Windows Server 2008 R2: novità nelle funzionalità per la sicurezza

Presentazione sul tema: "Windows Server 2008 R2: novità nelle funzionalità per la sicurezza"— Transcript della presentazione:

1 Windows Server 2008 R2: novità nelle funzionalità per la sicurezza
Renato Francesco Giorgini Evangelist IT Pro

2 Agenda Architettura di sicurezza Sistema operativo a 64 bit
Piattaforma sicura ed affidabile Controllo e blocco applicazioni Sicurezza dei dati e delle informazioni Accesso sicuro alle reti

3 Architettura di sicurezza

4 La nuova architettura di sicurezza
Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2

5 Security Development Lifecycle
Feature Lists Quality Guidelines Arch Docs Schedules Design Specifications Testing and Verification Development of New Code Bug Fixes Code Signing A Checkpoint Express Signoff RTM Product Support Service Packs/ QFEs Security Updates Functional Specifications Requirements Design Implementation Verification Release Support & Servicing Security Kickoff & Register with SWI Security Design Best Practices Security Arch & Attack Surface Review Use Security Development Tools & Security Best Dev & Test Practices Create Security Docs and Tools For Product Prepare Security Response Plan Security Push Pen Testing Final Security Review Security Servicing & Response Execution Threat Modeling Security Training

6 Riduzione della superficie di attacco
Più account per i servizi, con permessi più specifici

7 Riduzione della superficie di attacco
Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi

8 Riduzione della superficie di attacco
Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema

9 Riduzione della superficie di attacco
Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dell’esposizione sulla rete

10 Riduzione della superficie di attacco
Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dell’esposizione sulla rete Isolamento tra servizi e applicazioni utente

11 Riduzione della superficie di attacco
Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dell’esposizione sulla rete Isolamento tra servizi e applicazioni utente Livelli di sicurezza differenti per sistema e applicazioni

12 Sistema operativo a 64 bit

13 Kernel Patch Protection
Garantisce la protezione del Kernel Integrità Affidabilità Sicurezza È possibile modificare il Kernel solo con binari/patch prodotte e autorizzate da Microsoft Non è possibile Modificare parte di routine/binari del kernel Usare stack in kernel mode non allocati dal Kernel stesso Modificare le tabelle di sistema dei servizi No hook via KeServiceDescriptorTable Modificare l’Interrupt Dispatch Table (IDT) Modificare la Global Descriptor Table (GDT)

14 Kernel-Mode Code Signing (KMCS)
3/29/2017 6:35 AM Kernel-Mode Code Signing (KMCS) Verifica della firma digitale di tutto il software in Kernel Mode Verifica firma digitale e hash dei driver eseguiti in Kernel Mode su sistemi a 64 bit (e con OS a 64 bit): Winload Verifica firma digitale e hash di driver di boot, HAL e NTOSKrnl NTOSKrnl Verifica firma digitale e hash dei device driver caricati in Kernel Mode Verifica firma digitale e hash dei binari in User Mode per: Implementazione funzioni crittografiche Binari caricati nei Protected Processes per l’esecuzione di contenuti multimediali ad alta definizione © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

15 Piattaforma sicura e affidabile

16 Windows 7 – Windows Server 2008 R2 Security
3/29/2017 6:35 AM Windows 7 – Windows Server 2008 R2 Security Piattaforma sicura e affidabile Controllo e blocco applicazioni Sicurezza dei dati e delle informazioni Accesso sicuro alle reti Costruito sulle fondamenta di Windows Vista User Account Control personalizzabile Internet Explorer 8 Nuove funzionalità di Auditing AppLocker Software Restriction Policies Rights Management Services (RMS) Encrypting File System (EFS) BitLocker BitLocker To GoTM Network Access Protection DirectAccess Nuove funzionalità di network security © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

17 Internet Explorer 8.0 - Security
Architettura Internet Explorer Protected Mode Loosely-Coupled IE Data Execution Prevention Address Space Layout Randomization Gestione ActiveX Per-User ActiveX Per-Site ActiveX Funzionalità Anti-malware, anti-phishing SmartScreen Filter Cross Site Scripting (XSS) Filter Protezione privacy utente InPrivate Browsing InPrivate Filtering

18 Approfondimento su Internet Explorer 8.0
Architettura e funzionalità di sicurezza: Distribuzione centralizzata in ambito aziendale: Gestione centralizzata tramite Group Policy:

19 Granular Audit Policy - Windows Vista
Non facilmente integrabili con le Group Policy È necessiaro utilizzare degli script di logon: L’Admin crea la policy auditpol /set /subcategory:"user account management" /success:enable /failure:enable ... auditpol /backup /file:auditpolicy.txt La Policy viene applicata al logon via script xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* auditpol /restore /file:auditpolicy.txt

20 Nuove Granular Audit Policy
Sono integrate con le Group Policy GAP configurate nella Group Policy Management Console E’ possibile fare il Modeling delle GAP Sfruttano la struttura delle GPO Policy per Dominio, Sito, Organizational Unit Nuove funzionalità di reportistica e diagnostica Mi permettono di tracciare i motivi di accesso/non-accesso alle risorse

21 Controllo e blocco applicazioni

22 Controllo e blocco applicazioni
Situazione attuale Windows Server 2008 R2 AppLockerTM Spesso gli utenti possono installare applicazioni sulle loro macchine Ci sono applicazioni eseguibili senza installazione o installabili senza privilegi amministrativi Policy per blocco/autorizzazione delle applicazioni Evoluzione delle Software Restriction Policies Client: Windows 7

23 Sicurezza dei dati e delle informazioni

24 Rights Management Services
3/29/2017 6:35 AM Protezione dei dati Rights Management Services Encrypting File System BitLockerTM Protezione dei documenti da accessi non autorizzati La protezione è “legata” al documento protetto (mail, USB, fileshare, HD) Client RMS integrato in Windows 7 e servizi RMS presenti in Windows Server Cifratura folder e files Necessita di NTFS Possibilità di condividere il file cifrato con altri utenti Possibilità di memorizzare le chiavi EFS su Smart Card Consente la cifratura di un intero disco/partizione Configurazione semplificata Supporto per dispositivi rimovibili Supporto per Group Policy

25 Windows Server 2008 R2 con RMS
Funzionamento di RMS SQL Server Active Directory Windows Server R2 con RMS 3 5 1 4 2 3 Autore Destinatario

26 Protezione hard disk e drive rimovibili
Situazione attuale Windows 7 BitLocker To GoTM + Partizione di Sistema Partizioni Locali Partizioni Locali, Dispositivi Rimovibili

27 Accesso sicuro alle reti

28 Network Access Protection (NAP)
Tecnologia di policy enforcment e controllo degli accessi Verifica l'Health Status dei client Abilita l’accesso alla rete ai client con Health Status compliant alle policy Remediation Servers Example: Patch Restricted Network Not policy compliant Policy Servers such as: Patch, AV DHCP, VPN Switch/Router Client NPS Policy compliant Corporate Network

29 NAP: Integrazione migliorata
3/29/2017 6:35 AM NAP: Integrazione migliorata Remote Desktop Gateway - abilitata la “Remediation” IPSec - Gestione SA (security associations) DirectAccess - controllo status client remoti Forefront codename “Stirling” Action Center Windows 7: © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

30 DNSSec Permette di superare le carenze di sicurezza del servizio DNS
Definito nelle RFC 4033, 4034 e 4035 Raccomandato NIST SP DNS Server: 4 Nuovi Resource Records DNSKEY, RRSIG, NSEC, DS Supportato nei nuovi prodotti Microsoft DNS Server: Windows Server 2008 R2 DNS Client: Windows 7, Windows Server 2008 R2 Signing: Possibile solo con Static Zones Effettuato da riga di comando: DNSCmd.exe RSA/SHA-1, chiavi da bit Da integrare con IPSec e Group Policy

31 Accesso alla Rete aziendale da remoto
Situazione attuale Windows Server 2008 R2 DirectAccess Office Home Office Home È difficile gestire e mantenere aggiornati i PC sconnessi dalla rete aziendale Per gli utenti è complesso accedere alle risorse aziendali (VPN) PC gestibili in modo sicuro anche da remoto Connessione alla rete aziendale sempre disponibile Client: Windows 7

32 DirectAccess Internet IPsec/IPv6 IPsec/IPv6 IPsec/IPv6
Compliant Client Compliant Client NAP / NPS Servers IPsec/IPv6 IPsec/IPv6 DirectAccess Server Windows Server 2008 R2 Intranet User Data Center and Business Critical Resources Intranet User Enterprise Network Compliant Network

33 Progetti RenatoFrancesco.Giorgini@microsoft.com Windows 7
Windows Server 2008 R2 Internet Information Services 7.5 Hyper-V 2.0 System Center Virtual Machine Manager Internet Explorer 8.0 Forefront “Stirling” ….

34 In conclusione Windows Server 2008 R2 è costruito sulla base di Windows Server 2008 e sulla sua nuova architettura di sicurezza; Sarà solo a 64 bit, non può eseguire codice a 16 bit e ha bisogno di driver certificati digitalmente; Introduce nuove funzionalità di sicurezza, che saranno sfruttate al meglio dai client Windows 7 AppLocker, Direct Access, Bitlocker to Go, DNSSec; Le Group Policy sono lo strumento principale per gestire in azienda l’enforcment delle regole di sicurezza.

35 RenatoFrancesco.Giorgini@microsoft.com http://blogs.technet.com/italy
© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows 7, Windows Server 2008 R2 and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.