La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza e gestione Agenda Bitlocker Driver Encryption User Account Protection Internet Explorer 7 Hardening dei servizi Windows Vista firewall Altre.

Presentazioni simili


Presentazione sul tema: "Sicurezza e gestione Agenda Bitlocker Driver Encryption User Account Protection Internet Explorer 7 Hardening dei servizi Windows Vista firewall Altre."— Transcript della presentazione:

1

2 Sicurezza e gestione

3 Agenda Bitlocker Driver Encryption User Account Protection Internet Explorer 7 Hardening dei servizi Windows Vista firewall Altre novità Nuova autenticazione per RDP Novità nellauditing

4 BitLocker Drive Encryption e TBS BitLocker Drive Encryption Vista enterprise e ultimate Verifica lintegrità di del sistema Cripta interi volumi compresi file di swap e di ibernazione, chiavi di registry e file di configurazione Usa TPM v1.2 per validare i componenti pre-OS Metodi di protezione e autenticazione personalizzabili Protezione Pre-OS Chiave di avvio su USB, PIN Driver Microsoft per TPM Stabilità e sicurezza TPM Base Services (TBS) Abilita applicazioni di terze parti Backup su Active Directory Backup automatico delle chiavi su AD Supporto nelle Group Policy Gestione via script Gestione TPM Gestione BitLocker Tool CLI Dismissione sicura Cancellazione della chiave e riuso

5 Richieste hardware Trusted Platform Module (TPM) v1.2 Modulo tipo smartcard presente sulla motherboard Esegue funzioni crittografiche ( RSA, SHA-1, RNG) Crea, salva e gestisce chiavi crittografiche Esegue operazioni di firma digitale Mantiene le misure (hash) della piattaforma Ancora catena di fiducia per le chiavi e credenziali Si autoprotegge dagli attacchi Firmware (Convenzionale o EFI BIOS) compatibile TCG Stabilisce una catena della fiducia per la parte di boot pre-OS Deve supportare le Static Root Trust Measurement (SRTM) specificate da TCG Vedere a

6 Struttura del disco Le partizioni criptate dellOS contengono: OS criptato Page file criptato File temporanei criptati Dati criptati File di ibernazione criptato La System Partition contiene utility per il boot (non criptate, 50MB) MBR

7 Funzionamento del TPM Reset di tutti i registri e trasferimento dellesecuzione al Core Root of Trust Measurement Misura della successiva porzione del firmware in PCR[0] e dei dati in in PCR[1] (Test hardware e configurazione) Codice sempre misurato prime di essere eseguito Misure sono hash SHA-1 dei dati/codice controllato concatenati con hash nel PCR precedente Misure scritte in modo permanente nel PCR Opzioni di ROM e dati in PCR[2] e [3] MBR in PCR[4], tabella delle partizioni in PCR[5] PCR[0] PCR[1] PCR[2] PCR[3] PCR[4] PCR[5] PCR[6] PCR[7] PCR[8] PCR[9] PCR[10] PCR[11] PCR[12] PCR[13] PCR[14] PCR[15] Platform Configuration Registers

8 Funzionamento del TPM Controllo passato a MBR; Carica il primo settore della partizione di boot attiva in memoria Misura i primi 512 byte in PCR[8] Caricamento del settore di boot Misurazione del rimanente in PCR[9] e trasferimento dellesecuzione Codice di boot misura BOOTMGR in PCR[10] e trasferisce lesecuzione Ogni ulteriore applicazione di boot deve essere caricata dalla sola partizione criptata Il BOOTMGR trasferisce il controllo al sistema operativo OS verifica integrità di ogni eseguibile caricato PCR[0] PCR[1] PCR[2] PCR[3] PCR[4] PCR[5] PCR[6] PCR[7] PCR[8] PCR[9] PCR[10] PCR[11] PCR[12] PCR[13] PCR[14] PCR[15] Platform Configuration Registers

9 Backup delle chiavi Per macchine in dominio (raccomandato) Backup automatico Configurare Group Policy per salvare chiavi in AD Gestione e salvataggio delle chiavi centralizzate Macchine non in dominio Backup su device USB Backup su un servizio di storage web-based OEM o 3 ze -parti possono creare servizi Backup su file Stampa o registrazione du mezzo fisico

10 Ripristino in caso di problemi Abilitazione della funzione Accesso alla rete via AD Deposito della chiave per esempio via AD Lutente rompe il computer HD della macchina rotta inserito nella nuova macchina Utente chiama SysAdmin SysAdmin sblocca e fornisce la chiave utente dopo aver verificato le credenziali

11 Configurare Active Directory Per salvare le chiavi di ripristino in AD: Tutti i DC devono essere al minimo Win2K3SP1 Applicare lestensione dello schema per avere gli attributi aggiuntivi (già presente in Windows Server Longhorn) Configurare i permessi sugli oggetti BitLocker e TPM Recovery Information nello schema Se ci sono più foreste, estendere lo schema di tutte le foreste che devono avere macchine con BitLocker Dare diritti di lettura agli utenti che dovranno poter essere assistiti

12 Configurare le Group Policy Impostazioni per BitLocker in group policy Turn on AD backup of BDE recovery information Turn on AD backup of TPM recovery information Configure UI experience Abilitare il controllo del power management per macchine con BitLocker Impedire lo sleep mode (default) Impedire agli utenti la modifica di questa configurazione

13 EFS e Bitlocker EFS Fornisce sicurezza nel contesto utente Migliorato in Windows Vista per incrementare la sicurezza fornita allutente (smartcards) Non misura lintegrità dei singoli componenti del processo di boot Non fornisce protezione offline per lOS, file temporanei, file di swap e di ibernazione BitLocker Fornisce sicurezza nel contesto macchina – pensato per proteggere lOS Protegge tutti i settori sul volume di installazione di Windows, inclusi i file temporanei, i file di swap e ibernazione. Non fornisce sicurezza a livello utente Sono tecnologie complementari che possono coesistere fianco a fianco sullo stesso volume o su volumi diversi Sono tecnologie complementari che possono coesistere fianco a fianco sullo stesso volume o su volumi diversi

14 User Account Control Lavorare come Administrator è rischioso Spyware e Viruses rovinano le macchine Difficile controllare gli utenti enterprise Applicazioni che richiedono privilegi di amministratore Applicazioni disegnate per Win9x: tutti amministratori Applicazioni non disegnate per utenti standard Problemi: Accesso a file e voci di registry condivisi Molte attività comuni in Windows richiedono privilegi di amministratore

15 Utente standard in Vista può fare di più Modifica della time zone Configurazione di connessioni wireless (WEP/WPA) sicure Modifica delle impostazioni di power management Creazione e configurazione di VPN Aggiungere device che hanno già driver installati o ammessi dalle policy Lo scudo indica in modo chiaro e consistente cosa non può fare un utente normale

16 Virtualizzazione di file e registry Es. Internet Explorer I tentativi di scrittura non autorizzati vengono spostati in HKCU\Software\Microsoft\Internet Explorer\Low Rights\Virtual Documents and Settings\%user profile%\Local Settings\Temporary Internet Files\Virtual Se IE prova a scrivere qui……viene ridiretto qui HKCU\Software\FooBarHKCU\Software\MS\IE\Low Rights\Virtual\Software\FooBar C:\Documents and Settings\%user profile%\FooBar C:\Documents and Settings\%user profile%\Local Settings\Temporary Internet Files\Virtual\FooBar

17 UAC livello 2: Elevazione temporanea dei privilegi Soluzione per gli utenti di laptop sconnessi Uso verificabile in event log Utenti standard con accesso alla password di amministrazione

18 UAC livello 3: Configurato via GPO: Lista Allowed basata su firma digitale restringe lelevazione: Codice firmato da IT Vendors fidati (Microsoft, Adobe, ecc..) Scenario duso: Restrizione delle installazioni ad applicazioni fidate Blocco di tutti i programmi eccetto pochi che richiedono diritti di admin Amministratori con restrizione allelevazione

19 Internet Explorer 7 Protected Mode e protezione della privacy Basato su UAP per proteggere i dati utente Costringe IE a girare in modalità read-only (eccetto Temporary Internet Files e History) Blocca i tentativi di cancellare i dati utenti, modificare le impostazioni del browser o Il folder Startup (senza permesso dellutente) Richiede sempre il permesso dellutente per installare Add-in Riduzione dei rischi di cross-domain exploit Opzione di ripristino dei valori di fabbrica Avverte lutente se inserisce dati su canali non SSL/TLS Evidenzia la barra degli indirizzi su connessioni sicure Evidenzia il nome di dominio se è un IP o ha caratteri speciali Pulizia della cache con un solo click

20 IE7 in Protected Mode IE7 in Protected Mode Installa un driver, Installa un controllo ActiveX Modifica delle impostazioni, Salva immagini Integrity Control Broker Process Impostazioni e file rediretti Compat Redirector Contenuti in cache Accesso come Admin Accesso come User Temp Internet Files HKLM HKCR Program Files HKCU My Documents Startup Folder File e impostazioni non fidati IE7 in Protected Mode

21 D DD Windows Vista Service HardeningDD D Riduzione della dimensione dei livelli ad alto rischio Segmentazione dei servizi Aumento del numero di livelli Kernel DriversD DUser-mode Drivers Service1 Service2 Service3 Service … Service… Service A Service B

22 Windows Vista Firewall

23 Altre novità

24 Nuovo controllo RDP

25 Audit Modifiche a valori del Registry (vecchi e nuovi valori) Modifiche in AD (vecchi e nuovi valori) Miglioramento nellaudit delle operazioni Eventi UAC Miglioramento nellaudit di IPSec RPC Call Accesso agli share di rete Gestione degli share di rete Funzioni di crittografia Eventi NAP (solo server) Eventi IAS (RADIUS) (solo server)

26 Più informazioni in Event Log

27 Forwarded Event SEA-WRK-001 SEA-WRK-002 SEA-DC-01

28 Viste riusabili

29 Query cross-log System log Application log Security log Eventi

30 Novità in SMBv2 Solo 16 commandi (80 in SMBv1) Firme SHA-256 (è MD-5 in SMBv1) Gestione delle riconnessioni più stabile Criptatura lato client Link simbolici attraverso gli share (disabilitato per default) Miglioramento del load balancing che mitica gli attacchi DOS

31 Account e gruppi

32 Network access: remotely accessible registry paths

33 Network access: shares that can be accessed anonymously

34 Network Security: Do not store LAN Manager hash value on next password change

35 Network security: LAN Manager authentication level

36 Devices: Allowed to format and eject removable media

37 Devices: Restrict CD-ROM/Floppy access to locally logged on user only

38 Devices: Unsigned driver installation behavior

39 Nuove impostazioni di sicurezza ImpostazioneDefault Network access: remotely accessible registry paths and sub-paths System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Network access: Restrict anonymous access to named pipes and shares Enable System settings: Optional subsystemsPosix System settings: Use certificate rules on windows executables for software restriction policies Disable

40 Webcast per approfondire Windows VistaI nuovi strumenti di gestione e di monitoring /11/200610:00-11:00 Windows VistaTecnologie per la protezione dei dati /12/200610:00-11:30 Windows VistaLe novità di Windows Firewall e di Windows Defender /12/200610:00-11:00 Windows VistaUser Account Protection e Service Hardening /01/200710:00-11:00

41 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Scaricare ppt "Sicurezza e gestione Agenda Bitlocker Driver Encryption User Account Protection Internet Explorer 7 Hardening dei servizi Windows Vista firewall Altre."

Presentazioni simili


Annunci Google