di pc o dischi rigidi Compromissione dei file criptati Difficoltà ad eliminare completamente dati sensibili dai dischi (numerosi tools di analisi e recupero)

19 Soluzioni di Windows Vista
TPM (Trusted Platform Module), metodo di sicurezza hardware-based Microchip installato su motherboard Protegge da attacchi software, non da operazioni di utenti riconosciuti Memorizza in maniera sicura tutte le chiavi di crittografia, password e certificati Evita accessi al disco (in caso di furto) Evita accessi ai dati da sistemi operativi diversi

20 Struttura del disco MBR Le partizioni criptate dell’OS contengono:
OS crittato Page file crittato File temporanei criptati Dati criptati File di ibernazione crittato MBR La System Partition contiene utility per il boot (non criptate, 50MB)

21 Valore del Full Volume Encryption
La crittazione del file di ibernazione protegge dall’ibernazione di portatili con documenti sensibili aperti La Full Volume Encryption aumenta la sicurezza di tutte le chiave di registry, file di configurazione, file di paginazione e ibernazione presenti sul disco crittato La semplice distruzione della chiave consente la dismissione sicura degli asset aziendali

22 Scenari di ripristino La chiave principale di crittazione, a scelta, è memorizzabile su supporti esterni o in AD, per successivo richiamo Scenario di ripristino dopo rottura dell’hardware È possibile spostare il disco dal portatile rotto al nuovo portatile Scenario di ripristino dopo attacco Cambiamento/cancellazione dei file del Boot Loader

23 Ripristino dell’avvio sicuro
Abilitazione della funzione Deposito della chiave per esempio via AD L’utente rompe il computer HD della macchina rotta inserito nella nuova macchina Accesso alla rete via AD Utente chiama SysAdmin SysAdmin sblocca e fornisce la chiave utente dopo aver verificato le credenziali

24 EFS e FVE Partner nella protezione
Fornisce sicurezza nel contesto utente Migliorato in Windows Vista per incrementare la sicurezza fornita all’utente (smartcards) Non misura l’integrità dei singoli componenti del processo di boot Non fornisce protezione offline per l’OS, file temporanei, file di swap e di ibernazione FVE Fornisce sicurezza nel contesto macchina – pensato per proteggere l’OS Protegge tutti i settori sul volume di installazione di Windows, inclusi i file temporanei, i file di swap e ibernazione. Non fornisce sicurezza a livello utente

25 © 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Scaricare ppt "Principali caratterisitche di sicurezza"

Presentazioni simili

3/25/2017 3:51 AM TechNet Security Workshop per la PMI Come rendere sicura l'infrastruttura IT di una Piccola e Media Impresa Marco Agnoli Responsabile.

3/25/2017 3:51 AM TechNet Security Workshop per la PMI Come rendere sicura l'infrastruttura IT di una Piccola e Media Impresa Marco Agnoli Responsabile.
Magic Desktop Senza Segreti

Magic Desktop Senza Segreti
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
AVVIARE IL COMPUTER WINDOWS ‘98 Queta fase è definita BOOTSTRAP

AVVIARE IL COMPUTER WINDOWS ‘98 Queta fase è definita BOOTSTRAP
Modulo 1 – Ambiente di lavoro Windows 7

Modulo 1 – Ambiente di lavoro Windows 7
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.

Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Overview. Agenda Hardware per Windows Vista Sicurezza e Protezione Dati Affidabilità e prestazioni Installazione e distribuzione Produttività

Overview. Agenda Hardware per Windows Vista Sicurezza e Protezione Dati Affidabilità e prestazioni Installazione e distribuzione Produttività
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN

ISA Server 2004 Configurazione di Accessi via VPN
La riduzione dei privilegi in Windows

La riduzione dei privilegi in Windows
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.

Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory

Introduzione ad Active Directory
Sviluppare applicazioni per utenti non-admin Fabio Santini Senior Developer Evangelist.

Sviluppare applicazioni per utenti non-admin Fabio Santini Senior Developer Evangelist.
Sicurezza e protezione dei dati

Sicurezza e protezione dei dati
Configuring Network Access

Configuring Network Access
Sharepoint Gabriele Castellani

Sharepoint Gabriele Castellani
| | Microsoft Certificate Lifecycle Manager.

| | Microsoft Certificate Lifecycle Manager.
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.

Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Business Value Launch /27/2017 2:28 AM

Business Value Launch /27/2017 2:28 AM
Overview Aldo Tuberty Vilà.

Overview Aldo Tuberty Vilà.

Presentazioni simili

Annunci Google