Windows Server 2003 Service Pack 1 Anteprima Tecnica
Agenda Novità per la sicurezza dei sistemi Novità per la sicurezza della rete Opzioni di distribuzione di SP1
Sicurezza dei sistemi Post Setup Security Updates Protezione dei server tra la fase di installazione del sistema operativo e quella degli ultimi aggiornamenti Windows Firewall è abilitato se non espressamente configurato in fase di installazione
Sicurezza dei sistemi Post Setup Security Updates Invocato dopo: Migrazione da Windows NT4 a Windows Server 2003 SP1 Installazione combinata di Windows Server 2003 e SP1 NON invocata dopo: Aggiornamento da Windows 2000 a Windows Server 2003 SP1 Aggiornamento da Windows Server 2003 a SP1
Sicurezza dei sistemi Data Execution Prevention Hardware DEP Richiede il supporto del processore Processore marca come non eseguibili le aree di memoria a meno che contengano esplicitamente codice eseguibile Software DEP Funziona su ogni processore che supporta Windows Server 2003 Protegge i binari di sistema da exploits relativi a exception handling Problemi di compatibilità? Assenti o limitati
Sicurezza dei sistemi Data Execution Prevention In Boot.ini /noexecute=PolicyLevel OptIn Software DEP è abilitata Hardware DEP abilitata solo per applicazioni specificamente configurate OptOut Software DEP e Hardware DEP abilitate. Disabilitate solo per le applicazioni nella lista delle eccezioni AlwaysOn Software DEP e Hardware DEP sempre abilitate. Le eccezioni sono ignorate AlwaysOff Software DEP e Hardware DEP sempre disabilitate
Sicurezza dei sistemi Data Execution Prevention Interfaccia Grafica Tab Data Execution Prevention in Pannello di Controllo | System | Advanced | Performance | Configurare la lista delle eccezioni per le applicazioni Disabilitare Hardware DEP
Sicurezza dei sistemi Security Configuration Wizard Pannello di controllo Add\Remove Programs Windows Components
Sicurezza dei sistemi Security Configuration Wizard Identifica le porte aperte Eseguire con i servizi e le applicazioni, necessari in produzione, attivi Selezionare il ruolo del server dal DB delle configurazioni Configura i servizi richiesti Configura le porte per Windows Firewall Configura la sicurezza per LDAP e SMB Configura le politiche di Audit Configura le impostazioni specifiche per il ruolo scelto
Sicurezza dei sistemi Security Configuration Wizard Configurazione salvata in file XML Applicata dal wizard Applica una politica di sicurezza esistente Applicata da command line scwcmd.exe configure /p:webserverpolicy.xml Usabile negli script Setup eseguibile in modo non presidiato con script
Sicurezza dei sistemi Windows Firewall Miglioramento di Internet Connection Firewall (ICF) Non abilitato per default Eccetto durante lesecuzione del Post Setup Security Update Puo essere configurato in fase di installazione
Sicurezza dei sistemi Windows Firewall Miglioramento di Internet Connection Firewall (ICF) Non abilitato per default Eccetto durante lesecuzione del Post Setup Security Update Puo essere configurato in fase di installazione Sicurezza in fase di boot Configurazione unica per tutte le NIC o specifica per NIC Puo essere configurato per impedire le eccezioni Profili di configurazione multipli con GPO
Sicurezza dei sistemi Windows Firewall
Agenda Novità per la sicurezza dei sistemi Novità per la sicurezza della rete Opzioni di distribuzione di SP1
Novità per la sicurezza della rete Novità nello stack TCP/IP Restrizione del traffico su Raw Socket Metodo per creare pacchetti con un numero inferiore di controlli di sicurezza Usato soprattutto dai network analyzer TCP non puo usare raw socket UDP non è consentito luso di raw socket con IP sorgenti diversi da quelli presenti sulle interfacce di rete delle macchina Si riduce la possibilità di spoofing e DDOS
Novità per la sicurezza della rete Novità nello stack TCP/IP Limitazione del numero di connessioni TCP incomplete in uscita Al raggiungimento del limite le successive richieste vengono accodate e smaltite ad un rate costante Limita la velocità di diffusione di virus e worm
Novità per la sicurezza della rete Novità nello stack TCP/IP Winsock self-healing Winsock fornisce il supporto alle applicazioni per la gestione dei socket Estensibile attraverso Layered Service Provider Quando qualche LSP ha problemi la sua rimozione puo portare alla corruzione del catalogo Winsock in registry e alla perdita di connessione di rete SP1 risolve il problema risistemando il registry dopo la disinstallazione di un LSP netsh winsock reset catalog (riporta al default) netsh winsock show catalog (elenco dei LSP)
Network Security Enhancements WebDAV redirector WebDAV Redirector consente luso di WebDAV server come normali file server Disabilitazione per default della Basic Authentication su canali in chiaro Riabilitabile modificando la voce di registry: HKLM\system\CurrentControlSet\Services\WebClient\Pa rameters\UseBasicAuth
Novità per la sicurezza della rete Wireless Provisioning Services (WPS) Fornisce a WISP, HSP e alle aziende un metodo per inviare informazioni di provisioning e configurazione ai client mobile È unestensione dei servizi wireless già presenti in (Wireless AutoConfig, WAP, PEAP) Modifica IAS per consentire la Guest AuthN in fase di Provisioning È possibile fornire servizi di accesso Wireless in località diverse anche con nome di rete diverso agli utenti Dopo il loggato o il Provisioning in una località lutente potrà usare le stesse informazioni in altre località Wireless AutoConfig sceglierà la rete corretta in base alle informazioni contenute nel file di provisioning Dati di provisioning mantenuti aggiornati automaticamente
Novità per la sicurezza della rete Wireless Provisioning Services (WPS) La prima connessione prevede le seguenti fasi: Il computer determina la presenza di una rete wireless e mostra le relative informazioni allutente Lutente esegue il logon con un account guest e il computer è connesso alla rete wireless Il computer scarica una serie di file XML che servono per gestire la fase di provisioning e viene avviato un Wizard che guida lutente nella creazione (acquisto?) di un account Quando laccount è creato viene inviato al client un file XML con le nuove credenziali e le informazioni di configurazioni di WAC e x. Viene effettuata una riconnessione con le nuove credenziali (PEAP-MSCHAPv2) e laccesso alla rete è completato
Novità per la sicurezza della rete Wireless Network Setup Wizard Consente la creazione semplificata di configurazioni per HW wireless La configurazione effettuata può essere salvata in un file XML e questo può essere usato per configurare altri computer In futuro lo stesso meccanismo sarà usato per la configurazione di reti WAN e LAN
Agenda Novità per la sicurezza dei sistemi Novità per la sicurezza della rete Opzioni di distribuzione di SP1
Opzioni di distribuzione di SP1 Distribuzione di SP1 Installazione manuale Slipstreaming Immagine software Installazione con scripted
© Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.