Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft
Agenda Introduzione a SCW Dimostrazione Approfondimenti Buone pratiche Informazioni sul rilascio
Introduzione a SCW Cosè Un tool di creazione di Politiche di Sicurezza Focalizzato sulla riduzione della superficie di attacco Disabilita servizi non necessari Disabilita estensioni web non necessarie Blocca porte non necessarie Restringe laccesso alle porte aperte solo ai corretti utilizzatori Riduce lesposizione dei protocolli Firma digitale di SMB e LDAP Compatibilità LanManager e LMHASH Configura le SACL degli Audit Consente limport di Security Template Infrastruttura operativa Rilascio client / server Supporto alla distribuzione via Group Policy Analisi della compatibilità Supporto al rollback
Perché SCW? Lo stato dellarte attuale è basato su guide cartacee Migliaia di pagine Sorgenti multiple con inconsistenze Non provate dai gruppi di sviluppo dei prodotti Difficile mantenere aggiornati i documenti Il risultato sono molti sistemi insicuri
Creazione delle policy Un wizard guida passo passo alla creazione delle policy Il risultato delloperazione è un file XML
Distribuzione delle policy Singolo server Le policy sono applicabili al server locale o ad un remoto da GUI Lapplicazione di una policy SCW (file XML) ad un server richiede che SCW sia installato sul sistema
Distribuzione delle policy Server multipli via Command Line Tool CLI scwcmd.exe File MachineList.xml con elenco delle macchine a cui applicare le policy (mappatura policy-macchina) Scwcmd.exe consuma MachineList.xml e applica lappropriato file di configurazione allappropriata macchina (multi thread) SCW deve essere installato sui server bersaglio Metodo analogo usato per lanalisi di compatibilità Policy1.xmlPolicy2.xml MachineList.xml Scwcmd.exe
Distribuzione delle policy Server multipli via GPO Scwcmd.exe trasforma i file delle policy in file che possono essere distribuiti nativamente via GPO Un file.INF per le impostazioni di sicurezza Un file.POL per la configurazione di Windows Firewall Un IPSec blob per la configurazione di IPSec Le impostazioni di IIS non sono gestite in questa modalità I file generati sono contenuti in una GPO La GPO deve essere collegata alla corretta OU SCW non è richiesto sui computer bersaglio Scwcmd.exe Sce.infFirewall.polFilters.ipsec
Demo: Creazione di una policy con SCW
Approfondimenti Estensioni Knowledge base aziendale
SCW e IPSec SCW non è pensato per creare policy IPSec sofisticate come: Comunicazione DC – DC Segmentazione di rete Quarantena SCW è pensato per fornire sicurezza semplice a livello di porta Principalmente sulla rete aziendale Per chi non ha attualmente policy IPSec attive Default è Accetta comunicazioni insicure ma cerca di rispondere sempre in IPSec Assume che i client usino la default response rule
Estensione con la KB aziendale Possibile modificare i file.xml che definisco la KB mostrata nel wizard Le modifiche saranno mostrate nellinterfaccia del wizard I file.xml della KB risiedono in %windir%\security\msscw\kbs
Estensione con la KB aziendale W2K3.xml Sql.xml Exchange.xml SMS.xml Knowledge base …
Estensione con la KB aziendale W2K3.xml Sql.xml Exchange.xml SMS.xml Knowledge base … W2K3 SQL.xml Exchange.xml sms.xml KBReg.xml
Estensione con la KB aziendale W2K3.xml Sql.xml Exchange.xml SMS.xml Knowledge base … W2K3 SQL.xml Exchange.xml sms.xml MyApp.xml KBReg.xml MyApp.xml
Estensioni incluse in SP1 SQL Server Exchange Server System Management Server (SMS) Microsoft Operations Manager (MOM) Small Business Server ISA Server 2004 Windows Sharepoint Services Sharepoint Portal Server Microsoft Identity Integration Server Biztalk Commerce Server Microsoft Audit Collection Server Host Integration Server (ancora in sviluppo)
Buone pratiche per SCW
Centralizzazione della KB \\KBServer\KB Responsabile Sicurezza R/W
Centralizzazione della KB \\KBServer\KB Responsabile Sicurezza Amministratore locale R
Centralizzazione della KB \\KBServer\KB Responsabile Sicurezza Amministratore locale esegue Scw.exe /kb \\KBServer\KB \\ServerBersaglio R
Il rilascio di SCW SCW è parte di Windows Server 2003 SP1 Sicurezza, Test approfonditi e grande usabilità sono i motivi che hanno indotto ad introdurre questo prodotto in un SP È un componente aggiuntivo e deve essere installato da Control Panel | Add\Remove program | Add\Remove Windows Components Non ci sono piani per portare questo strumento su versioni del sistema operativo precedenti a SP1
Maggiori informazioni
© Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.