In aula Piergiorgio Malusardi IT Pro Evangelist
| | Agenda Introduzione User Account Control Parental Controls Windows Firewall Windows Meeting Space
| | Introduzione Strumenti semplici, leggeri che consentano collaborazione faccia-a-faccia e su intranet in ogni momento e in ogni luogo
USER ACCOUNT CONTROL
| | Obbiettivi di User Account Control Rendere il sistema più usabile per gli utenti standard Tutti gli utenti sono standard per default anche se fanno logon come amministratori Gli amministratori usano i pieni privilegi solo per operazioni/applicazioni amministrative Utenti devono fornire un consenso esplicito per lelevazione dei privilegi Alta compatibilità applicativa
| | Come funziona User Account Control Amministratore in Admin Aproval Mode Utente standard Token di Admin con accesso completo Token di utente con accesso limitato Explorer Token di utente con accesso limitato Explorer
| | Gli utenti standard possono fare più cose Modifica della time zone Configurazione di connessioni wireless (WEP/WPA) sicure Modifica delle impostazioni di power management Creazione e configurazione di VPN Aggiunta di device che hanno già driver installati o ammessi dalle policy Lo scudo indica in modo chiaro e consistente cosa non può fare un utente normale
| | Effetti scia Compatibilità Molte applicazioni erano disegnate per Win9x – Tutti gli utenti erano amministratori Molte applicazioni non sono mai state provate con utenti standard – Sia di Microsoft che di terze parti Molte applicazioni con errori hanno gli stessi tipi di problemi generali – Accesso ai file condivisi – Accesso a chiavi di registry condivise
| | Effetti scia Compatibilità La soluzione: virtualizzazione e redirezione – Scritture: gli accessi a file e chiavi di registry per-macchina sono rediretti verso analoghe locazioni per-utente – Letture: prima sono testate le locazioni per-utente e quindi quelle per-macchina – Il default è on per gli utenti standard e off per gli amministratori
| | Locazioni delle redirezioni dei dati Molte applicazioni legacy scrivono in: – HLKM\Software – %SystemDrive%\Program Files, ecc La redirezione rimuove la necessità di elevazione dei privilegi – Scritture su HKLM vanno in HKU HKU | _classes | VirtualStore – Scritture nelle directory di sistema redirette su locazioni per- utente %localappdata%\virtualstore
PARENTAL CONTROL (PC NON IN DOMINIO)
| | Parental Controls Possibilità di controllare: – Giochi usabili – Modalità di navigazione su Internet – Modalità duso dei programmi di istant messaging – Quando può essere usato il computer
| | Parental Controls
WINDOWS FIREWALL
| | Architettura di Windows Filtering Platform Firewall di Vista Firewall di 3 ze parti o altra applicazione di filtro API di Vista Base Filtering Engine User Kernel Generic Filter Engine API di callout Antivirus di 3 ze parti Parental Control di 3 ze parti IDS di 3 ze parti NAT di 3 ze parti Moduli di callout Livello di trasporto TDI e WinSock Livello di stream Livello di trasporto TCP/UDP Livello di rete Livello NDIS ALE Livello di forward Nuovo stack del protocollo TCP/IP Elaborazione dei pacchetti TCP/IP
| | Direzione di filtro IngressoUscita Default: Blocca molto Poche eccezioni Regole di allow: programmi, servizi utenti, computer protocolli, porte Default: Consente connessioni interattive Restringe i servizi Regole di blocco: programmi, servizi utenti, computer protocolli, porte
| | Confronto di funzioni Windows XP SP2Windows Vista DirezioneIngressoIngresso e uscita Azione di defaultBloccaConfigurabile per direzione Tipi di pacchettoTCP, UDP, alcuni ICMPTutti Tipi di regoleApplicazioni, porte globali, tipi ICMP Condizioni multiple (da quintuple a metadati Ipsec) Azione delle regole BloccaBlocca, consente, bypass Con logica di merge delle regole UI e toolPannello di controllo, netshPannello di controllo, netsh, MMC APICOM pubbliche, C privatePiù COM per esporre regole, più C per esporre funzionalità Gestione remotanessunaVia interfaccia RPC blindata Group policyFile ADMMMC, netsh TerminologiaEccezione, profiliRegole, categorie=profili
| | Configurazione Da Pannello di Controllo: simile a Windows XP – Poche modifiche di interfaccia Nuovo snap-in per MMC per tutte le funzioni extra – Snap-in Windows Firewall with Advanced Security – Console predefinita in Administrative Tools – Può assegnare impostazioni a computer remoti – Integra e semplifica le impostazioni di IPsec Nuovo insieme di comandi in: netsh advfirewall
| | Tipi di regole ProgrammaConsente/nega il traffico per uno specifico programma PortaConsente/nega il traffico per una specifica porta TCP o UDP o per una lista di porte PredefiniteInsieme di regole che consento a Windows di funzionare in rete (es. Condivisione di stampanti/file, assistenza remota, amministrazione remota di servizi,...) PersonalizzateTutte le condizioni possibili
| | Fusione e valutazione delle regole Maggiore Minore Restrizione dei servizi Restringono le connessioni che i servizi possono stabilire; I servizi di sistema sono sempre configurati in modo appropriato Regole di connessione Restringono le connessioni per un particolare computer; usano IPsec per richiedere autenticazione e autorizzazione Bypass autenticati Consentono a specifici computer autenticati di eludere altre regole Regole di blocco Blocco esplicito di traffico in ingresso/uscita Regole di consenso Consenso esplicito per traffico in ingresso/uscita Regole di default Comportamento di default per una connessione
| | Eccezioni più flessibili Account utente/computer e gruppi di Active Directory Indirizzi IP sorgenti e destinazione (individuale o range) Porte TCP/UDP sorgente e destinazione Lista di porte separate da virgole (non range) Numero di protocollo IP Tipo di interfacce (wired, wireless, VPN/RAS) Codici e tipi ICMP Servizi (usate dalla profilazione dei servizi per limitare gli accessi)
| | Categorie di reti Network Location Awareness (NLA) determina le modifiche alla rete – Identifica le caratteristiche, assegna un GUID Il servizio network profile (NPS) crea un profilo della connessione – Interfacce, DC, macchina autenticata, MAC del gateway, … NPS notifica al firewall quando NLA avverte delle modifiche – Il firewall cambia categoria in 200 ms Se non è riconosciuto un dominio, lutente deve specificare se il profilo è privato o pubblico – Si deve essere un amministratore locale per definire una rete come privata DominioQuando un computer è in dominio e connesso al dominio. Selezionata automaticamente PrivataQuando un computer è connesso ad una rete privata definita PubblicaTutte le altre reti
| | Cosa succede con più interfacce? Esamina tutte le reti connesse Interfaccia connessa a rete pubblica? Profilo è pubblico Interfaccia connessa a rete privata? Profilo è privato Interfacce autenticate da un DC? Profilo è dominio Si No Si No Si No
| | IPSec:iIntegrato con il firewall Elimina confusione e sovrapposizione di regole Tutte le regole di firewall sono IPsec aware Consenti allapplicazione foo di ricevere traffico sulla porta X solo se è autenticata (e opzionalmente criptata) da IPsec Consenti al servizio foo di ricevere traffico da un computer/utente remoto solo se identificati da IKE
| | Policy semplificate In chiaro Negozia IPsec In chiaro Solo in chiaro Policy IPsec semplificate In chiaro Negozia IPsec Policy IPsec Non IPsec Negozia IPsec Sicurezza con IPsec
| | Nuovi algoritmi di crittogrfici CrittografiaAES-128 AES-192 AES-256 Scambio di chiaviP-256 (DH group 19 elliptic curve) P-384 (DH group 20 elliptic curve)
WINDOWS MEETING SPACE
| | Windows Meeting Space Risolve alcuni problemi di collaborazione – Collaborare in modo sicuro con altre persone – Unirsi facilmente a sessioni vicine o invitare persone vicine – Progettare e collaborare insieme su ogni applicazione – Condividere e modificare insieme e velocemente un file – Lavorare insieme quando non è disponibile una rete Facile da distribuire in azienda – Sicurezza forte inserita nella soluzione – Poco o nulla richiesto per configurare la rete – Controllabile via Group Policy Piattaforma potente su cui è possibile sviluppare
| | Architettura Windows Meeting Space Stack di rete (Wireless, TCP/IP, etc.) Terminal Services File Replication Services (FRS) P2P Collaboration Services
| | Come funziona Canale metadatiCanale fileCanale streaming Sessione password Password Canale File Metadati per file Token dello streaming
| | Sicurezza della sessione Fornita usando protocolli standard La password è usata come radice della sicurezza I canali Metadata, File e Streaming sono criptati – Uso di protocolli di sicurezza standard Uso di WEP per connessioni basate su password alla rete wireless ad-hoc
| | Gestione via Group Policy Disponibilità della soluzione Disponibilità duso dellinfrastruttura Peer-to- Peer Auditing di eventi specifici Disponibilità di condivisione dei File sharing e reti wireless ad-hoc Possibilità di controllare la complessità delle password Rispettate le policy degli altri componenti del sistema
| | Richieste di rete La tecnologia si basa su IPv6 Sessioni su singola subnet – Funzionano su LAN IPv4 – Non sono richiesti apparati di rete IPv6 Sessioni su subnet multiple – È necessaria una rete con apparati IPv6 o un server ISATAP
| | Risorse utili Windows Vista P2P IPv6:
| | Per altre informazioni… Windows Vista
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.