Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
1
La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows Relatore :Ivan Salvadè ivan.salvade@pipeline.it
2
Agenda 09.30 Introduzione alle legge 196/03 Criteri di protezione generali La sicurezza delle password Il backup dei dati Laggiornamento del software Analisi del software con Microsost Baseline Security Analizer (MBSA) Aggiornamento del software con Windows Server Update Services (WSUS) Limportanza del software antivirus - introduzione a Windows One Care Live (WOCL) 11.15 Intervallo
3
Agenda 11.30 Protezione dei client Windows XP Service Pack 2 e Windows Firewall Crittografia dei dati : Encrypted File System (EFS) 13.00Pausa Pranzo
4
Agenda 14.00 Protezione della rete interna Introduzione a ISA Server 2004 Protezione di Exchange Server con ISA Server 2004 ISA Server 2004 Appliances 15.45Intervallo La sicurezza delle reti Wireless Windows VISTA : cenni alle principali caratteristiche di sicurezza 17.30Domande e risposte
5
La gestione del software: Software Asset Management (SAM) per unazienda lamministrazione di un parco PC può diventare complessa per unazienda lamministrazione di un parco PC può diventare complessa con il tempo è possibile anche involontariamente perdere il controllo dei software installati e delle licenze possedute con il tempo è possibile anche involontariamente perdere il controllo dei software installati e delle licenze possedute le possibili conseguenze di questa situazione: le possibili conseguenze di questa situazione: mancata ottimizzazione della spesa IT installazione di software non autorizzato problemi di sicurezza parco software eterogeneo per tipologia e versione dei prodotti rischio di violazione delle norme sul Diritto dAutore I rivenditori possono aiutare i loro clienti a semplificare la complessità gestionale offrendo un servizio di gestione del software (SAM)
6
SAM: benefici per i rivenditori qualificarsi presso il cliente con un servizio nuovo e di estrema utilità (nuovi clienti) qualificarsi presso il cliente con un servizio nuovo e di estrema utilità (nuovi clienti) diventare interlocutore privilegiato sui temi di licensing (fidelizzazione) diventare interlocutore privilegiato sui temi di licensing (fidelizzazione) aprirsi un nuovo business per la vendita del servizio e delle eventuali licenze mancanti (vendite da regolarizzazione) (*) aprirsi un nuovo business per la vendita del servizio e delle eventuali licenze mancanti (vendite da regolarizzazione) (*) (*) Il tasso di pirateria in Italia è del 50%. Fonte: IDC, Piracy Study 2005.
7
Acquisisci la specializzazione SAM è disponibile nel Microsoft Partner Program la competenza Licensing Solutions è possibile ottenere la competenza acquisendo la specializzazione SAM in essa prevista requisiti della specializzazione SAM: due Microsoft Certified Professional che superino lesame 70-123 Planning, Implementing, and Maintaining a Software Asset Management (SAM) Program presentare tre referenze di clienti relative a soluzioni in ambito Software Asset Management Tutti i dettagli al link: www.microsoft.com/italy/partner/partnering/program _2005/competenze/licensingsolutions/default.mspx
8
Risorse per il SAM Dedicate ai rivenditori che intendono offrire un servizio di SAM ai propri clienti: formazione, strumenti, informazioni sulle licenze: formazione, strumenti, informazioni sulle licenze: www.microsoft.com/italy/softwareoriginale/guida_partner/default.mspx www.microsoft.com/italy/softwareoriginale/guida_partner/default.mspx Tool per linventario software: Tool per linventario software: MSIA, il tool gratuito Microsoft per linventario software: www.microsoft.com/italy/sam/content/msia/default.mspx MASTER SAM (di Computerwide Networking Solutions) www.computerwide.it/Prodotti/MasterSaM/MasterSaM_Home.asp
9
Perchè offrire sempre prodotti originali Benefici: sono completi di tutte le componenti godono della garanzia offerta dal produttore consentono luso degli aggiornamenti (WGA) www.microsoft.com/italy/ genuine lorigine è certa (più sicurezza) Sanzioni di legge: reclusione da 6 mesi a 3 anni (penale) multa da 2,5 a 15 mila euro (penale) sanzione amministrativa pari al doppio del prezzo di mercato dellopera risarcimento dei danni al titolare dei diritti (civile)
10
I benefici di Windows originale Sicurezza e tranquillità Il software è supportato da Miscrosoft o da un Partner riconosciuto Proprietà che i clienti si aspettano Solo grazie a Windows orignale ogni PC fornisce le caratterisitce, le opzioni e le performance che i clienti si aspettano Aggiornamenti continui Solo con Windows originale è possibile accedere agli aggiornamenti e ai miglioramenti che mettono in risalto il valore del software originale Solo vendendo e promuovendo Windows originale garantite ai vostri clienti tutte le funzionalità che si aspettano dal proprio PC Genuine Windows
11
Windows Genuine Advantage (WGA) Cosa è WGA? Un nuovo programma che consente a tutti i clienti di certificare il proprio Windows XP come orignale Perchè WGA? La più semplice e facile modalità per garantire loriginalità del software dei vostri clienti Un punto unico di accesso alle informazioni che avete bisogno di conoscere sul valore del software originale
12
Windows Genuine Advantage: caratteristiche Tutti gli aggiornamenti di Windows disponibili nel Download Center e attraverso Microsoft Update sono disponbili SOLO per chi utilizza una versione di Windows originale Tutti i download (eccetto quelli relativi alla sicurezza) richiedono la validazione Un processo semplice: non è richiesto linserimento di nessuna Product Key Per tutti i clienti che scoprono di avere una versione di Windows non origniale esiste la possibilità di acquistare direttamente da Microsoft una copia di Windows XP originale Altre offerte che sono disponibili solo per gli utenti di Windows originale sono, ad esempio: Windows AntiSpyware Windows Media Center Roll-up 2 Photo Story 3 Video didattici Altre offerte e promozioni sempre aggiornate
13
Why Should You Care? Vendendo software originale e promuovendone le funzionalità non solo combattete contro la pirateria, ma avete un vantaggio tangibile che vi differenzia da chi vende software non originale Prima del programma WGA era difficile dimostrare il valore del software originale Grazie a WGA i clienti sanno in maniera semplice e immediata se la loro copia di Windows è originale Grazie a WGA è ora più facile vendere software originale perchè anche i clienti ne conoscono il valore che lo differenzia da una versione non orignale
14
Prosegue la campagna Microsoft contro la pirateria del canale Continua su tutto il territorio nazionale (Nord, Centro e Sud) la campagna di controlli sul canale avviata da Microsoft a inizio novembre, con i seguenti obiettivI: contrastare i comportamenti illegali diffondere presso i partner la consapevolezza che le modalità lecite di vendita del software rappresentano per tutti unimportante opportunità di crescita e sviluppo tutelare i rivenditori onesti ed i consumatori Oltre 2000 controlli su tutta Italia, attraverso i Mystery Shopper Regioni visitate: 11 Tasso di offerte irregolari: 21% (aggiornamento dati in elaborazione) Attualmente in corso ulteriori controlli su tutto il territorio nazionale: un ingente investimento ed un approccio innovativo per ridurre lelevato tasso di pirateria del software in Italia!
15
Legge 196/03: principi base E il D.Lgs. n° 196 del 30 giugno 2003 Riunisce in un Testo Unico le precedenti leggi sulla Privacy (L. 675/96, DPR 318/99) Garantisce diritti e libertà fondamentali, la dignità dellinteressato e la protezione dei dati personali, al passo con le tecnologie correnti. Chiunque ha diritto alla protezione dei dati personali che lo riguardano (art.1) Chiunque tratta dati personali è tenuto a rispettare gli obblighi previsti dal Testo Unico : Aziende, Imprese, Ditte, Professionisti, Enti Pubblici, Scuole, Organizzazioni ed esercenti le professioni Sanitarie, Banche, Assicurazioni, Pubblica Amministrazione, Uffici Giudiziari ed esercenti le professioni Giudiziarie, … e altre categorie ancora… Devono essere protetti, in particolare : Dati Personali, Dati Identificativi, Dati Giudiziari, Dati Sensibili
16
Legge 196/03: principi base I dati devono essere : Completi, aggiornati e non eccedenti rispetto agli scopi Raccolti, registrati e conservati secondo gli scopi Trattati in modo lecito e corretto Trattati per un periodo di tempo non superiore a quello necessario agli scopi Il fine è ridurre al minimo le fonti di rischio e garantire la massima integrità, riservatezza, disponibilità ed aggiornamento delle informazioni Devono essere adottate idonee e preventive misure di sicurezza per garantire la protezione delle informazioni Le misure di sicurezza rappresentano un processo globale, per lattuazione del quale sono richieste competenze specifiche ed attenzione diffusa
17
Disciplinare tecnico Sono state predisposte una serie di misure minime di sicurezza, individuate negli artt. 31-36 e nellAllegato B del T.U., obbligatorie per chi tratta i dati personali con strumenti elettronici : Autenticazione informatica Procedure di gestione delle credenziali di autenticazione (password, codici identificativi, certificati digitali, carte a microprocessore, caratteristiche biometriche) Sistema di autorizzazione informatica Protezione dei sistemi dagli accessi non consentiti (protezione da virus, worm, trojans, accessi di persone non autorizzate) Aggiornamento dei sistemi con le ultime patch Procedure di backup e ripristino di dati e sistemi Tenuta del Documento Programmatico sulla Sicurezza (DPS) Tecniche di cifratura (per chi tratta dati idonei a rivelare lo stato di salute o la vita sessuale di individui)
18
Sanzioni Sono previste sanzioni amministrative e penali, per il responsabile legale dellazienda e/o per il responsabile del trattamento dei dati e/o per chiunque, essendovi tenuto, omette di adottare le misure di sicurezza Gli illeciti amministrativi sono regolati dagli artt. 161/164, e puniti con sanzioni da 500 Eu a 60.000 Eu Omessa informativa allinteressato Omessa notificazione al Garante Omessa esibizione di documenti al Garante Cessione impropria dei dati Gli illeciti penali sono regolati dagli artt. 167/171, e puniti con grosse ammende o reclusione fino a 3 anni Trattamento illecito dei dati personali Falsità delle dichiarazioni e notificazioni al Garante Omessa adozione delle misure minime di sicurezza Inosservanza dei provvedimenti del garante
19
Autenticazione informatica Procedimento con cui un individuo viene riconosciuto come tale In un sistema informatico possono esserci varie forme di autenticazione Ogni incaricato al trattamento dei dati deve essere munito di una o più credenziali di autenticazione : user-id + parola chiave (nome utente e password) dispositivo di autenticazione + eventuale codice o parola chiave (smart card, USB token o altro con codice annesso) Caratteristica biometrica + eventuale codice o parola chiave (impronta digitale, scansione iride o retina) Le credenziali di autenticazione sono individuali per ogni incaricato La parola chiave, se prevista, deve avere le seguenti caratteristiche: Lunga almeno 8 caratteri (o lunga il massimo consentito) Non contenere riferimenti agevolmente riconducibili allincaricato Modificata dallincaricato al primo utilizzo, e poi almeno ogni 6 mesi (3 mesi se i dati trattati sono dati sensibili e/o giudiziari) Lincaricato non può cedere le proprie credenziali ad altri Le credenziali vanno disattivate se non usate da almeno 6 mesi o se non si possono più ritenere riservate
20
Gestione credenziali Il Titolare deve impartire istruzioni chiare agli incaricati su : Come assicurare la segretezza delle credenziali di autenticazione Come custodire con diligenza i dispositivi in possesso Le modalità per non lasciare incustodito il proprio terminale di lavoro, durante una sessione di trattamento dei dati Inoltre il Titolare deve impartire istruzioni agli incaricati in merito : Alla modalità di accesso ai dati e agli strumenti elettronici, in caso di prolungata assenza o impedimento dellincaricato, che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e sicurezza del sistema Alla procedura da seguire nel caso in cui lincaricato sia irreperibile, oppure non sia più in possesso delle sue credenziali di autenticazione, e si renda nel frattempo necessario un intervento sui dati Allorganizzazione delle copie delle credenziali di autenticazione, lidentificazione dei responsabili delle copie, e delle relative procedure da utilizzare nel caso queste debbano essere utilizzate
21
Sistema di autorizzazione Un sistema informatico, dopo aver autenticato una persona, cerca il suo Profilo di Autorizzazione, cioè linsieme delle informazioni associate ad una persona, che consente di individuare a quali dati essa può accedere e con quale modalità I profili di autorizzazione possono essere creati Per ciascun incaricato Per classi omogenee di incaricati Devono essere creati prima dellinizio del trattamento dei dati Devono periodicamente (almeno una volta lanno) essere verificati, per garantirne la continua coerenza Si possono NON applicare quando i dati trattati sono destinati alla diffusione pubblica
22
Protezione e aggiornamento Per lintero sistema informatico, rivedere e, se necessario, riorganizzare almeno annualmente gli ambiti di trattamento, la lista degli incaricati e i profili di autorizzazione Munirsi di procedure per il salvataggio dei dati, da effettuarsi almeno con cadenza settimanale Munirsi di procedure per laggiornamento dei software di elaborazione, allo scopo di prevenire vulnerabilità e correggere difetti, da effettuarsi almeno con cadenza annuale (semestrale per dati sensibili e/o giudiziari) Laggiornamento di programmi Antivirus, Antispyware e Firewall deve essere eseguito non appena ne esiste uno disponibile I dati personali devono essere protetti dal rischio di intrusione, utilizzando opportuni strumenti elettronici Chiunque diffonde, comunica, consegna un programma informatico avente per scopo il danneggiamento, linterruzione o lalterazione di un sistema informatico, è punito con ammenda e reclusione
23
Dati sensibili e/o giudiziari Ulteriori misure di sicurezza : Prevedere tecniche di cifratura dei dati medesimi, sia quando memorizzati su supporti magnetici, che quando in trasferimento da un elaboratore allaltro Impartire istruzioni precise su come trattare i supporti rimovibili (CD, DVD, Floppy) che contengono tali dati sensibili Tali supporti rimovibili devono essere distrutti se non utilizzati Se non distrutti, possono essere riutilizzati da altre persone non autorizzate al trattamento dei dati, SOLO SE questi sono stati resi non intelligibili o tecnicamente in alcun modo ricostruibili Prevedere procedure di ripristino dei dati al massimo entro 7 giorni, in caso di distruzione o danneggiamento degli stessi
24
DPS Entro il 31 marzo di ogni anno deve essere compilato o aggiornato dal Titolare del trattamento il Documento Programmatico della Sicurezza Deve essere citato nella relazione consuntiva del bilancio desercizio Deve essere conservato per presentazione in occasione di controlli Deve contenere, al minimo : Lelenco dei trattamenti di dati personali La distribuzione delle responsabilità nella struttura organizzativa in cui i dati vengono trattati Lanalisi dei rischi che incombono sui dati Le misure già in essere e da adottare per garantire lintegrità e la disponibilità dei dati La descrizione dei criteri e delle procedure per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento La programmazione di eventi formativi per gli incaricati La descrizione dei criteri da adottare in caso di dati trattati anche da terzi, lelenco dei terzi stessi e le modalità con cui i terzi dovranno trattare i dati La descrizione delle procedure di crittazione dei dati, in caso trattasi di dati sensibili e/o giudiziari Per la corretta compilazione, eventualmente usare software applicativi o consultare www.garanteprivacy.it www.garanteprivacy.it
25
Informazioni aggiuntive E facoltà del Titolare rivolgersi a consulenti esterni per rendere conforme la sua organizzazione al Testo Unico sulla Privacy Deve provvedere a farsi rilasciare una descrizione scritta di quali sono stati gli interventi che attestano la conformità alla normativa E prevista la possibilità per chi utilizza strumenti informatici obsoleti (che non consentono lapplicazione delle misure minime di sicurezza secondo le modalità tecniche dellAllegato B), di descriverne le ragioni in un documento a data certa (non oltre il 31/12/2005) da conservare presso la struttura. In questo caso, il Titolare è comunque tenuto allaggiornamento dei propri strumenti informatici entro e non oltre il 31 marzo 2006
26
Soluzioni Microsoft Soluzioni adatte per le aziende che dispongono di almeno un server di rete e di un numero variabile di pc client La presenza del server di rete permette la centralizzazione di una serie di operazioni, quali autenticazione, backup, gestione patch, ecc.. In particolare, le ultime versioni dei sistemi operativi Microsoft (Windows XP, lato client, e Windows Server 2003, lato server) unitamente alla suite di Office 2003, offrono una serie di funzionalità che rende semplice adeguare il proprio sistema informativo alle misure minime Licenza Software Assurance per il continuo e immediato aggiornamento
27
Autenticazione e autorizzazione Active Directory è la soluzione migliore e adatta ad azienda di ogni dimensione Utilizza sistemi di autenticazione standard (Kerberos, certificati X.509, smart card…) Gestione centralizzata dei profili utenti Facile gestione delle Liste di Controllo degli accessi per limpostazione delle autorizzazioni Protezione e gestione delle password (lunghezza min/max, scadenza, rinnovo, complessità…) Gestione della sicurezza anche dei client collegati Utilizzo di protocolli standard per laccesso ai dati (LDAP) Gestione dellaccesso al software (non solo ai dati) con le Software Restriction Policy Possibilità di crittografia aumentate con Windows Server 2003 Supporto e protezione di tutti i protocolli di accesso alle informazioni utilizzati in Internet
28
Protezione da codici maligni ISA Server 2004 è il prodotto migliore per difenderci da virus, worm, trojans ed altri codici maligni E un firewall multilivello di classe Enterprise Esegue packet filtering, stateful filtering, application-layer filtering Controlla laccesso a Internet degli utenti Pubblica su Internet qualunque server interno Rileva comuni tentativi di attacco alla rete (IDS) Rende disponibile in maniera sicura la posta elettronica agli utenti esterni Connette in maniera sicura sedi distaccate Assicura un accesso più veloce al contenuto di Internet Gestisce in maniera sicura i dati lungo connessioni VPN La versione Enterprise fornisce anche caratteristiche di Load Balancing e centralizzazione delle policy, per una totale scalabilità anche per aziende molto grandi
29
Aggiornamento dei sistemi Due soluzioni di tipo centralizzato WSUS (Windows Server Update Services) GRATUITO! Scarica e installa automaticamente e in maniera mirata patch e update di diversi prodotti Microsoft Capacità di reporting e opzioni di database Gestione semplice via web SMS 2003 (System Management Services) Gestione dellinventario del software e degli asset informatici Distribuzione del software Identificazione delle vulnerabilità e distribuzione di patch e update in maniera mirata Potenti capacità di reporting e database Monitoring delle applicazioni Integrazione con i servizi di Active Directory
30
Protezione da accessi non consentiti Windows Rights Management Services (RMS) Integrato in Windows Server 2003 Opera congiuntamente con le applicazioni client (Office 2003) per salvaguardare le informazioni confidenziali e i dati sensibili dellazienda in qualsiasi circostanza Permette allutente di definire quali documenti possono essere letti, modificati, inoltrati o stampati. Office 2003 integra IRM (Information Rights Management) Impedisce l'utilizzo non autorizzato di informazioni e documenti. Dovunque!!! Estende Windows Rights Management Services alle applicazioni di Microsoft Office 2003 e a Microsoft Internet Explorer.
31
Backup e ripristino dei dati SQL Server garantisce laffidabilità e la sicurezza delle basi di dati Supporta diverse tecnologie hardware e software per la gestione dellalta affidabilità. SQL Server garantisce il pieno supporto dei requisiti di legge per il trattamento dei dati: Crittografia automatica del traffico tra client e server di una rete Crittografia del file system Microsoft Exchange Server 2003 è la soluzione per le problematiche legate allantispamming ed alla gestione in sicurezza della posta elettronica. In particolare Accesso sicuro via Internet da Outlook Controllo della junk mail con supporto in tempo reale per blacklists ed anti spamming e filtri sulla connessione Scollegamento automatico dopo un periodo di inattività Supporto per il clustering a 4 e 8 nodi Centralizzazione dei servizi di ripristino delle caselle postali Centralizzazione dei servizi di ripristino dello storage.
32
Caratteristiche avanzate I requisiti di sicurezza richiesti dal T.U. per User-ID e password richiedono sistemi operativi di ultima generazione (2000, XP, 2003) User-ID univoche Impedire allamministratore di sistema di conoscere le password degli utenti Pre-impostare una lunghezza minima della password Pre-impostare lobbligo di sostituzione della password al primo uso Pre-impostare la modifica periodica delle password Pre-impostare la disattivazione automatica delle User-ID dopo sei mesi di inattività Pre-impostare la protezione dei terminali mediante screen-saver, anche in modalità centralizzata Con Windows Server 2003 è possibile lamministrazione centralizzata ed il controllo accessi anche di client mobili (wireless) e device basati su tecnologia Windows Mobile Posso valutare: le credenziali di autenticazione ed il profilo di autorizzazione del client (desktop, portatile o palmare) che si collega la corretta configurazione dello stesso (Reti di Quarantena)
33
Sicurezza di Office 2003 (1) Back-up e ripristino automatico dei file in uso in occasione di crash di sistema; autoriparazione dei file in uso se danneggiati o in caso di impossibilità a riparare estrazione dei dati recuperati; ripristino automatico delle applicazioni in caso di malfunzionamenti Protezione dallaccesso indesiderato ad e-mail e documenti o parti di essi mediante password, con crittografia fino a 128 bit Protezione di documenti e di e-mail da manomissioni rispetto alloriginale, attraverso firma digitale Protezione contro virus negli script: diversi livelli di protezione da macro con possibilità di riconoscere le macro firmate digitalmente che si vogliono eseguire
34
Sicurezza di Office 2003 (2) Authenticode per add-ins e macro: meccanismo di firma digitale che assicura che questi componenti software non siano stati manomessi Protezione contro i virus che si propagano attraverso le agende (address book) degli utilizzatori, tramite il blocco degli accessi automatici allagenda indirizzi Blocco degli allegati alla posta elettronica (Outlook) eseguibili, che potrebbero trasportare virus API antivirus, che permette linstallazione di antivirus di terze parti per ulteriore protezione da virus che possano oltrepassare tutte le citate misure di sicurezza Protezione della privacy circa il riferimento agli autori dei documenti consentendo di rimuoverne i meta-dati
35
MBSA Microsoft Baseline Security Analyzer
36
MBSA overview Microsoft Baseline Security Analizer è attualmente alla versione 2.0 Progettato per piccole-medie imprese, rileva configurazioni errate dei pc e patch mancanti Esegue scansioni locali e remote di uno o più pc Disponibile in inglese, tedesco, francese, giapponese, ma esegue scansioni su pc di qualunque lingua Interfaccia grafica e linea di comando Interazione con Windows Update e WSUS Installabile su pc Windows 2000 SP4 e successivi Diritti amministrativi per installazione ed esecuzione Porta 80 aperta in uscita per il pc su cui è installato Porte 135, 139, 445 in entrata aperte sui client remoti
37
Cosa controlla MBSA Vulnerabilità amministrative Windows Firewall abilitato? Automatic Updates abilitato? Password complesse forzate? Esistono account senza password? Per i seguenti prodotti : Windows 2000 / XP / 2003 IIS 5.0 / 6.0 e IE 5.01+ SQL Server 7.0 / 2000 Office 2000 / XP / 2003 Update di sicurezza mancanti Confronta i pc con il sito di Windows Update o con un catalogo scaricato in locale o con un server WSUS Riporta update non ancora approvati su un server WSUS Crea report compatibili con visualizzatori XML Supporto per Windows XP Embedded e Windows 64-bit Per i seguenti prodotti : Windows 2000 SP4 e successivi Exchange Server 2000 e successivi Office XP e successivi SQL Server 2000 SP4 e successivi Tutti i componenti di Windows (IIS, IE, MDAC, DirectX, WMP, Outlook Express….)
38
WSUS Windows Server Update Services
39
WSUS overview : comparazioni Software supportato Tipo di contenuto supportato MBSA Come MU per rilevamento patch. Windows, IE, Exchange e SQL per il controllo vulnerabilità Service Pack e updates di sicurezza Microsoft Update Windows 2000+, Exchange 2000+, SQL Server 2000+, Office XP+ con supporto in espansione Tutti i software updates, driver updates, service packs e feature packs WSUS Come MU Come MU, ma rileva solo driver updates critici SMS Come WSUS + NT 4.0 + Win98 + può aggiornare ogni altro software Windows-based Tutti gli updates, SP, FP + installazione di qualunque software Windows-based Supporto al software
40
WSUS overview : comparazioni Ottimizzazione banda di rete Controllo distribuzione patch Schedulazione e flessibilità di installazione delle patch Report sullo stato di installazione Pianificazione del deployment Gestione inventario MBSANONONOSempliceNONO MUSINO Manuale e controllato da utente finale Errori di installazione riportati allutente finale NONO WSUSSISempliceSempliceBuonoSempliceNO SMSSIAvanzatoAvanzatoAvanzatoAvanzatoAvanzato Gestione delle patch di sicurezza
41
Cosè Microsoft Update? Microsoft Update è un sito web di Microsoft che include: Aggiornamenti per i sistemi operativi Windows di Microsoft, software, e drivers Aggiornamenti per le applicazioni Microsoft Nuovo contenuto che è aggiunto al sito regolarmente Aggiornamenti per i sistemi operativi Windows di Microsoft, software, e drivers Aggiornamenti per le applicazioni Microsoft Nuovo contenuto che è aggiunto al sito regolarmente Sostituisce il sito web Windows Update Laggiornamento è possibile collegandosi dal proprio client a Windows Update e richiamando la patch di installazione Può scaricare patch di sicurezza e update per Windows 2000, Windows XP, Windows Server 2003 Può scaricare patch di sicurezza e update per la suite di Office, per Exchange Server, per SQL Server Sostituisce il sito web Windows Update Laggiornamento è possibile collegandosi dal proprio client a Windows Update e richiamando la patch di installazione Può scaricare patch di sicurezza e update per Windows 2000, Windows XP, Windows Server 2003 Può scaricare patch di sicurezza e update per la suite di Office, per Exchange Server, per SQL Server
42
Cosè Automatic Updates? Automatic Updates è un software lato client che : Comunica con Microsoft Update o WSUS Scarica automaticamente gli aggiornamenti Notifica gli utenti della disponibilità degli aggiornamenti Può essere configurato centralmente da un amministratore Solo la sua ultima versione è compatibile con WSUS Per controllare la versione, verificare che la DLL WUAUENG.DLL nella cartella SYSTEM32 abbia una versione superiore a 5.4.3790.1000 Windows Server 2003, Windows XP SP2 e Windows 2000 SP3 e SP4 contengono già la versione corretta Comunica con Microsoft Update o WSUS Scarica automaticamente gli aggiornamenti Notifica gli utenti della disponibilità degli aggiornamenti Può essere configurato centralmente da un amministratore Solo la sua ultima versione è compatibile con WSUS Per controllare la versione, verificare che la DLL WUAUENG.DLL nella cartella SYSTEM32 abbia una versione superiore a 5.4.3790.1000 Windows Server 2003, Windows XP SP2 e Windows 2000 SP3 e SP4 contengono già la versione corretta
43
Automatic Updates Server WSUS Automatic Updates LAN Cosè WSUS? Microsoft Update Web site Internet Client di prova
44
I processi di WSUS Processi lato server 1. WSUS esegue una sincronizzazione schedulata No? 2. Testing degli update? 3. LAmministratore approva le patch Testing delle patch Processi lato client 5. AU aspetta il prossimo controllo Restart 4. Qualche patch richiede un restart? 3. Linstallazione schedulata comincia 1. Automatic Updates sui client chiama WSUS 2. E loggato lamministratore? Si? No? Lamministratore vede un pallone di stato, può differire linstallazione Si? No? Si?
45
Requisiti per installare WSUS Requisiti hardware Pentium III 1GHz o superiore 1 GB di RAM 30 GB di spazio su hard disk Requisiti software Windows 2000 Server o Windows Server 2003 IIS 5.0 o superiore BITS (Background Intelligent Transfer Service) 2.0 Microsoft.NET Framework 1.1 SP1 Internet Explorer 6.0 SP1 o superiore Requisiti hardware Pentium III 1GHz o superiore 1 GB di RAM 30 GB di spazio su hard disk Requisiti software Windows 2000 Server o Windows Server 2003 IIS 5.0 o superiore BITS (Background Intelligent Transfer Service) 2.0 Microsoft.NET Framework 1.1 SP1 Internet Explorer 6.0 SP1 o superiore
46
Configurazione di AU Configurare Automatic Updates con le Group Policy E richiesto laggiornamento del template amministrativo wuau.adm (ultima versione scaricabile da Internet) E possibile configurare i client singolarmente, ma bisogna agire nel registro di sistema di ognuno I client devono essere almeno : Windows 2000 SP3 Windows XP SP1 Windows Server 2003
47
Windows XP Service Pack 2 & Windows Firewall
48
Le novità del SP2 Caratteristiche nuove e migliorate: Protezione di rete avanzata Protezione della memoria Gestione posta elettronica più sicura Sicurezza avanzata del browser Gestione computer migliorata Gestione più sicura delle reti wireless Protezione di rete avanzata Protezione della memoria Gestione posta elettronica più sicura Sicurezza avanzata del browser Gestione computer migliorata Gestione più sicura delle reti wireless SP2 fornisce diverse tecnologie di sicurezza che riducono le vulnerabilità dei computer
49
Come SP2 diminuisce la superficie di attacco Caratteristiche Tecnologie di sicurezza Protezione della rete Remote procedure call (RPC) Distributed-component object model (DCOM) Windows Firewall Protezione memoria Tecnologia Execution Protection (NX) Gestione posta elettronica più sicura Restrizioni sui tipi Multipurpose Internet mail extension (MIME) Gestione sicura degli allegati Sicurezza del browser avanzata Gestione pop-up e crash detection Prompt sul download di contenuto dannoso Gestione computer migliorata Windows Security Center Sicurezza migliorata Gestione più sicura delle reti wireless Wireless Network Setup Wizard Wireless Provisioning Services (WPS)
50
Il Windows Security Center Configurazione Windows Firewall Configurazione Antivirus Configurazione Aggiornamenti Automatici Computer che esegue il Security Center
51
Sicurezza DCOM avanzata Remote ClientDCOM Server Autorizzazioni COM specifiche Launch, Call e Activation locali a Everyone. Call da remoto solo ad Authenticated Users. Permission totali ad Administrators Nuove restrizioni lato-computer I privilegi Launch, Call e Activation sono differenziati tra client locali e remoti
52
Chiamate RPC più sicure Client anonimo remoto Firewall Group Policy Client locale e/o Client autenticato RPC Servers Processi eseguiti nei contesti di sicurezza Local System, Network Service, Local Service Processi che si annunciano come servizi RPC (es. Trojan Horses) Altri accettato ristretto Porta aperta Bloccato Porta aperta Permesso
53
Servizi disabilitati in SP2 Servizio disabilitato Prima di SP2 Dopo SP2 Alerter Settato in partenza manuale Disabilitato per default Windows Messenger Settato in partenza manuale Disabilitato per default Opzioni alternative : Soluzione raccomandata: riscrivere le applicazioni in modo che usino un altro metodo per comunicare con lutente Startare Alerter o Messenger in maniera programmatica
54
Execution Protection (NX) Caratteristiche di NX : Le locazioni di memoria sono targate come non-eseguibili a meno che non contengano esplicitamente codice eseguibile Protezione da attacchi Buffer-Overrun Disponibile su buona parte delle CPU a 32 e 64 bit di Intel, Amd e Transmeta Protezione memoria (con aiuto CPU)
55
Attachment Manager di Outlook Express e Messenger Nuova e-mail con allegati Utente di Outlook Express Utente di Windows Messenger Differenti azioni prese per : Allegati sicuri (.jpeg,.gif,.zip…) Allegati non sicuri (.exe,.vbs…) Allegati sospetti (??...) AES API
56
Blocco contenuto HTML Caratteristica del Content Blocking : Blocca le immagini e altro contenuto esterno nelle mail HTML Utenti di Outlook Express Web Server Internet Minimizza la probabilità di re-startare una connessione dial-up verso Internet, mentre si legge una mail fuori linea
57
Rendere più sicuro il pc Barra delle Informazioni di Internet Explorer Prompt di installazione per gli add- on di Internet Explorer Prompt di download : Nuova icona che mostra lapplicazione di default associata ad un download Nuova area delle informazioni che indica il rischio di download di un file Per gli eseguibili da scaricare viene controllato il publisher di provenienza Prompt di OE sugli allegati Controllo della firma digitale del publisher (assente, invalida, bloccata)
58
Blocco pop-up FunzioneDescrizione Pop-Up Manager Blocca i pop-up non esplicitamente richiamati dallutente Window Restrictions Controlla i riposizionamenti delle finestre comandati da script Controlla i ridimensionamenti delle finestre comandati da script Controlla le dissolvenze delle finestre comandate da script Window Placement Governa il piazzamento e la grandezza dei pop-up, in modo che sia sempre possibile chiuderli
59
Gestione degli Add-On AddOn Management and Crash Detection: Add-On Management Permette allutente di vedere e controllare gli add-on caricati dal browser Browser Help Object, ActiveX, Toolbar extensions, Browser Extensions Permette di disabilitare gli add-on Permette di vedere i files che compongono un add-on Add-On Management Permette allutente di vedere e controllare gli add-on caricati dal browser Browser Help Object, ActiveX, Toolbar extensions, Browser Extensions Permette di disabilitare gli add-on Permette di vedere i files che compongono un add-on Add-on crash detection Permette di rilevare un crash di Internet Explorer dovuto a malfunzionamenti degli add-on Se ladd-on è identificato, lutente può scegliere di disabilitarlo, per preservare la stabilità di sistema Add-on crash detection Permette di rilevare un crash di Internet Explorer dovuto a malfunzionamenti degli add-on Se ladd-on è identificato, lutente può scegliere di disabilitarlo, per preservare la stabilità di sistema
60
Windows Firewall
61
Caratteristiche di sicurezza (1) Profili multipli Attivo per default, sostituisce ICF Sicurezza boot-time (non attiva se disabilitato) Configurazione globale e tasto di restore Restrizioni sulle sottoreti locali Supporto da linea di comando Attivo senza eccezioni Lista delle eccezioni configurabile Supporto RPC Supporto per il setup unattended e per il logging
62
Caratteristiche di sicurezza (2) Anche Condivisione File e Stampanti in ingresso è bloccato Amministratori locali per configurarlo Attivo anche se ICF era disabilitato Configurabile tramite Group Policy (in dominio) Controllato dal Security Center Permette sempre traffico in uscita Blocca traffico in ingresso non sollecitato Solo Assistenza Remota in ingresso attiva per default Riconoscimento automatico delle applicazioni Riconoscimento automatico delle connessioni secondarie
63
EFS Encrypting File System
64
Cosè EFS? EFS: Caratteristiche su Windows XP e Windows Server 2003 Utenti addizionali possono essere autorizzati alla lettura Gli offline files possono essere criptati Può usare lalgoritmo di crittazione 3DES I Data Recovery Agents (DRA) sono raccomandati, ma non obbligatori come in Windows 2000 Utenti addizionali possono essere autorizzati alla lettura Gli offline files possono essere criptati Può usare lalgoritmo di crittazione 3DES I Data Recovery Agents (DRA) sono raccomandati, ma non obbligatori come in Windows 2000 Fornisce crittazione dei singoli files su volumi NTFS Assicura che i dati confidenziali siano più sicuri Usa il sistema chiavi pubblica/privata Fornisce crittazione dei singoli files su volumi NTFS Assicura che i dati confidenziali siano più sicuri Usa il sistema chiavi pubblica/privata
65
Come lavora EFS Quando un file è crittato per la prima volta, EFS cerca un certificato EFS nel local certificate store 1 1 EFS genera un numero casuale (FEK) da usare con un algoritmo (DESX, 3DES, AES) per crittare il file 2 2 EFS rileva la chiave pubblica nel certificato dellutente e critta la FEK 3 3 EFS memorizza la FEK nel campo DDF allegato al file che si sta crittando 4 4 Se un DRA è presente, la FEK viene crittata anche con la sua chiave pubblica e posta in un campo DRF 5 5 Solo chi ha la corrispondente chiave privata (cioè utente e DRA) potrà decrittare il file 6 6
66
Limitazioni di EFS Potenziale perdita di dati se la chiave privata è persa La chiave privata è persa, se si perde il profilo dellutente Dipendenza dalle password degli utenti: la FEK è parzialmente derivata dalle password Il file sharing è complicato perchè le chiavi pubbliche degli utenti devono essere accessibili durante la crittazione Il traffico di rete non è sicuro : il file è crittato solo quando sta sul volume NTFS, non mentre viaggia in rete Potenziale perdita di dati se la chiave privata è persa La chiave privata è persa, se si perde il profilo dellutente Dipendenza dalle password degli utenti: la FEK è parzialmente derivata dalle password Il file sharing è complicato perchè le chiavi pubbliche degli utenti devono essere accessibili durante la crittazione Il traffico di rete non è sicuro : il file è crittato solo quando sta sul volume NTFS, non mentre viaggia in rete
67
Implementare EFS stand-alone Come lavora EFS su computer in workgroup Cosè il Data Recovery Agent (DRA)? Conseguenze del reset delle password locali Come disabilitare EFS su computer stand- alone Consigli pratici
68
EFS su computer stand-alone Il computer genera un certificato self-signed per luso di EFS (se non già presente) Come lavora un certificato self-signed? Il computer locale è considerato root CA Anche se il certificato non è trusted, può essere usato per EFS E valido 100 anni!!! Non serve rinnovo… Se un pc, con file crittati mentre era stand-alone, viene messo in dominio, usa sempre il certificato locale di partenza
69
Come crittare i files con EFS Per crittare i dati, possiamo usare: Entrambi gli strumenti si utilizzano per: n.b. : i files di sistema non si possono crittare n.b. : i files crittati, in Windows XP, sono mostrati con un colore verde Per crittare i dati, possiamo usare: Entrambi gli strumenti si utilizzano per: n.b. : i files di sistema non si possono crittare n.b. : i files crittati, in Windows XP, sono mostrati con un colore verde Windows Explorer La linea di comando CIPHER (/e per crittare, /d per decrittare Windows Explorer La linea di comando CIPHER (/e per crittare, /d per decrittare Crittare e decrittare files e cartelle Scegliere se crittare un singolo file, solo una cartella, oppure una cartella con tutte le sottocartelle e i files ivi contenuti Crittare e decrittare files e cartelle Scegliere se crittare un singolo file, solo una cartella, oppure una cartella con tutte le sottocartelle e i files ivi contenuti
70
Cosè il DRA? Il Data Recovery Agent è un utente che può decrittare files che sono stati crittati da altri utenti. Windows Server 2003 e Windows XP non creano automaticamente un DRA (Windows 2000 sì…) Il Data Recovery Agent è un utente che può decrittare files che sono stati crittati da altri utenti. Windows Server 2003 e Windows XP non creano automaticamente un DRA (Windows 2000 sì…) Per implementare un DRA su computer stand-alone: Usare il comando CIPHER / R per creare il certificato DRA e la sua coppia di chiavi pubblica/privata Loggarsi come DRA al pc e configurarlo come DRA (si usa lo snap-in Criteri di Protezione locali) Per decrittare i files, loggarsi come DRA e aggiungere il certificato DRA allo store locale dei certificati (si usa lo snap-in Certificati) 1 1 2 2 3 3
71
Conseguenze del reset delle password locali Se una password locale è resettata, lutente non sarà più in grado di decrittare qualunque file (a meno della presenza del DRA, che però è facoltativa in XP e 2003) Gli utenti che usano EFS su computer stand-alone dovrebbero cambiare ordinatamente la loro password o creare, per sicurezza, i password-reset disks Se una password locale è resettata, lutente non sarà più in grado di decrittare qualunque file (a meno della presenza del DRA, che però è facoltativa in XP e 2003) Gli utenti che usano EFS su computer stand-alone dovrebbero cambiare ordinatamente la loro password o creare, per sicurezza, i password-reset disks Per recuperare i dati dopo un reset di password: Loggarsi e riportare la password indietro alla precedente originale (con un cambio password ordinato) Usare il password-reset disk Re-importare il certificato EFS con la chiave privata dellutente, se precedentemente esportato Loggarsi e riportare la password indietro alla precedente originale (con un cambio password ordinato) Usare il password-reset disk Re-importare il certificato EFS con la chiave privata dellutente, se precedentemente esportato
72
Come disabilitare EFS su computer stand-alone Per default, tutti gli utenti possono usare EFS su computer stand-alone Per decrementare il rischio di dati che non si possono più recuperare, si può disabilitare EFS sui computer stand- alone Per default, tutti gli utenti possono usare EFS su computer stand-alone Per decrementare il rischio di dati che non si possono più recuperare, si può disabilitare EFS sui computer stand- alone Per disabilitare EFS: Modificare i Criteri di Protezione Locali Modificare il registro, andando nella sottochiave : HKLM\Software\Microsoft\WindowsNT\CurrentVersion\EFS\ Creare il valore di tipo dword EFSConfiguration e porlo a 1 Modificare il registro, andando nella sottochiave : HKLM\Software\Microsoft\WindowsNT\CurrentVersion\EFS\ Creare il valore di tipo dword EFSConfiguration e porlo a 1
73
Consigli pratici Usare pochi DRA, ed assicurarsi che siano di fiducia (in Windows 2000 è Administrators) E raccomandato implementare almeno un DRA in Windows XP e Windows Server 2003 Configurare la crittazione a livello cartella, per assicurarsi che tutto il contenuto sia crittato Cancellare la chiave privata del DRA dopo la creazione e dopo ogni uso (esportazione) Sovrascrivere i cluster de-allocati con CIPHER / W (per eliminare eventuali copie temporanee)
74
DEMO Operazioni che si eseguiranno: Implementare EFS su un computer Windows XP stand-alone Configurare un Data Recovery Agent su un computer stand-alone Implementare EFS su un computer Windows XP stand-alone Configurare un Data Recovery Agent su un computer stand-alone
75
EFS in dominio Benefici delluso di EFS in un ambiente di dominio EFS e i Certificates Services in un ambiente di dominio DRA in un ambiente di dominio Opzioni sugli algoritmi di crittazione
76
Benefici di EFS in dominio Con una Enterprise CA, i certificati EFS sono distribuiti in automatico agli utenti quando crittano un file Il certificato utente è memorizzato nel local certificate store e in Active Directory Con una Enterprise CA, i certificati EFS sono distribuiti in automatico agli utenti quando crittano un file Il certificato utente è memorizzato nel local certificate store e in Active Directory Benefici di EFS : Gestione centralizzata dei DRA Gestione centralizzata dei certificati Configurazione centralizzata delle policy EFS File sharing semplificato (chiavi pubbliche degli utenti memorizzate in AD e quindi disponibili a tutti) Gestione centralizzata dei DRA Gestione centralizzata dei certificati Configurazione centralizzata delle policy EFS File sharing semplificato (chiavi pubbliche degli utenti memorizzate in AD e quindi disponibili a tutti)
77
EFS e Certificate Services Lintegrazione di Certificate Services e EFS permette: Gestione centralizzata, scalabile e flessibile dei certificati Opzioni multiple per distribuire certificati agli utenti Auto-enrollment On-demand enrollment Enrollment manuale degli utenti La migrazione dei certificati self-signed locali verso certificati di CA (con il comando CIPHER /K) Gestione centralizzata, scalabile e flessibile dei certificati Opzioni multiple per distribuire certificati agli utenti Auto-enrollment On-demand enrollment Enrollment manuale degli utenti La migrazione dei certificati self-signed locali verso certificati di CA (con il comando CIPHER /K)
78
DRA in dominio Lamministratore che installa il primo domain controller è il DRA per lintero dominio Si possono creare policy DRA per: Aggiungere dei Recovery Agent Cancellare i Recovery Agent (blocca EFS su computer Windows 2000) Bloccare luso di EFS (anche per XP/2003) Aggiungere Recovery Agent addizionali a livello dominio o Unità Organizzativa Il certificato di Recovery Agent deve essere installato sul computer per decrittare i dati (cancellarlo ogni volta a scopo di sicurezza) Lamministratore che installa il primo domain controller è il DRA per lintero dominio Si possono creare policy DRA per: Aggiungere dei Recovery Agent Cancellare i Recovery Agent (blocca EFS su computer Windows 2000) Bloccare luso di EFS (anche per XP/2003) Aggiungere Recovery Agent addizionali a livello dominio o Unità Organizzativa Il certificato di Recovery Agent deve essere installato sul computer per decrittare i dati (cancellarlo ogni volta a scopo di sicurezza)
79
Algoritmi di crittazione Sistema operativoAlgoritmo EFSPotenza chiave Windows Server 2003AES256 bit Windows XPDESX128 bit Windows XP SP1 o successivoAES256 bit Windows 2000DES56 bit Windows 2000 SP2 o succ. o con High Encryption Pack DESX128 bit Per abilitare lalgoritmo 3DES sui client Windows XP, abilitare in una Group Policy il settaggio : System Cryptography: Use FIPS compliant algorithms for encryption, hashing and signing Per abilitare lalgoritmo 3DES sui client Windows XP, abilitare in una Group Policy il settaggio : System Cryptography: Use FIPS compliant algorithms for encryption, hashing and signing
80
Il file sharing EFS Cosè File Sharing EFS? File Sharing su server remoti Effetti della copia o spostamento di files crittati tra locazioni
81
Cosè il File Sharing EFS? Permette agli utenti di : Il file sharing EFS può essere assegnato solo a utenti, non a gruppi (nessun metodo per assegnare certificati e chiavi a gruppi) Permette agli utenti di : Il file sharing EFS può essere assegnato solo a utenti, non a gruppi (nessun metodo per assegnare certificati e chiavi a gruppi) Condividere files crittati con altri utenti (non possibile in Windows 2000) Avere unaltra opportunità di recuperare files crittati in caso di perdita delle chiavi Avere unaltra opzione per controllare laccesso ai files, oltre alluso di permissions NTFS e di share Condividere files crittati con altri utenti (non possibile in Windows 2000) Avere unaltra opportunità di recuperare files crittati in caso di perdita delle chiavi Avere unaltra opzione per controllare laccesso ai files, oltre alluso di permissions NTFS e di share
82
File sharing Crittare files su server remoti Fatto tramite delega di autenticazione (possibilità che ha un server di eseguire operazioni in favore di un utente) Il server remoto deve essere Trusted for Delegation in Active Directory, se gli utenti dovranno crittare files su di esso Fatto tramite delega di autenticazione (possibilità che ha un server di eseguire operazioni in favore di un utente) Il server remoto deve essere Trusted for Delegation in Active Directory, se gli utenti dovranno crittare files su di esso Come ottenere la chiave privata per gli utenti Se si utilizzano profili di roaming, il profilo è scaricato sul server e il server impersonifica lutente mentre critta files o cartelle Il server può creare un nuovo profilo per lutente e richiedere o generare un certificato self-signed per crittare files o cartelle Se si utilizzano profili di roaming, il profilo è scaricato sul server e il server impersonifica lutente mentre critta files o cartelle Il server può creare un nuovo profilo per lutente e richiedere o generare un certificato self-signed per crittare files o cartelle
83
Proprietà di delega TOGLIERE IL FLAG ATTIVARE IL TRUST FOR DELEGATION
84
Copia e spostamento Cartella crittata verso cartella non crittata C C File non crittato verso cartella crittata B B Cartella non crittata verso cartella crittata A A Sposta = Copia = = File Sharing su server remoti
85
DEMO Operazioni che si eseguiranno : Abilitare il file sharing EFS locale Abilitare il file sharing EFS remoto Abilitare il file sharing EFS locale Abilitare il file sharing EFS remoto
86
ISA Server 2004
87
Agenda Introduzione a ISA Server 2004 Protezione di Exchange Server Appliances
88
Il 90% delle aziende rileva brecce di sicurezzaIl 90% delle aziende rileva brecce di sicurezza L85% rileva virus nei computerL85% rileva virus nei computer Il 95% delle brecce di sicurezza è evitabile con una configurazione alternativaIl 95% delle brecce di sicurezza è evitabile con una configurazione alternativa Circa il 70% degli attacchi web avviene al livello applicazioneCirca il 70% degli attacchi web avviene al livello applicazione 14 miliardi di pc su Internet entro il 201014 miliardi di pc su Internet entro il 2010 35 milioni di utenti remoti entro il 200535 milioni di utenti remoti entro il 2005 65% di incremento dei siti web dinamici65% di incremento dei siti web dinamici Gli incidenti riportati tra il 2000 e il 2002 sono aumentati da 21.756 a 82.094. Ancora maggiore laumento negli anni successivi…Gli incidenti riportati tra il 2000 e il 2002 sono aumentati da 21.756 a 82.094. Ancora maggiore laumento negli anni successivi… Quasi l80% di 445 intervistati responsabili di sicurezza aziendale dice che Internet è stato ed è tuttora un frequente punto di attaccoQuasi l80% di 445 intervistati responsabili di sicurezza aziendale dice che Internet è stato ed è tuttora un frequente punto di attacco A rischio La situazione Problematiche di sicurezza
89
Gli attacchi al livello applicazione Furto dellidentità Corruzione o manipolazione dei siti web Accesso non autorizzato alle risorse Modifica di dati e di informazioni riservate Furto di informazioni proprietarie Attacco ai servizi di rete Gli attacchi Application Layer
90
I Firewall tradizionali Permeabili agli Attacchi avanzati Code Red, Nimda Code Red, Nimda Attacchi SSL-based Attacchi SSL-based Limitata capacità di crescita Non facilmente aggiornabili Non facilmente aggiornabili Non scalano bene al crescere Non scalano bene al crescere dellattività lavorativa Difficili da gestire La sicurezza è complessa La sicurezza è complessa Reparto IT già sovraccarico di lavoro Reparto IT già sovraccarico di lavoro
91
Implementa un avanzato firewall a livello applicazione, un gestore VPN e una soluzione di caching per il web. Abilita i clienti a massimizzare gli investimenti IT migliorando le performance e la sicurezza della rete Protezione Avanzata Sicurezza a livello applicazione per proteggere le applicazioni Microsoft Accesso Sicuro e Veloce Permette di collegare gli utenti ai dati di rete in una maniera cost-efficient Facilità duso E facile implementare e gestire diversi scenari di utilizzo Introduzione a ISA Server 2004
92
Rendere disponibile in maniera sicura la posta agli impiegati esterni Exchange publishing Se hai bisogno di… Rendere disponibili in maniera sicura le applicazioni interne su Internet Web and Server Publishing Abilitare i partners ad accedere ai dati aziendali VPN site-to-site e Firewall Implementare un accesso remoto sicuro, proteggendo la rete interna VPN integrata con RRAS e FW Connettere in maniera sicura le sedi distaccate alla sede centrale VPN Firewall e Caching Controllare laccesso a Internet e proteggere i client dal traffico Internet Firewall e Web Proxy Assicurare accesso veloce al contenuto web più frequentemente usato Caching ISA utilizza:
93
Introduzione a ISA Server 2004 Interazione del Firewall Web Server Mail Server
94
Firewall di perimetro Caching, autenticazione, VPN Caching, autenticazione, VPN Soluzione di sicurezza integrata Soluzione di sicurezza integrata Sedi distaccate Connettività sicura site-to-site Connettività sicura site-to-site Sicurezza del sito remoto Sicurezza del sito remoto Accesso remoto Policy flessibili e potenti Policy flessibili e potenti Quarantine Control Quarantine Control Publishing sicuro Exchange, SharePoint e IIS Exchange, SharePoint e IIS Topologia flessibile Topologia flessibile Tipici scenari di Deployment
95
Introduzione a ISA Server 2004 Configurazione Firewall: Perimetro di rete Domain Controller Mail Server Web Server SQL Server VPN Clients
96
PolicyEngine NDIS TCP/IP Stack Architettura di ISA 2004 Firewall Engine Firewallservice Firewall service Application Filter API App Filter Web Proxy Filter Web Filter API (ISAPI) Web filter Web filter User Mode Kernel Mode SMTPFilterRPCFilter DNS Filter Policy Store Filtering a livello pacchetto 1 Filtering a livello protocollo 2 Filtering a livello applicazione 3 Kernel mode data pump: Ottimizzazione delle prestazioni 4
97
Modello di rete di ISA 2000 Internal Network Internet DMZ 1 Static PF Zone fisse Rete interna = LAT Rete esterna = DMZ, Internet Packet filtering solo su interfacce esterne Singola policy di uscita Sempre sotto NAT Filtering statico tra DMZ e Internet ISA 2000
98
Modello di rete di ISA 2004 CorpNet_1 CorpNet_n Net A Internet VPN ISA 2004 DMZ_n DMZ_1 Local Host Network Utilizzabile un qualunque numero di reti VPN vista come rete Localhost visto come rete Relazioni di NAT e/o Routing assegnabili Policy per ogni rete Packet filtering su tutte le interfacce Qualunque policy per qualunque topologia
99
Filtering e Policies Panoramica sul Filtering Determina a quali pacchetti consentire il passaggio attraverso il firewall Si applica al traffico entrante e/o uscente Si filtra per protocollo, porta, o contenuto del pacchetto Permette certi tipi di traffico e nega altri tipi Application filtering Autenticazione e virus checking Dynamic packet filtering Apre le porte, al bisogno
100
Filtering e Policies Application Filters Filtri basati sul contenuto dei pacchetti FTP Apre le porte dinamicamente Intrusion detection Attacchi al DNS Attacchi buffer overflow su POP3 SMTP Blocca spam, virus, e codice dannoso Streaming media Specifica protocolli di streaming
101
Filtering e Policies Stateful Inspection Ispeziona la sorgente e la destinazione del traffico Conosciuto anche come Dynamic Packet Filtering Apre le porte in risposta alle richieste degli utenti Chiude le porte quando le comunicazioni terminano I pacchetti in uscita che richiedono specifici tipi di pacchetti in entrata sono tracciati (registrati) Solo alle repliche è permesso il rientro in rete
102
Filtering e Policies Panoramica sulle policy Firewall Network rules Determinano come due reti sono connesse Firewall policy rules Access rules (regole di accesso) Publishing rules (regole di publishing) Richieste di traffico in uscita Controllano le network rules Controllano le access rules Richieste di traffico in entrata Controllano le publishing rules Controllano le Web chaining rules
103
Il modello delle policy in ISA 2004 Regole singole e ordinate Più logico e facile da comprendere Facile da visualizzare e monitorare Struttura unica per tutte le regole Applicabile a tutti i tipi di policy Tre modelli generali di regole Access rules Server Publishing rules Web Publishing rules Le proprietà dellapplication filtering sono parte integrante della regola Default System Policy
104
Struttura generale delle regole Regole base di ISA 2004: Protocol rules Site and Content rules Static packet filters Publishing rules Web publishing rules Selected filtering configuration Altre regole di ISA 2004: Address translation rules Web routing rules Firewall policy Configuration policy action on traffic from user from source to destination with conditions Consenti Blocca Consenti Blocca Rete sorgente IP sorgente Utente mittente Rete sorgente IP sorgente Utente mittente Rete di destinazione IP di destinazione Sito di destinazione Rete di destinazione IP di destinazione Sito di destinazione Protocollo Porta IP Protocollo Porta IP Server pubblicato Sito web pubblicato Schedulazione Proprietà di filtering Server pubblicato Sito web pubblicato Schedulazione Proprietà di filtering Qualunque utente Authenticated Users Utente/Gruppo specifico Qualunque utente Authenticated Users Utente/Gruppo specifico
105
Filtering a livello applicazione Le attuali minacce ci inducono ad utilizzare unispezione più in profonfità Protegge gli asset di rete dagli attacchi a livello applicazione: Nimda, Slammer... Ci permette di definire una policy di sicurezza a livello applicazione molto precisa e granulare E la migliore protezione per le applicazioni Microsoft Dove lavora lapplication filtering Filtri pre-costruiti per i più comuni protocolli HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media Implementati in maniera differente in base allo scenario di rete Estendibili tramite plug-in Microsoft e di terze parti
106
Server Publishing Regole di Publishing Permettono laccesso ai server interni o di perimetro dalla rete esterna Web publishing E richiesto un listener configurato HTTP o HTTPS Mail server Adatto a client RPC, POP3, SMTP Client Web OWA, OMA Server-to-server
107
Server Publishing e VPN Mail Server Publishing - Bridging Connessioni sicure con i client Connessioni sicure con il mail server Connessioni sicure con client e server Solo connessioni standard
108
Protezione delle VPN Il traffico in uscita dal tunnel è ispezionato Re-iniettato nello stack ed anallizzato dal motore del firewall Il traffico VPN è separato Nella rete VPN tutti gli indirizzi sono allocati agli utenti VPN Gli indirizzi IP sono dinamicamente aggiunti/rimossi Supporto per IPSec in modalità di Tunneling Fornisce connettività alle sedi collegate via VPN Strumenti semplificati per lamministrazione Supporto per il Quarantine Utenti di quarantena messi nella rete di quarantena Indirizzi IP dinamicamente aggiunti/rimossi
109
Agenda Introduzione a ISA Server 2004 Protezione di Exchange Server Appliances
110
Minacce al sistema di posta Per rendere sicuro il nostro sistema di posta dobbiamo : Assicurarci che tutte le connessioni dei client di posta ai server di posta siano sicure Proteggere i server di posta dagli attacchi SMTP Prevenire che le mail dannose o non volute (spam) entrino nella nostra rete Assicurarci che tutte le connessioni dei client di posta ai server di posta siano sicure Proteggere i server di posta dagli attacchi SMTP Prevenire che le mail dannose o non volute (spam) entrino nella nostra rete
111
Accesso alla posta con client web Outlook Mobile Access XHTML, cHTML, HTML Dispositivi ActiveSync ISA Server Outlook Web Access Exchange Front-End Server Exchange Back-End Servers Rete Wireless
112
Connessioni RPC di Outlook Connessioni RPC over HTTP di Outlook Accesso alla posta con client Outlook Porta 135 e porte dinamiche Porta 80 o 443 Exchange Back-End Servers Exchange Back-End Servers Exchange Front-End Server Exchange Front-End Server ISA Server
113
Connessioni POP3 Connessioni IMAP4 Accesso alla posta con client POP3, IMAP4, NNTP Porta 110 o 995, Porta 25 Porta 143 o 993, Porta 25 Exchange Back-End Servers Exchange Back-End Servers Exchange Front-End Server Exchange Front-End Server ISA Server
114
Attacchi SMTP I server SMTP possono essere vulnerabili a: Attacchi di tipo Buffer overflow, quando dei comandi SMTP sono spediti con più dati di ciò che è previsto dalla semantica SMTP, causando un overflow dei buffer di memoria Attacchi di tipo Mail relay, quando un server SMTP è usato per forwardare mail non sollecitate verso dei destinatari Attacchi di tipo SMTP command, dove dei comandi SMTP sono usati per compromettere il server o rubare informazioni sul server stesso, o sulle liste dei nominativi qui contenute Attacchi di tipo Buffer overflow, quando dei comandi SMTP sono spediti con più dati di ciò che è previsto dalla semantica SMTP, causando un overflow dei buffer di memoria Attacchi di tipo Mail relay, quando un server SMTP è usato per forwardare mail non sollecitate verso dei destinatari Attacchi di tipo SMTP command, dove dei comandi SMTP sono usati per compromettere il server o rubare informazioni sul server stesso, o sulle liste dei nominativi qui contenute
115
Mail dannose e di spam Le mail di spam sono mail commerciali non sollecitate che : Consumano risorse-server e risorse di rete Riducono la produttività utente ed aumentano gli sforzi amministrativi per combatterle Possono essere filtrate con un filtro application- level Consumano risorse-server e risorse di rete Riducono la produttività utente ed aumentano gli sforzi amministrativi per combatterle Possono essere filtrate con un filtro application- level Le mail dannose contengono virus o worm che : Danneggiano i dati o i computer, o consumano risorse di rete e dei computer stessi Aumentano gli sforzi ed i costi amministrativi Aumentano il rischio di perdita di informazioni Danneggiano i dati o i computer, o consumano risorse di rete e dei computer stessi Aumentano gli sforzi ed i costi amministrativi Aumentano il rischio di perdita di informazioni
116
Come ISA 2004 protegge i Server Exchange Exchange Back-End Servers Exchange Back-End Servers Exchange Front-End Server Exchange Front-End Server Wizard Mail publishing Filtering dello spam Filtering sui comandi SMTP Accesso sicuro per i client Outlook Accesso sicuro per i client web ISA Server
117
Le difese di ISA Server 2004 Mail Server Wizard SMTP Application Filter Message Screener Connessioni OWA sicure Autenticazione Forms-based Connessioni RPC over HTTP sicure
118
Configurare il server SMTP come client di tipo SecureNAT 3 3 Configurare una regola di accesso per il server SMTP interno, in modo che possa spedire mail verso Internet 4 4 Configurare il DNS in modo che il server SMTP interno possa risolvere i nomi su Internet 5 5 Pubblicare il server SMTP con il Mail Server Publishing Wizard 2 2 Configurare i record MX sui DNS di Internet in modo che puntino a ISA Server 1 1 Rendere sicuro il traffico SMTP
119
DEMO: pubblicare il server SMTP interno Creare i record DNS su Internet Configurare una regola di publishing SMTP Configurare il traffico SMTP uscente Testare il flusso del traffico Internet Den-ISA-01 Den-DC-01 Gen-Web-01 Den-Msg-01
120
Come lavora il filtering SMTP Exchange Back-End Servers Exchange Back-End Servers Exchange Front-End Server Exchange Front-End Server EHLO contoso.com Mail from: Ben@contoso.com Rcpt to: Jay@cohovineyard.com Data EHLO contoso.com Mail from: Ben@contoso.com Rcpt to: Jay@cohovineyard.com Data Server SMTP ISA Server La lunghezza del comando permessa? Il comando permesso? E…
121
Come configurare il SMTP application filter
122
Come lavora il Message Screener Exchange Back-End Servers Exchange Back-End Servers IIS 6.0 con servizio SMTP IIS 6.0 con servizio SMTPE… Lhost sorgente permesso? Il dominio sorgente permesso? Lallegato permesso? La keyword bloccata? SMTP Server Installare il Message Screener ISA Server Message screner può cancellare subito le mail, mantenerle in una repository, o forwardarle ad un altro account di posta
123
Configurare una regola di publishing SMTP che pubblica il server SMTP che esegue il Message Screener 3 3 Configurare i settaggi del Message Screener sul filtro SMTP 4 4 Installare il Message Screener sul server IIS 2 2 Installare il servizio SMTP su un server IIS 5.0 o IIS 6.0 1 1 Implementare Message Screener
124
DEMO: implementare il Message Screener Installare il servizio SMTP sul server ISA Installare il Message Screener Configurare il Message Screener Testare il Message Screener Internet Den-ISA-01 Den-DC-01 Gen-Web-01 Den-Msg-01
125
Connessioni OWA sicure con ISA Server 2004 Exchange Back-End Servers Exchange Back-End Servers Exchange Front-End Server Exchange Front-End Server Client OWA Mail Publishing Wizard per pubblicare i server OWA Configurare il blocco degli allegati Usare autenticazione forms-based per avere logon utente più sicuro ISA Server
126
Configurare la modalità bridging. Per massima sicurezza, rendere sicure le connesioni dai client a ISA e da ISA al server OWA 3 3 Configurare un Web listener per il publishing di OWA. Scegliere lautenticazione forms-based e SSL per il Web Listener 4 4 Usare il Mail Server Publishing Wizard per pubblicare il server OWA 2 2 Installare un certificato digitale sul server OWA e configurare IIS ad obbligare connessioni SSL verso le virtual directories di OWA 1 1 Configurazione di OWA sicuro
127
Autenticazione Forms-based
128
DEMO : connessioni OWA sicure Installare un certificato sul server OWA Configurare IIS a richiedere SSL sulle virtual directories usate da OWA Configurare una regola di publishing di OWA Testare la regola Internet Den-ISA-01 Den-DC-01 Gen-Web-01 Den-Msg-01
129
RPC over HTTP RPC over HTTP richiede: Exchange Server 2003 in esecuzione su Windows Server 2003, e i Global Catalog Windows Server 2003 Outlook 2003 in esecuzione su Windows XP SP1 o successivi Un server Windows Server 2003 che esegua il servizio RPC proxy server (tipicamente il server Exchange di Front-End, ma anche altri) Un profilo modificato di Outlook, che si connetta ad Exchange utilizzando HTTPS
130
Configurare RPC over HTTP Per abilitare RPC over HTTP, pubblicare la virtual directory /rpc/* Per abilitare RPC over HTTP, pubblicare la virtual directory /rpc/*
131
DEMO : RPC over HTTP Demo 1: abilitare le connessioni RPC over HTTP Demo 2: Configurare lautenticazione Forms-Based per le connesisoni OWA Internet Den-ISA-01 Den-DC-01Den-Msg-01 Den-Clt-01
132
Agenda Introduzione a ISA Server 2004 Protezione di Exchange Server ISA Server 2004 Appliances
133
Microsoft collabora con gli OEMs per integrare ISA 2004 in soluzioni hardware Celestix Networks CorrentHP Network Engines Otto Security and Software Technologie Pyramid Computer Wortmann AG http://www.microsoft.com/isaserver/hardware/default.mspx
134
La sicurezza delle reti Wireless
135
Agenda Rendere sicura una rete wireless Lo standard di autenticazione 802.1X Componenti necessari per una soluzione wireless sicura Possibili scenari di configurazione Progettazione della configurazione ottimale dei componenti
136
Quando si progetta la sicurezza per una rete wireless, considerare : Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dellinfrastruttura Soluzioni sicure di autenticazione e autorizzazione Protezione dei dati Configurazione sicura dei Wireless Access Point Configurazione e gestione sicura dellinfrastruttura Perchè rete wireless sicura?
137
Minacce alle reti wireless Rilevamento e furto di informazioni confidenziali (eavesdropping) Accesso non autorizzato ai dati (intercettazioni e modifiche) Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per captare SSID di rete e validi MAC dei client) Interruzione del servizio wireless (attacchi DoS agli access point) Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta) Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless) Setup di reti home-wireless non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile) Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate) Rilevamento e furto di informazioni confidenziali (eavesdropping) Accesso non autorizzato ai dati (intercettazioni e modifiche) Impersonificazione di un client autorizzato (spoofing, vengono utilizzati strumenti per captare SSID di rete e validi MAC dei client) Interruzione del servizio wireless (attacchi DoS agli access point) Accesso non autorizzato a Internet (usare le reti wireless circostanti per collegarsi a Internet in maniera fraudolenta) Minacce accidentali (chi non ha intenzione di collegarsi a rete wireless, ma il suo pc lo fa involontariamente captando il segnale wireless) Setup di reti home-wireless non sicure (chi porta il proprio portatile a casa, e lì lo connette ad una rete wireless non sicura, con rischio di furto dei dati o entrata di worm e virus nel portatile) Implementazioni di WLAN non autorizzate (chi ha troppi diritti in rete e si diletta nel creare reti wireless mal-configurate)
138
Gli standard wireless StandardDescrizione802.11 Specifica base che definisce i concetti di trasmissione per le reti wireless 802.11a Velocità di trasmissione fino a 54 Mbps Range di frequenza 5 Ghz Ottima velocità, poche interferenze, non compatibile 802.11b Velocità di trasmissione fino a 11 Mbps Range di frequenza 2,4 Ghz Minor velocità, possibili interferenze, basso costo 802.11g Velocità di trasmissione fino a 54 Mbps Range di frequenza 2,4 Ghz Ottima velocità, possibili interferenze, compatibile.11b 802.11i Stabilisce processi standard di autenticazione e crittazione sulle reti wireless 802.1X - uno standard che definisce un meccanismo di controllo delle autenticazioni e degli accessi ad una rete e, come opzione, definisce un meccanismo di gestione delle chiavi usate per proteggere il traffico
139
Confidenzialità con WEP Protocollo 802.11 progettato per dare sicurezza ai dati in transito su reti wireless (…ma poco sicuro!!!) Crittazione dei dati Integrità dei dati Static WEP: difficile da gestire e facilmente perforabile con strumenti di attacco liberamente disponibili Dynamic WEP: miglior sicurezza dello static WEP, ma da usare solo come soluzione temporanea prima di implementare WPA o WPA2 Oggi si usano 2 standard WEP : Fornisce le seguenti caratteristiche crittografiche:
140
Confidenzialità con WPA WPA e WPA2 forniscono le seguenti caratteristiche crittografiche: Crittazione dei dati, usati con gli standard di autenticazione 802.1X Integrità dei dati Protezione da attacchi di tipo replay Operano a livello MAC (Media Access Control)
141
Autenticazione 802.1X Opzioni di autenticazione Scegliere la soluzione migliore Come lavora 802.1X con PEAP e password Come lavora 802.1X con i certificati Requisiti client, server e hardware per implementare 802.1X
142
Opzioni di autenticazione Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK) Protected Extensible Authentication Protocol (PEAP) con le password (802.1X con PEAP-MS-CHAPv2) Certificate Services (802.1X con EAP-TLS) Wi-Fi Protected Access con chiavi pre-condivise (WPA-PSK)
143
La soluzione appropriata Soluzione wireless Ambiente tipico Componenti di infrastruttura addizionali richiesti? Certificati usati per lautenticazione dei client Password usate per lautenticazione dei client Metodo tipico di crittazione dei dati Wi-Fi Protected Access con Pre- Shared Keys (WPA-PSK) Small Office/Home Office (SOHO) NessunoNOSI Usa la chiave di crittazione WPA per l autenticazione alla rete WPA PEAP + password (PEAP-MS- CHAPv2) Piccole/medie aziende Internet Authentication Services (IAS) Certificato richiesto per il server IAS NO (ma almeno un certificato deve essere rilasciato per validare il server IAS) SI WPA o chiave WEP dinamica Certificati (EAP- TLS) Aziende medio/grandi Internet Authentication Services (IAS) Servizi Certificati SINO (possibilita di modifica, inserendo la richiesta di password) WPA o chiave WEP dinamica
144
Come lavora 802.1X con PEAP e password Wireless ClientRADIUS (IAS) 1 1 Client Connect Wireless Access Point 2 2 Client Authentication Server Authentication Mutual Key Determination 4 4 5 5 3 3 Key Distribution Authorization WLAN Encryption Internal Network
145
Come lavora 802.1X con EAP-TLS Wireless Client RADIUS (IAS) 1 1 Certificate Enrollment Wireless Access Point 2 2 Client Authentication Server Authentication Mutual Key Determination 4 4 5 5 3 3 Key Distribution Authorization WLAN Encryption Internal Network Certification Authority 6 6
146
Requisiti per 802.1X ComponentiRequisiti Client computers Il client 802.1X è disponibile per Windows 95, Windows 98, Windows NT 4.0, e Windows 2000 802.1X è supportato per default da Windows XP e da Windows Server 2003 RADIUS/IAS e server certificati Necessari Potrebbero anche non essere Microsoft Wireless access points Devono almeno suppoprtare 802.1X e WEP a 128 bit per la crittazione Infrastruttura Active Directory, DNS, DHCP
147
Componenti richiesti per 802.1X con PEAP-MS-CHAPv2 ComponentiDescrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Gli account di utenti e computer devono essere creati nel dominio Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA Laccess point e il server RADIUS avranno una shared secret per autenticarsi lun con laltro RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prendere decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Può eseguire accounting e auditing Deve avere un certificato installato per essere autenticato dai client (server authentication)
148
Componenti richiesti per 802.1X con EAP-TLS ComponentiDescrizione Wireless Client Deve avere una scheda wireless che supporti 802.1X e dynamic WEP o WPA Certificati per ogni utente wireless e per ogni computer con scheda wireless installati sui client wireless Wireless Access Point Deve supportare 802.1X e dynamic WEP o WPA Laccess point e il server RADIUS avranno una shared secret per autenticarsi lun con laltro Servizi Certificati Intera infrastruttura PKI con una Certification Authority o una gerarchia di Certification Authority, e procedure di auto-enrollment dei certificati RADIUS/IAS Server Deve usare Active Directory per verificare le credenziali dei client WLAN Può prende decisioni sulle autorizzazioni in base alle Remote Access Policy configurate Deve avere un certificato installato per essere autenticato dai client (server authentication)
149
Progettare la PKI Define linfrastruttura di Certification Authority Singola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dellazienda Definire quali tipi di certificato utilizzare e il loro rilascio Certificati a scopo autenticazione, da rilasciare sia ai computer che agli utenti Configurare lauto-enrollment per entrambi (via Group Policy) Configurare la validità e la lunghezza della chiave Configurare le procedure di rinnovo Configurare la pubblicazione delle CRL Configurare procedure di backup per le chiavi private Pubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script) Define linfrastruttura di Certification Authority Singola CA o più livelli di CA (Root, Intermediate, Issuing) a seconda delle dimensioni dellazienda Definire quali tipi di certificato utilizzare e il loro rilascio Certificati a scopo autenticazione, da rilasciare sia ai computer che agli utenti Configurare lauto-enrollment per entrambi (via Group Policy) Configurare la validità e la lunghezza della chiave Configurare le procedure di rinnovo Configurare la pubblicazione delle CRL Configurare procedure di backup per le chiavi private Pubblicare nei client il certificato con la chiave pubblica della CA che ha rilasciato il certificato al server IAS (via Group Policy o script)
150
Implementare RADIUS (IAS) Installare il servizio IAS Su un domain controller o su un server membro dedicato Registrare il servizio in Active Directory comando netsh ras add registeredserver Installare un certificato sul server IAS Usare un livello funzionale del dominio almeno nativo Windows 2000 native mode (se AD 2000) Windows 2000 native o Windows Server 2003 (se AD 2003) Per il completo supporto dei gruppi universali e di EAP-TLS Installare il servizio IAS Su un domain controller o su un server membro dedicato Registrare il servizio in Active Directory comando netsh ras add registeredserver Installare un certificato sul server IAS Usare un livello funzionale del dominio almeno nativo Windows 2000 native mode (se AD 2000) Windows 2000 native o Windows Server 2003 (se AD 2003) Per il completo supporto dei gruppi universali e di EAP-TLS
151
Configurare gli Access Point Nella console IAS, configurare ogni Access Point come client RADIUS Configurare ogni access point ad usare il server IAS per le autenticazioni Configurare uno shared secret tra IAS e access point Configurare il SSID e il SSID broadcast Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS) Nella console IAS, configurare ogni Access Point come client RADIUS Configurare ogni access point ad usare il server IAS per le autenticazioni Configurare uno shared secret tra IAS e access point Configurare il SSID e il SSID broadcast Utilizzare metodi sicuri per amministrare remotamente gli access point (HTTP con SSL, SSH, TLS)
152
Configurare le Remote Access Policy su IAS Configurare le Conditions NAS-Port-Type impostato su Wireless 802.11 Configurare eventuali restrizioni di gruppo e/o orarie Configurare le Permissions Tipicamente impostare su Grant access Configurare il Profile Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni Configurare le Conditions NAS-Port-Type impostato su Wireless 802.11 Configurare eventuali restrizioni di gruppo e/o orarie Configurare le Permissions Tipicamente impostare su Grant access Configurare il Profile Inserire controlli che verifichino che effettivamente i client wireless utilizzino i metodi previsti per le autenticazioni
153
Controllare laccesso WLAN con i gruppi di sicurezza Esempi di gruppoMembri del gruppo Accesso wirelessUtenti wireless Computer wireless Utenti wireless{utenti che lavorano su pc wireless} Computer wireless{computer che hanno una scheda di rete wireless} IAS permette di controllare laccesso alla rete wireless usando i gruppi di sicurezza di Active Directory, linkati a specifiche remote access policy
154
Configurare i client wireless Tramite Group Policy E opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi voluti La GPO può contenere le Wireless Network Policy che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wireless Sono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy Localmente, client per client Settaggi principali : Wireless Network Key Network Authentication (Open, Shared, WPA, WPA-PSK) Data Encryption (WEP, TKIP, AES) 802.1X (flag) The key is provided automatically (check box) N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet) Tramite Group Policy E opportuno mettere i client wireless in una apposita OU e linkare una GPO con i settaggi voluti La GPO può contenere le Wireless Network Policy che permettono di configurare tutti i settaggi configurabili localmente nelle proprietà di rete di ogni client wireless Sono Windows XP e Windows Server 2003 possono ricevere settaggi wireless dalle group policy Localmente, client per client Settaggi principali : Wireless Network Key Network Authentication (Open, Shared, WPA, WPA-PSK) Data Encryption (WEP, TKIP, AES) 802.1X (flag) The key is provided automatically (check box) N.B. : solo Windows XP SP2 e Windows Server 2003 SP1 hanno WPA attiva per default. Su sistemi operativi precedenti, bisogna installare il client WPA (scaricabile da Internet)
155
Informazioni aggiuntive Dove trovare risorse: Securing Wireless LANs with Certificate Services http://go.microsoft.com/fwlink/?LinkId=14843 Security Wireless LANs with PEAP and Passwords http://www.microsoft.com/technet/security/topics/cryptographyetc/ peap_0.mspx Security Guidance Center: http://www.microsoft.com/italy/security/guidance/default.mspx Ultime novità sul wireless in Windows XP SP2 e Windows server 2003 Release 2 http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx
156
Principali caratterisitche di sicurezza
157
Agenda UAP (User Account Protection) Parental Control Internet Explorer 7.0 Protezione dai virus Windows Service Hardening Network Access Protection Firewall Avvio sicuro
158
User Account Protection E molto frequente lavorare sui propri pc come amministratori Ci consente usabilità Non ci consente sicurezza Virus, worm e spyware penetrano nelle macchine e usano questi privilegi amministrativi Chi ha troppi diritti, può fare troppi danni… Anche diverse applicazioni richiedono diritti di Administrator o di Power User Anche molte operazioni di gestione del sistema operativo li richiedono
159
Cosa fa UAP… Abilita gli utenti ad eseguire operazioni come non-administrator Solo lutente built-in Administrator avrà sempre pieni poteri amministrativi Qualunque altro utente, anche facente parte del gruppo Administrators, avrà inizialmente poteri limitati Se deve eseguire operazioni comuni, userà questi suoi diritti limitati Se deve eseguire operazioni amministrative, dovrà effettuare unelevazione dei suoi privilegi In Windows Vista Beta1, UAP non è abilitato per default. Nella Beta2 sarà attivo.
160
Come funziona UAP Per utenti del gruppo Users Ogni volta che devono eseguire operazioni amministrative, sono richieste le credenziali di un utente amministrativo (come prima, ma senza obbligo di richiamare Run as) Per utenti di un gruppo amministrativo Al logon vengono dotati di uno split-token Possiedono ora 2 tipi di credenziali : amministrative e comuni. Quelle comuni sono utilizzate per tutte le operazioni comuni (browser, posta, ecc…) Per eseguire task amministrativi, un prompt chiede allutente di confermare le credenziali di admin Per maggior scorrevolezza, è anche possibile far apparire il prompt, senza richiesta di re-immettere la password
161
Protezione delle applicazioni (1) Durante linstallazione Windows Vista rileva ogni tentativo di lanciare un Setup Installer Il prompt chiede la conferma amministrativa Dopo linstallazione Vecchie applicazioni non funzionano correttamente se non si è amministratori Motivo : cercano di scrivere in parti di registro o in cartelle di solito accessibili solo agli amministratori Vista virtualizza queste parti di registro o cartelle e le trascrive in parti accessibili agli utenti standard (HKCU e per-user store)
162
Protezione delle applicazioni (2) Le vecchie applicazioni funzionano ora anche con diritti di standard user UAP è da considerarsi come tecnologia di transizione Gli sviluppatori sono tenuti a scrivere codice compatibile con Windows Vista Usare tecnologia Windows Installer Fare testing come non-administrator Operazioni amministrative solo in installazione Operazioni user in esecuzione
163
Esecuzione delle applicazioni E sempre possibile indicare manualmente ad una applicazione di essere eseguita con privilegi elevati (Run elevated) E possibile anche indicare ad una applicazione di essere eseguita SEMPRE con privilegi elevati (è il tab Compatibility nelle proprietà delleseguibile) Pulsante Unlock per alcuni strumenti del Pannello di Controllo
164
Parental Control Garantisce un uso corretto del pc ai propri figli Limita quando e per quanto un figlio può utilizzare il computer Limita quali siti web un figlio può visitare Limita quali programmi un figlio può eseguire Restringe laccesso ad alcuni giochi Esegue report dettagliati sullutilizzo del computer da parte dei figli
165
Internet Explorer 7.0 Basato su UAP Esegue in modalità read-only (eccetto File Temporanei Internet e Cronologia) Malware penetrato da Internet non può eseguire operazioni dannose Gli Add-on possono essere installati solo col permesso dellutente Possibilità di cancellare tutta la cache e i controlli ActiveX con un solo clic Filtro anti-phishing integrato
166
Altre caratteristiche di IE7 Avvisa sempre lutente quando inserisce dati in un sito non protetto SSL/TLS Viene evidenziata la barra degli indirizzi se si è connessi ad un sito sicuro Tab browsing integrato in RTM Evidenzia il nome di dominio se questo è un indirizzo IP o contiene caratteri speciali IDN per gli URL con caratteri multilingua Zoom delle pagine web senza perdere qualità SSLv3 e TLSv1 per la crittazione
167
IE6 IE6 in esecuzione come Admin Installa un driver, Avvia Windows Update Modifica impostazioni, Download di immagini Cache dei contenuti Exploit possono installare MALWARE Accesso come Admin Accesso come User Temp Internet Files HKLM Program Files HKCU My Documents Startup Folder File e impostazioni non fidati
168
IE7 in Protected Mode IE7 in Protected Mode IE7 in Protected Mode Installa un driver, Installa un controllo ActiveX Modifica delle impostazioni, Salva immagini Integrity Control Broker Process Impostazioni e file rediretti Compat Redirector Contenuti in cache Accesso come Admin Accesso come User Temp Internet Files HKLM HKCC Program Files HKCU My Documents Startup Folder File e impostazioni non fidati
169
Protezione dai virus Agente integrato che opera in due fasi: Durante laggiornamento da XP a Vista, verifica i file esistenti su disco alla ricerca di virus (usa un database standard delle signature) Dopo linstallazione periodicamente Windows Vista scarica nuovi database delle signature da Windows Update
170
Windows Service Hardening Impedisce ai servizi Windows critici di eseguire attività dannose nel registro, nel file system o in rete Es. RPC bloccato nel modificare il registro Ad ogni servizio sono associati un SID e un profilo che consentono o negano operazioni locali o di rete Serve a bloccare i tentativi dei codici maligni di costringere i servizi di sistema a eseguire operazioni dannose E ora difficile che software maligni si propaghino da pc a pc
171
Network Access Protection Agente che impedisce a un client di connettersi alla rete interna se non dispone di ultime patch e antivirus aggiornato Dipende dalle caratteristiche dellinfrastruttura server circostante (Longhorn Server) Si applica a tecnologie DHCP, VPN, IEEE 802.1x, IPSec Serve a impedire che computer non protetti si connettano alla rete interna, diffondendo worm o virus Per informazioni sulla tecnologia http://www.microsoft.com/technet/itsolutions/network/nap/naparch.mspx
172
Firewall Basato sul firewall di Windows XP SP2 Filtri per il traffico in uscita Configurabile tramite Group Policy Configurabile tramite linea di comando
173
Avvio sicuro Situazione attuale Tanti programmi di cracking delle password Attacchi off-line alle chiavi di sistema Attacchi ai protocolli di sicurezza Furto o perdita di pc o dischi rigidi Compromissione dei file criptati Difficoltà ad eliminare completamente dati sensibili dai dischi (numerosi tools di analisi e recupero)
174
Soluzioni di Windows Vista TPM (Trusted Platform Module), metodo di sicurezza hardware-based Microchip installato su motherboard Protegge da attacchi software, non da operazioni di utenti riconosciuti Memorizza in maniera sicura tutte le chiavi di crittografia, password e certificati Evita accessi al disco (in caso di furto) Evita accessi ai dati da sistemi operativi diversi
175
Struttura del disco Le partizioni criptate dellOS contengono: OS crittato Page file crittato File temporanei criptati Dati criptati File di ibernazione crittato La System Partition contiene utility per il boot (non criptate, 50MB) MBR
176
Valore del Full Volume Encryption La crittazione del file di ibernazione protegge dallibernazione di portatili con documenti sensibili aperti La Full Volume Encryption aumenta la sicurezza di tutte le chiave di registry, file di configurazione, file di paginazione e ibernazione presenti sul disco crittato La semplice distruzione della chiave consente la dismissione sicura degli asset aziendali
177
Scenari di ripristino La chiave principale di crittazione, a scelta, è memorizzabile su supporti esterni o in AD, per successivo richiamo Scenario di ripristino dopo rottura dellhardware È possibile spostare il disco dal portatile rotto al nuovo portatile Scenario di ripristino dopo attacco Cambiamento/cancellazione dei file del Boot Loader
178
Ripristino dellavvio sicuro Abilitazione della funzione Accesso alla rete via AD Deposito della chiave per esempio via AD Lutente rompe il computer HD della macchina rotta inserito nella nuova macchina Utente chiama SysAdmin SysAdmin sblocca e fornisce la chiave utente dopo aver verificato le credenziali
179
EFS e FVE Partner nella protezione EFS Fornisce sicurezza nel contesto utente Migliorato in Windows Vista per incrementare la sicurezza fornita allutente (smartcards) Non misura lintegrità dei singoli componenti del processo di boot Non fornisce protezione offline per lOS, file temporanei, file di swap e di ibernazione FVE Fornisce sicurezza nel contesto macchina – pensato per proteggere lOS Protegge tutti i settori sul volume di installazione di Windows, inclusi i file temporanei, i file di swap e ibernazione. Non fornisce sicurezza a livello utente
180
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Presentazioni simili
