La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Renato Francesco Giorgini Evangelist IT Pro

Presentazioni simili


Presentazione sul tema: "Renato Francesco Giorgini Evangelist IT Pro"— Transcript della presentazione:

1 Renato Francesco Giorgini Evangelist IT Pro

2 Architettura di sicurezza Sistema operativo a 64 bit Piattaforma sicura ed affidabile Controllo e blocco applicazioni Sicurezza dei dati e delle informazioni Accesso sicuro alle reti

3

4 Windows XPWindows Server 2003 Windows VistaWindows Server 2008 Windows 7Windows Server 2008 R2

5 Security Kickoff & Register with SWI Security Design Best Practices Security Arch & Attack Surface Review Use Security Development Tools & Security Best Dev & Test Practices Create Security Docs and Tools For Product Prepare Security Response Plan Security Push Pen Testing Final Security Review Security Servicing & Response Execution Threat Modeling Security Training Feature Lists Quality Guidelines Arch Docs Schedules Design Specifications Testing and Verification Development of New Code Bug Fixes Code Signing A Checkpoint Express Signoff RTM Product Support Service Packs/ QFEs Security Updates Functional Specifications RequirementsRequirementsDesignDesignImplementationImplementationVerificationVerificationReleaseRelease Support & Servicing

6 Più account per i servizi, con permessi più specifici

7 Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi

8 Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema

9 Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dellesposizione sulla rete

10 Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dellesposizione sulla rete Isolamento tra servizi e applicazioni utente

11 Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dellesposizione sulla rete Isolamento tra servizi e applicazioni utente Livelli di sicurezza differenti per sistema e applicazioni

12

13 Garantisce la protezione del Kernel Integrità Affidabilità Sicurezza È possibile modificare il Kernel solo con binari/patch prodotte e autorizzate da Microsoft Non è possibile Modificare parte di routine/binari del kernel Usare stack in kernel mode non allocati dal Kernel stesso Modificare le tabelle di sistema dei servizi No hook via KeServiceDescriptorTable Modificare lInterrupt Dispatch Table (IDT) Modificare la Global Descriptor Table (GDT)

14 Verifica della firma digitale di tutto il software in Kernel Mode Verifica firma digitale e hash dei driver eseguiti in Kernel Mode su sistemi a 64 bit (e con OS a 64 bit): Winload Verifica firma digitale e hash di driver di boot, HAL e NTOSKrnl NTOSKrnl Verifica firma digitale e hash dei device driver caricati in Kernel Mode Verifica firma digitale e hash dei binari in User Mode per: Implementazione funzioni crittografiche Binari caricati nei Protected Processes per lesecuzione di contenuti multimediali ad alta definizione

15

16 Costruito sulle fondamenta di Windows Vista User Account Control personalizzabile Internet Explorer 8 Nuove funzionalità di Auditing Network Access Protection DirectAccess Nuove funzionalità di network security AppLocker Software Restriction Policies Rights Management Services (RMS) Encrypting File System (EFS) BitLocker BitLocker To Go TM Piattaforma sicura e affidabile Accesso sicuro alle reti Controllo e blocco applicazioni Sicurezza dei dati e delle informazioni

17 Architettura Internet Explorer Protected Mode Loosely-Coupled IE Data Execution Prevention Address Space Layout Randomization Gestione ActiveX Per-User ActiveX Per-Site ActiveX Funzionalità Anti-malware, anti-phishing SmartScreen Filter Cross Site Scripting (XSS) Filter Protezione privacy utente InPrivate Browsing InPrivate Filtering

18 Architettura e funzionalità di sicurezza: Distribuzione centralizzata in ambito aziendale: Gestione centralizzata tramite Group Policy:

19 Non facilmente integrabili con le Group Policy È necessiaro utilizzare degli script di logon: auditpol /set /subcategory:"user account management" /success:enable /failure:enable... auditpol /backup /file:auditpolicy.txt xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* auditpol /restore /file:auditpolicy.txt

20 Sono integrate con le Group Policy GAP configurate nella Group Policy Management Console E possibile fare il Modeling delle GAP Sfruttano la struttura delle GPO Policy per Dominio, Sito, Organizational Unit Nuove funzionalità di reportistica e diagnostica Mi permettono di tracciare i motivi di accesso/non- accesso alle risorse

21

22 AppLocker TM Spesso gli utenti possono installare applicazioni sulle loro macchine Ci sono applicazioni eseguibili senza installazione o installabili senza privilegi amministrativi Policy per blocco/autorizzazione delle applicazioni Evoluzione delle Software Restriction Policies Client: Windows 7

23

24 Rights Management Services BitLocker TM Encrypting File System Protezione dei documenti da accessi non autorizzati La protezione è legata al documento protetto (mail, USB, fileshare, HD) Client RMS integrato in Windows 7 e servizi RMS presenti in Windows Server Cifratura folder e files Necessita di NTFS Possibilità di condividere il file cifrato con altri utenti Possibilità di memorizzare le chiavi EFS su Smart Card Consente la cifratura di un intero disco/partizione Configurazione semplificata Supporto per dispositivi rimovibili Supporto per Group Policy

25 AutoreDestinatario Windows Server 2008 R2 con RMS SQL Server Active Directory

26 BitLocker To Go TM + Partizione di Sistema Partizioni Locali Partizioni Locali, Dispositivi Rimovibili

27

28 Tecnologia di policy enforcment e controllo degli accessi Verifica l'Health Status dei client Abilita laccesso alla rete ai client con Health Status compliant alle policy RemediationServers Example: Patch RestrictedNetwork Client Policy compliant NPS DHCP, VPN Switch/Router Policy Servers such as: Patch, AV Corporate Network Not policy compliant

29 Remote Desktop Gateway - abilitata la Remediation IPSec - Gestione SA (security associations) DirectAccess - controllo status client remoti Forefront codename Stirling Action Center Windows 7:

30 Permette di superare le carenze di sicurezza del servizio DNS Definito nelle RFC 4033, 4034 e 4035 Raccomandato NIST SP DNS Server: 4 Nuovi Resource Records DNSKEY, RRSIG, NSEC, DS Supportato nei nuovi prodotti Microsoft DNS Server: Windows Server 2008 R2 DNS Client: Windows 7, Windows Server 2008 R2 Signing: Possibile solo con Static Zones Effettuato da riga di comando: DNSCmd.exe RSA/SHA-1, chiavi da bit Da integrare con IPSec e Group Policy

31 Situazione attuale HomeOfficeHomeOffice DirectAccess È difficile gestire e mantenere aggiornati i PC sconnessi dalla rete aziendale Per gli utenti è complesso accedere alle risorse aziendali (VPN) PC gestibili in modo sicuro anche da remoto Connessione alla rete aziendale sempre disponibile Client: Windows 7

32 DirectAccess Server Windows Server 2008 R2 Compliant Client IPsec/IPv6 Data Center and Business Critical Resources Internet Intranet User Enterprise Network Compliant Network Intranet User IPsec/IPv6 NAP / NPS Servers

33 Windows 7 Windows Server 2008 R2 Internet Information Services 7.5 Hyper-V 2.0 System Center Virtual Machine Manager Internet Explorer 8.0 Forefront Stirling …. professionisti-it-consulenti-e-aziende-interessati-alle-nuove-tecnologie-microsoft.aspx

34 Windows Server 2008 R2 è costruito sulla base di Windows Server 2008 e sulla sua nuova architettura di sicurezza; Sarà solo a 64 bit, non può eseguire codice a 16 bit e ha bisogno di driver certificati digitalmente; Introduce nuove funzionalità di sicurezza, che saranno sfruttate al meglio dai client Windows 7 AppLocker, Direct Access, Bitlocker to Go, DNSSec; Le Group Policy sono lo strumento principale per gestire in azienda lenforcment delle regole di sicurezza.

35 © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows 7, Windows Server 2008 R2 and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Scaricare ppt "Renato Francesco Giorgini Evangelist IT Pro"

Presentazioni simili


Annunci Google