Principali caratterisitche di sicurezza

Slides:



Advertisements
Presentazioni simili
3/25/2017 3:51 AM TechNet Security Workshop per la PMI Come rendere sicura l'infrastruttura IT di una Piccola e Media Impresa Marco Agnoli Responsabile.
Advertisements

Magic Desktop Senza Segreti
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
AVVIARE IL COMPUTER WINDOWS ‘98 Queta fase è definita BOOTSTRAP
Modulo 1 – Ambiente di lavoro Windows 7
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Overview. Agenda Hardware per Windows Vista Sicurezza e Protezione Dati Affidabilità e prestazioni Installazione e distribuzione Produttività
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
La riduzione dei privilegi in Windows
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory
Sviluppare applicazioni per utenti non-admin Fabio Santini Senior Developer Evangelist.
Sicurezza e protezione dei dati
Configuring Network Access
Sharepoint Gabriele Castellani
| | Microsoft Certificate Lifecycle Manager.
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Business Value Launch /27/2017 2:28 AM
Overview Aldo Tuberty Vilà.
Windows Server 2003 Service Pack 1 Anteprima Tecnica.
1 Smart Client distribuzione e aggiornamento Fabio Santini.
Installazione di Apache 2, PHP5, MySQL 5
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
CONOSCIAMO IL WINDOWS '95.
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
Sicurezza e Policy in Active Directory
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
File System NTFS 5.0 Disco: unità fisica di memorizzazione
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Il nostro computer navigando su Internet è molto esposto a rischio di virus, spyware o hacker che minacciano lintegrità dei nostri dati. Proteggere il.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Supporto nativo e avvio da dischi VHD
Copyright © 2007 Toshiba Corporation. Tutti i diritti riservati. Progettato per una mobilità senza precedenti Perché Windows ® Vista è più efficace sui.
Usare la posta elettronica con il browser web
"Non-Admin" Developing "Non-Admin" Developing Fabio Santini.NET Senior Developer Evangelist Microsoft Italy.
Guida IIS 6 A cura di Nicola Del Re.
Iniziamo a usare il computer
SICUREZZA DEI DATI Panaro Emilia IV A SIA.
VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.
Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Corso Rapido Sicurezza Web
Corso Rapido Sicurezza Web STELMILIT Ufficio TLC Sezione Reti TLC C° 1^ ETE Matteo Cannito.
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
Un problema importante
Configurazione di una rete Windows
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
IPSec Fabrizio Grossi.
Francesca Di Massimo Security Lead Microsoft Italia Catania 22 settembre 2006 La Strategia Microsoft per la sicurezza dei sistemi.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Distribuzione controllata del software con Systems Management Server 2003 Fabrizio Grossi.
Certificati e VPN.
21 gennaio Sirti S.p.A. VA/PT di: 3 reti pubbliche (indirizzi selezionati)‏ 3 reti private (indirizzi selezionati)‏ 7 (6) applicazioni web.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
UNITA’ 04 Uso Sicuro del Web.
UNITA’ 02 Malware.
Simulazione Computer Essentials
I Sistemi Operativi. Che cosa sono? Il sistema operativo è un software di base che fa funzionare il computer. I Sistemi operativi più importanti sono:
{ Magic Desktop Senza Segreti Dario Zucchini Associazione Dschola Scuola Digitale Piemonte.
I sistemi operativi Funzioni principali e caratteristiche.
Prof. Giuseppe Mastronardi 1 SAM Security Account Manager debolezze ed hardening di Windows XP POLITECNICO DI BARI Sicurezza dei Sistemi Informatici.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Principali caratterisitche di sicurezza

Agenda UAP (User Account Protection) Parental Control Internet Explorer 7.0 Protezione dai virus Windows Service Hardening Network Access Protection Firewall Avvio sicuro

User Account Protection E’ molto frequente lavorare sui propri pc come amministratori Ci consente usabilità Non ci consente sicurezza Virus, worm e spyware penetrano nelle macchine e usano questi privilegi amministrativi Chi ha troppi diritti, può fare “troppi danni”… Anche diverse applicazioni richiedono diritti di Administrator o di Power User Anche molte operazioni di gestione del sistema operativo li richiedono

Cosa fa UAP… Abilita gli utenti ad eseguire operazioni come non-administrator Solo l’utente built-in “Administrator” avrà sempre pieni poteri amministrativi Qualunque altro utente, anche facente parte del gruppo “Administrators”, avrà inizialmente poteri limitati Se deve eseguire operazioni comuni, userà questi suoi diritti limitati Se deve eseguire operazioni amministrative, dovrà effettuare un’elevazione dei suoi privilegi In Windows Vista Beta1, UAP non è abilitato per default. Nella Beta2 sarà attivo.

Come funziona UAP Per utenti del gruppo “Users” Ogni volta che devono eseguire operazioni amministrative, sono richieste le credenziali di un utente amministrativo (come prima, ma senza obbligo di richiamare “Run as”) Per utenti di un gruppo amministrativo Al logon vengono dotati di uno “split-token” Possiedono ora 2 tipi di credenziali : amministrative e comuni. Quelle comuni sono utilizzate per tutte le operazioni comuni (browser, posta, ecc…) Per eseguire task amministrativi, un prompt chiede all’utente di confermare le credenziali di admin Per maggior scorrevolezza, è anche possibile far apparire il prompt, senza richiesta di re-immettere la password

Protezione delle applicazioni (1) Durante l’installazione Windows Vista rileva ogni tentativo di lanciare un Setup Installer Il prompt chiede la conferma amministrativa Dopo l’installazione Vecchie applicazioni non funzionano correttamente se non si è amministratori Motivo : cercano di scrivere in parti di registro o in cartelle di solito accessibili solo agli amministratori Vista “virtualizza” queste parti di registro o cartelle e le trascrive in parti accessibili agli utenti standard (HKCU e per-user store)

Protezione delle applicazioni (2) Le vecchie applicazioni funzionano ora anche con diritti di standard user UAP è da considerarsi come tecnologia di transizione Gli sviluppatori sono tenuti a scrivere codice compatibile con Windows Vista Usare tecnologia Windows Installer Fare testing come “non-administrator” Operazioni amministrative solo in installazione Operazioni user in esecuzione

Esecuzione delle applicazioni E’ sempre possibile indicare manualmente ad una applicazione di essere eseguita con privilegi elevati (“Run elevated”) E’ possibile anche indicare ad una applicazione di essere eseguita SEMPRE con privilegi elevati (è il tab “Compatibility” nelle proprietà dell’eseguibile) Pulsante “Unlock” per alcuni strumenti del Pannello di Controllo

Parental Control Garantisce un uso “corretto” del pc ai propri figli Limita quando e per quanto un figlio può utilizzare il computer Limita quali siti web un figlio può visitare Limita quali programmi un figlio può eseguire Restringe l’accesso ad alcuni giochi Esegue report dettagliati sull’utilizzo del computer da parte dei figli

Internet Explorer 7.0 Basato su UAP Esegue in modalità read-only (eccetto “File Temporanei Internet” e “Cronologia) Malware penetrato da Internet non può eseguire operazioni dannose Gli Add-on possono essere installati solo col permesso dell’utente Possibilità di cancellare tutta la cache e i controlli ActiveX con un solo clic Filtro anti-phishing integrato

Altre caratteristiche di IE7 Avvisa sempre l’utente quando inserisce dati in un sito non protetto SSL/TLS Viene evidenziata la barra degli indirizzi se si è connessi ad un sito sicuro “Tab browsing” integrato in RTM Evidenzia il nome di dominio se questo è un indirizzo IP o contiene caratteri speciali IDN per gli URL con caratteri multilingua Zoom delle pagine web senza perdere qualità SSLv3 e TLSv1 per la crittazione

Exploit possono installare MALWARE Exploit possono installare MALWARE IE6 in esecuzione come Admin IE6 Accesso come Admin Installa un driver, Avvia Windows Update HKLM Program Files Exploit possono installare MALWARE Accesso come User Modifica impostazioni, Download di immagini HKCU My Documents Startup Folder Exploit possono installare MALWARE Temp Internet Files Cache dei contenuti File e impostazioni non fidati

File e impostazioni non fidati IE7 in Protected Mode IE7 in Protected Mode Integrity Control Impostazioni e file rediretti Compat Redirector Broker Process Accesso come Admin Installa un driver, Installa un controllo ActiveX HKLM HKCC Program Files Accesso come User Modifica delle impostazioni, Salva immagini HKCU My Documents Startup Folder Temp Internet Files File e impostazioni non fidati Contenuti in cache

Protezione dai virus Agente integrato che opera in due fasi: Durante l’aggiornamento da XP a Vista, verifica i file esistenti su disco alla ricerca di virus (usa un database standard delle signature) Dopo l’installazione periodicamente Windows Vista scarica nuovi database delle signature da Windows Update

Windows Service Hardening Impedisce ai servizi Windows critici di eseguire attività dannose nel registro, nel file system o in rete Es. RPC bloccato nel modificare il registro Ad ogni servizio sono associati un SID e un profilo che consentono o negano operazioni locali o di rete Serve a bloccare i tentativi dei codici maligni di costringere i servizi di sistema a eseguire operazioni dannose E’ ora difficile che software maligni si propaghino da pc a pc

Network Access Protection Agente che impedisce a un client di connettersi alla rete interna se non dispone di ultime patch e antivirus aggiornato Dipende dalle caratteristiche dell’infrastruttura server circostante (Longhorn Server) Si applica a tecnologie DHCP, VPN, IEEE 802.1x, IPSec Serve a impedire che computer non protetti si connettano alla rete interna, diffondendo worm o virus Per informazioni sulla tecnologia http://www.microsoft.com/technet/itsolutions/network/nap/naparch.mspx

Firewall Basato sul firewall di Windows XP SP2 Filtri per il traffico in uscita Configurabile tramite Group Policy Configurabile tramite linea di comando

Avvio sicuro Situazione attuale Tanti programmi di cracking delle password Attacchi off-line alle chiavi di sistema Attacchi ai protocolli di sicurezza Furto o perdita di pc o dischi rigidi Compromissione dei file criptati Difficoltà ad eliminare completamente dati sensibili dai dischi (numerosi tools di analisi e recupero)

Soluzioni di Windows Vista TPM (Trusted Platform Module), metodo di sicurezza hardware-based Microchip installato su motherboard Protegge da attacchi software, non da operazioni di utenti riconosciuti Memorizza in maniera sicura tutte le chiavi di crittografia, password e certificati Evita accessi al disco (in caso di furto) Evita accessi ai dati da sistemi operativi diversi

Struttura del disco MBR Le partizioni criptate dell’OS contengono: OS crittato Page file crittato File temporanei criptati Dati criptati File di ibernazione crittato MBR La System Partition contiene utility per il boot (non criptate, 50MB)

Valore del Full Volume Encryption La crittazione del file di ibernazione protegge dall’ibernazione di portatili con documenti sensibili aperti La Full Volume Encryption aumenta la sicurezza di tutte le chiave di registry, file di configurazione, file di paginazione e ibernazione presenti sul disco crittato La semplice distruzione della chiave consente la dismissione sicura degli asset aziendali

Scenari di ripristino La chiave principale di crittazione, a scelta, è memorizzabile su supporti esterni o in AD, per successivo richiamo Scenario di ripristino dopo rottura dell’hardware È possibile spostare il disco dal portatile rotto al nuovo portatile Scenario di ripristino dopo attacco Cambiamento/cancellazione dei file del Boot Loader

Ripristino dell’avvio sicuro Abilitazione della funzione Deposito della chiave per esempio via AD L’utente rompe il computer HD della macchina rotta inserito nella nuova macchina Accesso alla rete via AD Utente chiama SysAdmin SysAdmin sblocca e fornisce la chiave utente dopo aver verificato le credenziali

EFS e FVE Partner nella protezione Fornisce sicurezza nel contesto utente Migliorato in Windows Vista per incrementare la sicurezza fornita all’utente (smartcards) Non misura l’integrità dei singoli componenti del processo di boot Non fornisce protezione offline per l’OS, file temporanei, file di swap e di ibernazione FVE Fornisce sicurezza nel contesto macchina – pensato per proteggere l’OS Protegge tutti i settori sul volume di installazione di Windows, inclusi i file temporanei, i file di swap e ibernazione. Non fornisce sicurezza a livello utente

© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.