Windows XP SP2 maggiore sicurezza per i client Windows XP Nicola Pepe Senior Consultant Pulsar IT
Windows XP SP2 Perchè? Patch management troppo complesso Patch management troppo complesso I tempi per lexploit sono sempre più rapidi I tempi per lexploit sono sempre più rapidi Gli exploit sono sempre più sofisticati Gli exploit sono sempre più sofisticati Necessario modificare lapprocio Necessario modificare lapprocio Come? Uno scudo su ogni PC Uno scudo su ogni PC Tecnologie di protezione proattive anzichè reattive Tecnologie di protezione proattive anzichè reattive Un passo significativo verso piattaforme, applicazioni e dispositivi più sicuri Un passo significativo verso piattaforme, applicazioni e dispositivi più sicuri Obiettivo: con SP2, 7 vulnerabilità su 10 sarebbero state mitigate Obiettivo: con SP2, 7 vulnerabilità su 10 sarebbero state mitigate Giorni trascorsi tra il rilascio della patch e lexploit
Una sicurezza pi ù affidabile, gestibile, evidente Più affidabile e robusto Più affidabile e robusto Enhanced Network Protection – Windows Firewall Enhanced Network Protection – Windows Firewall Improved Memory Protection – Data Execution Prevention Improved Memory Protection – Data Execution Prevention Browsing più sicuro – Maggior controllo Browsing più sicuro – Maggior controllo & Instant Messaging più sicure – gestione allegati & Instant Messaging più sicure – gestione allegati Maggiore gestibilità Maggiore gestibilità Windows Firewall configurabile via AD Group Policy o cmd line scripting Windows Firewall configurabile via AD Group Policy o cmd line scripting Windows Security Center amministrabile centralmente da Active Directory e Group Policy Windows Security Center amministrabile centralmente da Active Directory e Group Policy Evidenza migliorata Evidenza migliorata Windows Firewall on by default Windows Firewall on by default Internet Explorer enhancements Internet Explorer enhancements Windows Security Center Windows Security Center Security features on by default Security features on by default
Windows XP SP2 Overview Memoria Protezione a livello di sistema operativo di base Rete Protezione del sistema da attacchi sulla rete Allegati e Instant Messaging più sicuri Web Accesso a Internet più sicuro per le attività più comuni
Windows Firewall: levoluzione dellInternet Connection Firewall Benefici Maggiore protezione per default dagli attacchi sulla rete Focus su utenti roaming, small business, utenti home Di cosa si tratta Windows Firewall attivo per default Maggiore configurabilità Group policy, linea di comando, setup unattended Migliore interfaccia utente Protezione anche in fase di avvio Supporto profili multipli PC nel Dominio (Domain) / PC stand-alone (Standard/Workgroup) Abilita file sharing su reti home con Windows Firewall attivo Impatto sulla compatibilità Alcune applicazioni potrebbero necessitare di essere configurate Porte chiuse by-default, aperte dinamicamente dal sistema Memoria Rete Allegati Web
Configuration Entry Points Network and Internet Connections Control Panel Security Center Windows Firewall
Configuration Entry Points continued… Network Connections folder Network connection property sheet Windows Firewall
Windows Firewall Control Panel Windows Firewall
Windows Firewall Control Panel Windows Firewall
Adding exceptions Windows Firewall
Compatibilità applicazioni Test eseguiti su centinaia di applicazioni Test eseguiti su centinaia di applicazioni Le applicazioni client funzionano per default Le applicazioni client funzionano per default Web browser Web browser Client Client Client IM (text messaging) Client IM (text messaging) Giochi multiplayer Client-Server Giochi multiplayer Client-Server Le applicazioni che trasformano un PC in un server non funzionano per default Le applicazioni che trasformano un PC in un server non funzionano per default Giochi multiplayer Peer-to-Peer Giochi multiplayer Peer-to-Peer Amministrazione remota Amministrazione remota Client IM (voce/video, trasferimento file) Client IM (voce/video, trasferimento file) Le applicazioni che necessitano di essere aggiunte manualmente alle eccezioni saranno elencate al sito Le applicazioni che necessitano di essere aggiunte manualmente alle eccezioni saranno elencate al sito Windows Firewall
Windows Firewall Notification Dialog Windows Firewall
Security Center (3 aree: firewall, patching, antivirus) Security Center (3 aree: firewall, patching, antivirus) Windows Firewall Windows Firewall
Allegati Benefici Meccanismo per determinare gli allegati non sicuri Interfaccia consistente per definire laffidabilità di un allegato Di cosa si tratta Una nuova API pubblica per gestire gli allegati in modo più sicuro (Attachment Execution Services) Per default gli allegati meno sicuri sono no trust Outlook Express, Windows Messenger, Internet Explorer modificati per usare le nuove API Anteprima del messaggio più sicura Impatto sulla compatibilità Utilizzare le nuove API nelle proprie applicazioni per una migliore user experience, e per una migliore determinazione delle implicazioni relative alla sicurezza del contenuto Memoria Rete Allegati Web
attach in Outlook Express attach in Outlook Express
Web Browsing Benefici Accesso al web più sicuro Di cosa si tratta Maggiore protezione dellarea locale e della intranet Notifiche migliorate per lesecuzione e installazione di applicazioni e controlli ActiveX – Limitazione dello spoofing I file HTML sulla macchina locale non sono in grado di eseguire script verso controlli ActiveX non sicuri, o accedere a dati attraverso il dominio Blocco di controlli ActiveX non firmati I file con errato o mancante header mime o estensione vengono bloccati Le finestre di pop-up vengono bloccate, possono essere attivate su richiesta dellutente Impatto sulla compatibilità Le applicazioni web dovrebbero rispecchiare i default relativi alla sicurezza Memoria Rete Allegati Web
Pop-up Manager Problema Problema Gli utenti non possono controllare i pop-up sul proprio pc Gli utenti non possono controllare i pop-up sul proprio pc Alcuni exploit confondono gli utenti con pop-up e finestre di download Alcuni exploit confondono gli utenti con pop-up e finestre di download Soluzione Soluzione Permette agli utenti di bloccare i pop-up Permette agli utenti di bloccare i pop-up Applicato solo a Internet Explorer – attivo per default Applicato solo a Internet Explorer – attivo per default Pop-up visualizzato su richiesta dellutente Pop-up visualizzato su richiesta dellutente Compatibilità Compatibilità Lutente puuò decidere di aprire un pop-up Lutente puuò decidere di aprire un pop-up Gestione di allow-list di siti Gestione di allow-list di siti Possibile disabilitare la funzionalità Possibile disabilitare la funzionalità Web
Blocco del download automatico Problema Problema Installazione accidentale di download indesiderati Installazione accidentale di download indesiderati Soluzione Soluzione Gli ActiveX ed exe non avviati dallutente sono bloccati – finchè lutente non fa clic sulla barra informazioni Gli ActiveX ed exe non avviati dallutente sono bloccati – finchè lutente non fa clic sulla barra informazioni Solo per la Zona Internet Solo per la Zona Internet Applicato solo a IE Applicato solo a IE Gli utenti possono bloccare publisher considerati non affidabili Gli utenti possono bloccare publisher considerati non affidabili Compatibilità applicazioni Compatibilità applicazioni Sollecitare lutente per fare clic sulla barra informazioni Sollecitare lutente per fare clic sulla barra informazioni Gestibile attraverso policy Gestibile attraverso policy Prompt ActiveX/Download aggiornato per una maggiore consistenza Prompt ActiveX/Download nascosto finchè lutente non fa clic sulla barra informazioni Users can block publishers for ActiveX Web
Gestione Add-on e rilevazione blocchi Problema Problema Lutente ha add-on indesiderati in esecuzione nel browser Lutente ha add-on indesiderati in esecuzione nel browser Soluzione Soluzione La funzionalità del pannello di controllo Gestione Add-on permette di disabilitare controlli indesiderati La funzionalità del pannello di controllo Gestione Add-on permette di disabilitare controlli indesiderati IE determina quali add-on hanno causato il crash e ne informa lutente IE determina quali add-on hanno causato il crash e ne informa lutente Web
Pop-up Manager Pop-up Manager
Hardware Execution Protection Benefici Riduce lesposizione ad alcuni buffer overrun Di cosa si tratta Sfrutta le caratteristiche dei processori a 64-bit e recenti 32-bit per permettere la sola esecuzione di codice residente in zone di memoria marcate come eseguibili Riduce la sfruttabilità dei buffer overrun Abilitato per default Impatto sulla compatibilità Assicurarsi che la propria applicazione non esegua codice in segmenti di dati Memoria Rete Allegati Web
End-user Experience Application termination (crash) experience Application termination (crash) experience Memory
Ulteriori miglioramenti in Windows XP SP2 Include Windows Media 9 Series Player Include Windows Media 9 Series Player Migliori prestazioni e maggiore sicurezza rispetto alle versioni precedenti Migliori prestazioni e maggiore sicurezza rispetto alle versioni precedenti DirectX 9.0b DirectX 9.0b Miglioramenti di carattere generale Miglioramenti di carattere generale Bluetooth Bluetooth Include il supporto per Bluetooth 2.0 Include il supporto per Bluetooth 2.0 Client unificato Windows Local Area Network (LAN) Client unificato Windows Local Area Network (LAN) Per laccesso wireless LAN funzionante con unampia gamma di hotspot wireless, senza la necessità di installare client di terze parti Per laccesso wireless LAN funzionante con unampia gamma di hotspot wireless, senza la necessità di installare client di terze parti Client SUS 2.0 (WUS) Client SUS 2.0 (WUS) Client aggiornato per Software Update Services 2.0, che utilizza un nuovo motore per il reporting dello stato delle fix di sicurezza sul pc Client aggiornato per Software Update Services 2.0, che utilizza un nuovo motore per il reporting dello stato delle fix di sicurezza sul pc Automatic update Automatic update SP2 rende più semplice lutilizzo degli aggiornamenti automatici per le fix critiche di sicurezza SP2 rende più semplice lutilizzo degli aggiornamenti automatici per le fix critiche di sicurezza
Wireless LAN Wireless LAN Bluetooth Bluetooth
Automatic Updates Mantiene i sistemi aggiornati automaticamente Mantiene i sistemi aggiornati automaticamente Secure by default design goal Secure by default design goal Linfrastruttura client è la stessa usata per il Windows Update Linfrastruttura client è la stessa usata per il Windows Update Controllabile via policy Controllabile via policy Supporta Microsoft Updates (Windows, Office, SQL, Exchange, etc.) Supporta Microsoft Updates (Windows, Office, SQL, Exchange, etc.) Download optimizations Download optimizations Aggiornamenti di grandi dimensioni (es: Service Pack, Windows patches,...) Aggiornamenti di grandi dimensioni (es: Service Pack, Windows patches,...) Ottimizzato per Windows Update Ottimizzato per Windows Update
Automatic Updates in Windows
Automatic Updates System Tray Icon:
Automatic Updates: Control Panel
Automatic Updates Schedulati Automaticamente installa gli aggiornamenti allora predefinita Automaticamente installa gli aggiornamenti allora predefinita Installazione immediata degli aggiornamenti che non impattano sulloperatività Installazione immediata degli aggiornamenti che non impattano sulloperatività Notifica agli utenti eventuali necessità di riavvio Notifica agli utenti eventuali necessità di riavvio Se il PC è spento allora predefinita, gli aggiornamenti vengono installati allavvio Se il PC è spento allora predefinita, gli aggiornamenti vengono installati allavvio
Automatic Updates: Scenario aziendale (AD) Registry-based Policy support Registry-based Policy support Configure AutoUpdate, Specify Intranet WU server, No auto restart, Reschedule wait time Configure AutoUpdate, Specify Intranet WU server, No auto restart, Reschedule wait time Require AutoUpdate Require AutoUpdate Detection Frequency Detection Frequency Reboot timeout and Reboot interval Reboot timeout and Reboot interval Support for non-administrators Support for non-administrators Intranet WU Service (SUS/WUS) compatible Intranet WU Service (SUS/WUS) compatible Client compatible with V1 and V2 servers Client compatible with V1 and V2 servers Deadline install, uninstall support, and Scan only Deadline install, uninstall support, and Scan only Update relationships: supersedence, prerequisite Update relationships: supersedence, prerequisite Client self-update Client self-update Client APIs Client APIs
Windows Update
Installazione allo spegnimento Sfrutta loperazione di spegnimento del PC per mantenerlo aggiornato Sfrutta loperazione di spegnimento del PC per mantenerlo aggiornato Obiettivo: Secure by default Obiettivo: Secure by default Controllabile da policy Controllabile da policy
Security Center & Automatic Updates Security Center & Automatic Updates Security Center (differenti modalità operative: dominio, peer, singoli desktop) Security Center (differenti modalità operative: dominio, peer, singoli desktop) Integrazione con SUS/WUS e Active Directory Integrazione con SUS/WUS e Active Directory
Considerazioni Applicative La fase di pre-deployment è critica per il supporto delle applicazioni (test before!) La fase di pre-deployment è critica per il supporto delle applicazioni (test before!) Windows Firewall blocca tutte le connessioni entranti (tipo server) Windows Firewall blocca tutte le connessioni entranti (tipo server) Peer-to-peer (MSN Messenger), some agents (e.g., backup) Peer-to-peer (MSN Messenger), some agents (e.g., backup) Solution: Group policy settings Solution: Group policy settings Internet Explorer decisamente più controllato Internet Explorer decisamente più controllato Local Machine Zone Lockdown Local Machine Zone Lockdown più attenzione agli eseguibili (restricted) più attenzione agli eseguibili (restricted) Resizing, repositioning windows forbidden Resizing, repositioning windows forbidden Solution Solution evidenza nellInformation bar quando IE blocca contenuti evidenza nellInformation bar quando IE blocca contenuti Registry keys Registry keys COM/RPC servers devono usare connessioni autenticate COM/RPC servers devono usare connessioni autenticate Solution: Registry keys oppure intervenire sullapplicazione Solution: Registry keys oppure intervenire sullapplicazione
Windows XP Service Pack 2 in sintesi StrongSecuritySettings Security Tools: Manageability & Control Improved & Safer User Experiences Improved Firewall Improved Firewall New Internet Explorer with Security Improvements New Internet Explorer with Security Improvements Safe Attachment execution Service Safe Attachment execution Service Windows Security Center Windows Security Center Pop-up Blocker for IE Pop-up Blocker for IE Firewall Centralized Management Firewall Centralized Management Smartkey Wireless Support Smartkey Wireless Support Improved Wireless LAN support Improved Wireless LAN support Bluetooth support built-in Bluetooth support built-in WM Player 9 Series and Movie Maker 2.1 WM Player 9 Series and Movie Maker 2.1
Come prepararsi Documentazione tecnica su XP sp2 disponibile in: Windows XP Service Pack 2 Resources for IT Professionals hnol/winxppro/maintain/winxpsp2.mspx Documentazione tecnica su XP sp2 disponibile in: Windows XP Service Pack 2 Resources for IT Professionals hnol/winxppro/maintain/winxpsp2.mspx hnol/winxppro/maintain/winxpsp2.mspx hnol/winxppro/maintain/winxpsp2.mspx Preview scaricabile gratuitamente dal sito Microsoft per installazioni e test pilota Preview scaricabile gratuitamente dal sito Microsoft per installazioni e test pilota
Windows XP SP2 In distribuzione a settembre In distribuzione a settembre Download gratuito Download gratuito Ordinabile su CD Ordinabile su CD Distribuita con diverse modalità (download, eventi, riviste) Distribuita con diverse modalità (download, eventi, riviste) Italiano e inglese Italiano e inglese
Questions?
© 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.