La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Windows Security Windows Security Fabio Santini.NET Senior Developer Evangelist Microsoft Italy.

Presentazioni simili


Presentazione sul tema: "Windows Security Windows Security Fabio Santini.NET Senior Developer Evangelist Microsoft Italy."— Transcript della presentazione:

1

2 Windows Security Windows Security Fabio Santini.NET Senior Developer Evangelist Microsoft Italy

3 Windows Security Windows Security Raffaele Rialdi Microsoft C# MVPhttp://mvp.support.microsoft.com MVP Profilehttp://snipurl.com/f0cv Bloghttp://blogs/ugidotnet.org/raffaele Vevy Europe SpA

4 Agenda Termini base Termini base SID, Logon Session, ACL, Privilegi, LSA… SID, Logon Session, ACL, Privilegi, LSA… Protocolli di autenticazione Protocolli di autenticazione Impersonation e Delegation Impersonation e Delegation Code Access Security del Framework.NET Code Access Security del Framework.NET Auditing Auditing Q&A Q&A

5 Termini base Autorizzazione != Autenticazione Autorizzazione != Autenticazione Autenticazione – Chi sei? Autenticazione – Chi sei? Autorizzazione – Cosa puoi fare? Autorizzazione – Cosa puoi fare? Principal – unentità che può essere autenticata Principal – unentità che può essere autenticata Authority – unentita che rappresenta un set specifico di principal Authority – unentita che rappresenta un set specifico di principal Trust – è importante fidarsi di alcune authority che sono in grado di verificare correttamente le identità Trust – è importante fidarsi di alcune authority che sono in grado di verificare correttamente le identità Authorities (domini) possono fidarsi a vicenda (la fiducia è transitiva da win2k) Authorities (domini) possono fidarsi a vicenda (la fiducia è transitiva da win2k)

6 Termini base User Accounts: User Accounts: Gli user account sono identificati da uno user name e una password. Lo user name è letichetta e la password è la stringa di autenticazione per laccount. Gli user account sono identificati da uno user name e una password. Lo user name è letichetta e la password è la stringa di autenticazione per laccount. Group account Group account Si utilizzano i group account per definire i permessi a utenti simili e per semplificare la gestione degli account. Si utilizzano i group account per definire i permessi a utenti simili e per semplificare la gestione degli account.

7 Trusted Computing Base (TCB) TCB – definita come Federal Standard 1037C TCB – definita come Federal Standard 1037C Il Kernel mode è la parte principale del TCB, non ha limiti di accesso a nessuna risorsa di sistema Il Kernel mode è la parte principale del TCB, non ha limiti di accesso a nessuna risorsa di sistema Lo User mode può essere parte del TCB in relazione al tipo di processo e della impostazioni Lo User mode può essere parte del TCB in relazione al tipo di processo e della impostazioni Il disegno di un sistema operativo deve dividere in maniera assoluta codice fidato da codice non fidato Il disegno di un sistema operativo deve dividere in maniera assoluta codice fidato da codice non fidato per definizione, kernel code è fidato per definizione, kernel code è fidato tutto quello che scrivete è per default non fidato tutto quello che scrivete è per default non fidato TCB Kernel mód TCB parte non fidata parte fidata senza limiti

8 Utente administrator Lutente Administrator in Windows è considerato parte della TCB Lutente Administrator in Windows è considerato parte della TCB Il suo ruolo è quello di definire il TCB e di configurare i livelli di fiducia che il sistema operativo deve usare per ogni account Il suo ruolo è quello di definire il TCB e di configurare i livelli di fiducia che il sistema operativo deve usare per ogni account Windows non può essere messo in sicurezza da un administrator distratto Windows non può essere messo in sicurezza da un administrator distratto

9 Principal e account Il Principal è unentità che può essere principalmente autenticata come: Il Principal è unentità che può essere principalmente autenticata come: User User Computer Computer Laccount rappresenta un set di dati riguardanti un principal Laccount rappresenta un set di dati riguardanti un principal Un account esiste in contesti differenti: Un account esiste in contesti differenti: Local account Local account Network Network La differenza sta nel tipo di authority che gestisce laccount La differenza sta nel tipo di authority che gestisce laccount Local – TCB e lauthority Local – TCB e lauthority Network – Domain è lauthority Network – Domain è lauthority

10 I domini sono regni fidati I domini possono contenere I domini possono contenere Utenti Utenti Computer Computer Gli account di dominio si estendono sui computer in rete Gli account di dominio si estendono sui computer in rete MyDomain\MyAccount è riconosciuto su tutti i computer che fanno parte di un certo dominio MyDomain\MyAccount è riconosciuto su tutti i computer che fanno parte di un certo dominio La fiducia tra domini estende il regno La fiducia tra domini estende il regno Se YourDomain si fida di MyDomain, allora YourDomain riconosce MyDomain\MyAccount Se YourDomain si fida di MyDomain, allora YourDomain riconosce MyDomain\MyAccount Un client in un dominio può autenticarsi su un qualunque server che è raggiungibile da un percorso di fiducia dal server verso il client Un client in un dominio può autenticarsi su un qualunque server che è raggiungibile da un percorso di fiducia dal server verso il client

11 Ogni computer è un isola Ogni computer è un isola Un account su un computer è separato da un altro account su un computer differente Un account su un computer è separato da un altro account su un computer differente Local account possono autenticarsi in rete se i propri user name e password corrispondono sugli altri computer (tipico nel workgroup) Local account possono autenticarsi in rete se i propri user name e password corrispondono sugli altri computer (tipico nel workgroup) Altrimenti in generale questi sono account differenti: Altrimenti in generale questi sono account differenti: Computer1\User1 Computer1\User1 Computer2\User1 Computer2\User1 Domain\User1 Domain\User1

12 Schema di autenticazione Principal Authentication Logon Session Domain Domain Controller / Backup Domain Controller Token SID Authorization NTLM/Kerberos.SAM.SAM/AD LSA Lsass.exe

13 Cosè un SID? SID = Security Identifier SID = Security Identifier Un valore univoco in tempo e in spazio che determina un oggetto di sicurezza del sistema Un valore univoco in tempo e in spazio che determina un oggetto di sicurezza del sistema Lunica eccezione è il SID legato alla Logon Session 999 (SYSTEM) Lunica eccezione è il SID legato alla Logon Session 999 (SYSTEM) Si basa su un identificatore di 96 bit creato quando si installa Windows Si basa su un identificatore di 96 bit creato quando si installa Windows Struttura del SID è: S-R-I-SA-SA-SA [- RID] Struttura del SID è: S-R-I-SA-SA-SA [- RID] RID (identificativo relativo), predefinito in winnt.h RID (identificativo relativo), predefinito in winnt.h Administrátor: S XXXX-XXXX-XXXX-500 Guest: S XXXX-XXXX-XXXX-501

14 LSA LSA = Local Security Authority LSA = Local Security Authority Una struttura flessibile che fornisce il servizio di autenticazione Una struttura flessibile che fornisce il servizio di autenticazione Eseguito in un processo privilegiato lsass.exe Eseguito in un processo privilegiato lsass.exe LSA è il processo principale che lavora con i local accounts => può lavorare come un DC in piccole reti LSA è il processo principale che lavora con i local accounts => può lavorare come un DC in piccole reti.SAM COMP1\User1 – SID1.SAM COMP2\User1 – SID2 LSA Authomatic logon (Network Logon Session)

15 WINLOGON (Winlogon.exe) GINA (Msgina.dll) Local Security Authority (LSA) Authentication Package NETLOGON (Local Computer) NETLOGON (Domain Computer) Authentication Package Security Account Manager Local user database LSA policy database Processo di autenticazione Interactive Logon Session TOKEN

16 Logon Session Un istanza di un principal che gira su un computer Un istanza di un principal che gira su un computer Per ogni autenticazione locale o remota il kernel genera una nuova logon session Per ogni autenticazione locale o remota il kernel genera una nuova logon session La logon session viene distrutta non appena tutti i token che la referenziano vengono chiusi (reference count) La logon session viene distrutta non appena tutti i token che la referenziano vengono chiusi (reference count) Per gli utenti guest viene creata una logon session speciale chiamata null session Per gli utenti guest viene creata una logon session speciale chiamata null session Una sessione inizia da unautenticazione del TCB Una sessione inizia da unautenticazione del TCB Tre eccezioni: Al boot vengono create le logon session per Local System, Local Service, Network Service che quindi non necessitano di password Tre eccezioni: Al boot vengono create le logon session per Local System, Local Service, Network Service che quindi non necessitano di password Logon session mantiene dati importanti Logon session mantiene dati importanti Alla logoff, l'OS cerca di chiudere tutti i processi collegati alla logon session associata all'utente loggato Alla logoff, l'OS cerca di chiudere tutti i processi collegati alla logon session associata all'utente loggato Usata per memorizzare le credenziali del client in cache (kerberos tickets…) Usata per memorizzare le credenziali del client in cache (kerberos tickets…)

17 Logon session Non è un termine astratto, una logon session è fisicamente un operazione del sistema operativo Non è un termine astratto, una logon session è fisicamente un operazione del sistema operativo Logon session = Reception in Microsoft Logon session = Reception in Microsoft I visitatori ottengono il loro badge che fornisce la loro identità e i loro diritti I visitatori ottengono il loro badge che fornisce la loro identità e i loro diritti La Logon session può essere vista dagli sviluppatori attravero il token La Logon session può essere vista dagli sviluppatori attravero il token Computer A Honza Interactive Logon Session Computer B Honza Network Logon Session Computer C Honza Network Logon Session

18 Tipi di Logon Session System Logon Session Interactive Logon Session Deamon Logon Session Network Logon Session

19 System Logon Session Ogni computer ha una sola SLS Ogni computer ha una sola SLS Ha sempre lo stesso identificativo 999 (0x3E7) Ha sempre lo stesso identificativo 999 (0x3E7) SID: S SID: S

20 Secondary Logon Sessions Windows 2000 ha introdotto un nuovo servizio Windows 2000 ha introdotto un nuovo servizio RunAs in Win2k, Secondary Logon in XP RunAs in Win2k, Secondary Logon in XP Esegue un processo in una secondary logon session Esegue un processo in una secondary logon session Autentica lutente, esegue il processo nella stessa windows session, ma in una nuova logon session Autentica lutente, esegue il processo nella stessa windows session, ma in una nuova logon session Può o non può caricare i profili Può o non può caricare i profili CreateProcessWithLogonW CreateProcessWithLogonW Disponibile nel menù di contesto degli eseguibili Disponibile nel menù di contesto degli eseguibili

21 RunAs RunAs RunAs User logon (interactive logon session) User logon (interactive logon session) Users profile Users profile Registry Registry

22 Token Token è un oggetto kernel che tiene i dati di una identity: Token è un oggetto kernel che tiene i dati di una identity: Users SID Users SID Group SID Group SID Privilegi Privilegi Ogni processo ha il suo token che rappresenta il principal Ogni processo ha il suo token che rappresenta il principal Alcuni processi vengono eseguiti come SYSTEM account quando il computer si avvia Alcuni processi vengono eseguiti come SYSTEM account quando il computer si avvia Quando un utente esegue il log il processo di shell viene eseguito in user mode sotto uno specifico principal Quando un utente esegue il log il processo di shell viene eseguito in user mode sotto uno specifico principal WinLogon.exe (SYSTEM) inizializza la shell dellutente con il metodo CreateProcessAsUser => e il token dellutente viene propagato a tutti i processi eseguiti WinLogon.exe (SYSTEM) inizializza la shell dellutente con il metodo CreateProcessAsUser => e il token dellutente viene propagato a tutti i processi eseguiti

23 Processi e token Ogni processo in Windows viene eseguito con la propria identity Ogni processo in Windows viene eseguito con la propria identity Ogni processo è inizializzato con il proprio token Ogni processo è inizializzato con il proprio token I nuovi processi ricevono una copia del token dal processo originario I nuovi processi ricevono una copia del token dal processo originario I token stabiliscono le restrizioni sul processo, i suoi privilegi per accedere alle risorse,etc. I token stabiliscono le restrizioni sul processo, i suoi privilegi per accedere alle risorse,etc. Dealer\Bob winword.exe Dealer\Bob explorer.exe

24 Tokens di Processi e Thread Ogni processo viene eseguito con un token Ogni processo viene eseguito con un token Tipicamente lo stesso del parent Tipicamente lo stesso del parent I thread di un processo possono avere un token I thread di un processo possono avere un token Se si, il thread sta impersonando lutente con il quale è stato creato il token Se si, il thread sta impersonando lutente con il quale è stato creato il token Se no, il thread viene eseguito con lo stesso token del processo padre Se no, il thread viene eseguito con lo stesso token del processo padre Quando un processo è partito il token non può essere cambiato Quando un processo è partito il token non può essere cambiato Il token di un thread può essere cambiato in ogni momento Il token di un thread può essere cambiato in ogni momento Può essere converito al token del processo Può essere converito al token del processo In questo caso il thread non ha più il suo token In questo caso il thread non ha più il suo token

25 Tokens Process Explorer for Windows 9x/NT/2000/XP/S2K3 Process Explorer for Windows 9x/NT/2000/XP/S2K3

26 Privilegi Un meccanismo che permette di eseguire il tuning delle policy di sicurezza Un meccanismo che permette di eseguire il tuning delle policy di sicurezza es., Invece di configurare ogni file per essere gestito dal backup operators group è sufficiente assegnare al gruppo i privilegi di backup es., Invece di configurare ogni file per essere gestito dal backup operators group è sufficiente assegnare al gruppo i privilegi di backup Alcuni privilegi interessanti: Alcuni privilegi interessanti: Backup, restore Backup, restore Shutdown del sistema, cambio del clock di sistema Shutdown del sistema, cambio del clock di sistema Debug di un programma Debug di un programma Eseguire come parte del sistema operativo (TCB) Eseguire come parte del sistema operativo (TCB) Una volta concesso, il privilegio diventa parte del token dellutente Una volta concesso, il privilegio diventa parte del token dellutente Ma può essere abilitato o disabilitato Ma può essere abilitato o disabilitato

27 Il token nei processi e nei thread Il token del thread è Il token del thread è Usato per controllare laccesso agli oggetti del kernel Usato per controllare laccesso agli oggetti del kernel Usato come identità di rete in molti casi Usato come identità di rete in molti casi SQL Server integrated security SQL Server integrated security Named pipes, etc Named pipes, etc Il token di processo è Il token di processo è Copiato in un nuovo processo per default Copiato in un nuovo processo per default Usato per chiamate DCOM in uscita per default Usato per chiamate DCOM in uscita per default Lunico vero contesto di sicurezza sempre disponibile Lunico vero contesto di sicurezza sempre disponibile Potrebbe non esserci un token di thread Potrebbe non esserci un token di thread

28 Impersonation e delegation Un nuovo token di security viene assegnato al thread (tipicamente quello dell'utente autenticato). Il token di processo rimane invariato. Un nuovo token di security viene assegnato al thread (tipicamente quello dell'utente autenticato). Il token di processo rimane invariato. L'API RevertToSelf elimina il token del thread annullando l'impersonazione. L'API RevertToSelf elimina il token del thread annullando l'impersonazione. Kerberos non consente la propagazione del token di thread. Questo significa che il processo che impersona può usare quel token solo sul PC locale e non in rete Kerberos non consente la propagazione del token di thread. Questo significa che il processo che impersona può usare quel token solo sul PC locale e non in rete La soluzione (sbagliata) è delegation che è disabilitata by-default La soluzione (sbagliata) è delegation che è disabilitata by-default La soluzione migliore è il cambio di architettura, ma spesso non è la scelta più semplice La soluzione migliore è il cambio di architettura, ma spesso non è la scelta più semplice Nella vita reale impersonation è la delega Nella vita reale delegation è la procura Nella vita reale impersonation è la delega Nella vita reale delegation è la procura

29 Delegation (default disabilitata) Delegation per localsystem Delegation per un utente Utenti che hanno il privilegio di impostare delegation (default = administrators)

30 Dove siamo? Il modello di sicurezza classico Autenticazione utenti Autenticazione utenti Applicazioni girano usando un account utente (token) Applicazioni girano usando un account utente (token) Utenti e Gruppi possono essere organizzati in gruppi Utenti e Gruppi possono essere organizzati in gruppi Ai gruppi o agli utenti possono essere assegnati o tolti permessi per accedere a risorse (NTFS, rete, device, etc.) Ai gruppi o agli utenti possono essere assegnati o tolti permessi per accedere a risorse (NTFS, rete, device, etc.) Per il codice (Activex, VBA,...) il sistema è quello di: Per il codice (Activex, VBA,...) il sistema è quello di: firmare con un certificato X509 fidandosi ciecamente del programmatore che l'ha firmato firmare con un certificato X509 fidandosi ciecamente del programmatore che l'ha firmato chiedere all'utente finale la conferma chiedere all'utente finale la conferma... risultato = disastro

31 Il modello della CAS nel Framework.NET CAS = Code Access Security IE può ospitare all'interno della pagina HTML dei controlli Winform. La CAS può far girare questi controlli senza alcuna richiesta all'utente IE può ospitare all'interno della pagina HTML dei controlli Winform. La CAS può far girare questi controlli senza alcuna richiesta all'utente La stessa cosa vale per intere applicazioni o solo assembly scaricati da internet La stessa cosa vale per intere applicazioni o solo assembly scaricati da internet La CAS è fondamentale per chi scrive controlli ("Least Privilege Model") La CAS è fondamentale per chi scrive controlli ("Least Privilege Model") La CAS dà agli admin un potere che mai hanno avuto prima La CAS dà agli admin un potere che mai hanno avuto prima Limita ciò che può essere eseguito nel codice Limita ciò che può essere eseguito nel codice Protegge il PC da codice di provenienza incerta (spyware, adware, malaware, virus, worm,...) Protegge il PC da codice di provenienza incerta (spyware, adware, malaware, virus, worm,...) Impedisce selettivamente che del codice possa accedere a certe funzionalità dell'OS Impedisce selettivamente che del codice possa accedere a certe funzionalità dell'OS

32 CAS: a cosa non serve Non è un sistema di protezione del software contro gli hacker Non è un sistema di protezione del software contro gli hacker Non è un sistema che autorizza l'uso del software sotto licenza Non è un sistema che autorizza l'uso del software sotto licenza Protegge l'utente che usa il software solo se vuole essere protetto (admin può disabilitare la CAS...) Protegge l'utente che usa il software solo se vuole essere protetto (admin può disabilitare la CAS...)

33 Questione di punti di vista... Risorsa ACL Token User Esecuzione Permission Evidence Codice Autenticazione Autorizzazione Autenticazione Autorizzazione CAS NT

34 La difficoltà sta nel... glossario EvidenceProve di protezione EvidenceProve di protezione Strong nameNome sicuro Strong nameNome sicuro Code GroupGruppi di codice Code GroupGruppi di codice Full trustAttendibilità totale Full trustAttendibilità totale Partial trustAttendibilità parziale Partial trustAttendibilità parziale Security Policy... Security Policy... PermissionAutorizzazioni PermissionAutorizzazioni Permission SetSet di autorizzazioni Permission SetSet di autorizzazioni Stack Walk... Stack Walk... Assert... Assert... Demand... Demand

35 Configurazione della CAS Si esegue tramite CasPol (command line) oppure tramite il Framework Configuration Tool Si esegue tramite CasPol (command line) oppure tramite il Framework Configuration Tool

36 Permission: "cosa vuoi fare?" (autorizzazione) I permessi sono le autorizzazioni ad eseguire una certa operazione I permessi sono le autorizzazioni ad eseguire una certa operazione Il framework ne predefinisce un certo numero Il framework ne predefinisce un certo numero I permessi definiti nella CAS sono trasversali a quelli più noti come NTFS, SQL, etc. I permessi definiti nella CAS sono trasversali a quelli più noti come NTFS, SQL, etc. Per ciascun permesso è possibile definire dei valori molto dettagliati Per ciascun permesso è possibile definire dei valori molto dettagliati È possibile costruire dagli admin tool o programmaticamente un gruppo di permessi chiamato Permission Set È possibile costruire dagli admin tool o programmaticamente un gruppo di permessi chiamato Permission Set

37 Evidence: "chi sei?" (autenticazione) Evidence è la prova oggettiva per sapere di chi è o da dove proviene il codice managed Evidence è la prova oggettiva per sapere di chi è o da dove proviene il codice managed La CAS può identificare un assembly basandosi su: La CAS può identificare un assembly basandosi su: Cartella dove risiede Cartella dove risiede Sito o Url da cui viene scaricato Sito o Url da cui viene scaricato Zona in cui si trova Zona in cui si trova Strong Name presente nel suo manifest Strong Name presente nel suo manifest Hash dell'assembly Hash dell'assembly Firma digitale (Authenticode, stessa degli Activex) Firma digitale (Authenticode, stessa degli Activex) Al caricamento dell'assembly in memoria, viene subito ricavata l'evidence Al caricamento dell'assembly in memoria, viene subito ricavata l'evidence È possibile da codice associare una evidence ad un AppDomain in modo da isolare degli assembly È possibile da codice associare una evidence ad un AppDomain in modo da isolare degli assembly

38 Code Group e Security Policy I Code Group sono l'associazione di un evidence con un insieme di permessi I Code Group sono l'associazione di un evidence con un insieme di permessi Una Security Policy è una collection di Code Group Una Security Policy è una collection di Code Group EvidencePermission Set

39 Al runtime viene fatto il calcolo dei permessi effettivi Unione Intersezione void SetAppDomainPolicy(PolicyLevel domainPolicy);

40 MA... in configurazioni complesse non sempre l'unione è esaustiva di quello che vorremmo in configurazioni complesse non sempre l'unione è esaustiva di quello che vorremmo Level Final Exclusive

41 Come gestire la CAS da codice? Lo strumento principale sono: Lo strumento principale sono: le classi xxxPermission e relativi attributi le classi xxxPermission e relativi attributi Queste classi permettono di chiedere alla CAS di: Queste classi permettono di chiedere alla CAS di: eseguire controlli e (se necessario) lanciare la SecurityException eseguire controlli e (se necessario) lanciare la SecurityException ISecurityEncodable IStackWalk IPermission FileIOPermission UIPermission EnvironmentPermssion PermissionSet FileIOPermission Attribute UIPermission Attribute EnvironmentPermssion Attribute CodeAccessPermission Attribute CodeAccessPermission

42 Stack Walk La CAS effettua uno 'stack walk' per verificare che i chiamanti abbiano i permessi di eseguire una determinata operazione (file I/O, socket,...) La CAS effettua uno 'stack walk' per verificare che i chiamanti abbiano i permessi di eseguire una determinata operazione (file I/O, socket,...) SecurityException OK Demand Stack walk Metodo1 Metodo2 Metodo3 Metodo4 permission negata Stack walk // Richiesta imperativa... FileIOPermission perm = new FileIOPermission( perm.Demand(); // Richiesta imperativa... FileIOPermission perm = new FileIOPermission( perm.Demand(); //... oppure dichiarativa (sull'assembly) [assembly:FileIOPermission( SecurityAction.Demand, All ] //... oppure dichiarativa (sull'assembly) [assembly:FileIOPermission( SecurityAction.Demand, All ]

43 Strong Name Lo strong name dovrebbe essere "aziendale" e ben custodito Lo strong name dovrebbe essere "aziendale" e ben custodito Esegue una sorta di "firma" sull'assembly Esegue una sorta di "firma" sull'assembly Le specifiche ECMA raccomandano l'uso dello strong name solo per il versioning e MAI per sicurezza Le specifiche ECMA raccomandano l'uso dello strong name solo per il versioning e MAI per sicurezza Esistono sistemi per ingannare il CLR e far caricare un Assembly tampered anche se firmato con strong name. Esistono sistemi per ingannare il CLR e far caricare un Assembly tampered anche se firmato con strong name. La registrazione in GAC richiede lo strong name La registrazione in GAC richiede lo strong name Se un assembly partially trusted chiama un full trusted con strong name, questo necessita dell'attributo: [assembly:AllowPartiallyTrustedCallers] Se un assembly partially trusted chiama un full trusted con strong name, questo necessita dell'attributo: [assembly:AllowPartiallyTrustedCallers]

44 Tool: Exporting and deploying Security Policy File.MSI Create Deploy

45 Tool Adjusting Security

46 Tool: Evaluating an assembly

47 Tool: Trusting an assembly

48 Auditing Auditing di Windows permette agli eventi di audit di apparire dentro il Security Event Log. Vi avverte su potenziali problemi di sicurezza Auditing di Windows permette agli eventi di audit di apparire dentro il Security Event Log. Vi avverte su potenziali problemi di sicurezza Potete fare audit di: Potete fare audit di: Log on/Log off: Log on/Log off: Accesso a file: Accesso a file: Gestione utenti e gruppi: Gestione utenti e gruppi: Creazione, cambiamento o cancellazione di utenti o gruppi Creazione, cambiamento o cancellazione di utenti o gruppi Security Policy Changes: Security Policy Changes: Ogni modifica sui diritti degli utenti o sul cambiamento di policy. Ogni modifica sui diritti degli utenti o sul cambiamento di policy. Restart, Shutdown, e System Process Tracking: Restart, Shutdown, e System Process Tracking: Monitorizza lattivazione dei programmi, la duplicazione degli handle, accesso indiretto agli oggetti e terminazione dei processi. Monitorizza lattivazione dei programmi, la duplicazione degli handle, accesso indiretto agli oggetti e terminazione dei processi.

49 Auditing

50 Auditing Per abilitare lauditing, devete avere una logon session come membro del gruppo Administrators group (Domain Admins sono membri). Per abilitare lauditing, devete avere una logon session come membro del gruppo Administrators group (Domain Admins sono membri).

51 Auditing Quando fate auditing, potete avere: Quando fate auditing, potete avere: Success: Un successo indica che lutente ha ottenuto correttamente laccesso alla risorse. Success: Un successo indica che lutente ha ottenuto correttamente laccesso alla risorse. Failure: Un fallimento indica che lutente ha tentato di accedere ad una risorsa per la quale non ha sufficienti permessi. Failure: Un fallimento indica che lutente ha tentato di accedere ad una risorsa per la quale non ha sufficienti permessi. Esempio – Cosa significa avere una serie di fallimenti e poi un successo ? Cosa ha fatto lamministratore della macchina per interferire con tale processo ? Esempio – Cosa significa avere una serie di fallimenti e poi un successo ? Cosa ha fatto lamministratore della macchina per interferire con tale processo ?

52 Domande?

53 © 2004 Microsoft Corporation. All rights reserved. Some parts of this presentation are copyrighted by Skilldrive.com This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.


Scaricare ppt "Windows Security Windows Security Fabio Santini.NET Senior Developer Evangelist Microsoft Italy."

Presentazioni simili


Annunci Google