Blog: Profilo: https://mvp.support.microsoft.com/profile/raffaele.

Slides:



Advertisements
Presentazioni simili
Windows Per questa parte: Elementi dell'interfaccia grafica.
Advertisements

© 2010 Colt Telecom Group Limited. All rights reserved. Cloud Computing Lapproccio Colt Dionigi Faccedna.
Recovery e Troubleshooting di Active Directory Renato Francesco Giorgini
Consumare Web Service Andrea Saltarello
Marco Russo DevLeap 27/03/2017 2:27 AM Il processo di Logon e la sicurezza per l’utente interattivo e per.
Sviluppare workflow per il nuovo 2007 Microsoft Office system e Windows SharePoint Services 3.0 Paolo Pialorsi
La sicurezza di ASP.NET e IIS
Midrange Modernization Conference 1 Scenari evolutivi per le soluzioni basate su AS/400 Walter Poloni Direttore Developer & Platform Evangelism Microsoft.
Luca Bianchi Windows Development Day Bologna 28 gennaio 2005 SQL Server Desktop Engine (MSDE) & SQL Server 2005 Express.
TechNet Security Workshop IV Milano, 8 Giugno. Internet Information Server 6.0.
ASP.NET – Web Forms Davide Vernole.NET MVP. Di cosa parleremo Introduzione ad ASP.NET ASP.NET, dietro le quinte Componenti principali di una applicazione.
Il Consolidamento di Servizi Virtual Server 2005 PierGiorgio Malusardi Evangelist - IT Professional Microsoft.
Accesso centralizzato alle applicazioni con Terminal Services in Windows Server 2008 Renato Francesco Giorgini Evangelist IT Pro
Vincenzo Campanale PM Security & Management System Center, DSI e la Roadmap.
1 Processi e Thread Processi Thread Meccanismi di comunicazione fra processi (IPC) Problemi classici di IPC Scheduling Processi e thread in Unix Processi.
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
5-1 Point to Point Data Link Control Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (©
E Windows SharePoint Services 2.0 Ivan Renesto Overview how to use Windows SharePoint Services.
Microsoft Robotics Studio Marco Petrucco Microsoft Student Partner - Udine.
EJB Enterprise Java Beans B. Pernici. Approccio Java.
Pierluigi Plebani - Politecnico di Milano MAIS Registry URBE (Uddi Registry By Example) WP2 Roma - 25 Novembre 2005.
EJB Getting started Database: MySql Application Server: Pramati Server Ambiente di sviluppo: Pramati Studio 3 Applicazione esempio: Logon Trento, 30/10/2002.
Citrix Metaframe. Metaframe è la soluzione client-server prodotta dalla Citrix in grado di rendere disponibili applicazioni e desktop a qualsiasi dispositivo.
Programming with JXTA Hello World Peer discovery Peer Group discovery Creating Peer group Joining a Peer Group.
2000 Prentice Hall, Inc. All rights reserved. 1 Capitolo 6: Classi e astrazione dati 1.Introduzione 2.Definizione delle strutture 3.Accedere ai membri.
Esercizio · Analizza criticamente le linee guida del modulo. Ritieni ci siano sovrapposizioni o ridondanze? Quali? Ne proporresti una semplificazione?
FONDAMENTI DI INFORMATICA III WfMC-1. FONDAMENTI DI INFORMATICA III WfMC-2 WFMC Cose WfMC Workflow Management Coalition (WfMC), Brussels, è unorganizzazione.
Linux firewalls Massimo Ianigro - CNR Area di Ricerca - Bari
Gestione File System e I/O in Windows 2000 Implementazione del File System FAT-12, FAT-16, FAT-32 NTFS API relative al File System Gestione dei dispositivi.
New Features + Improvements Miglioramenti alle Situazioni contabili Distribuzione costi Intragruppo in registrazione fatture di acqusti Varie.
Sequence. CREARE UNA SEQUENCE CREATE SEQUENCE nome [INCREMENT BY n] [START WITH n] [MAXVALUE n | NOMAXVALUE] [MINVALUE n | NOMINVALUE] [CYCLE | NOCYCLE]
Componenti dell’architettura Oracle
SQL Server 2012 LocalDB.
Blog: Profilo:
Supporto nativo e avvio da dischi VHD
Un esempio: Registrazione e lettura di dati in un file
By Inter-Ware Soft. Tech. Introduzione all'uso del PC Massimo Sgambato.
Il sistema operativo Sistema operativo (in breve) –È costituito dai programmi di gestione delle operazioni più elementari del computer –… gestione di vari.
Procedure ITR02 web da effettuarsi come administrator del PC
7 cose da sapere su Volume Activation con Windows 7 © 2009 Microsoft Corporation. Tutti i diritti riservati. Come professionista IT, devi sapere che l'attivazione.
Lambiente operativo. 2 Per avviare e poter utilizzare il computer è necessario un particolare programma che si chiama sistema operativo. Windows è un.
Filtered Index and Statistics Filtered Indexes Sergio Govoni
Sito IntergruppoParma.it Nuovo Intergruppo Parma.
SQL Server 2008 R2: Licensing
INTERNET Internet è una rete a livello mondiale che permette alle persone di comunicare ed ad accedere a banca dati da qualunque parte del mondo e su qualunque.
Gruppo 4: Gelmi Martina, Morelato Francesca, Parisi Elisa La mia scuola ha un sito Web: modelli per la qualità dei siti (Ingegneria del Web)
Internet Explorer 8.0: Gestione centralizzata tramite Group Policy
KNOwledge Store. INSTALLAZIONE KNOS 1.Architettura dellapplicazione 2.Prerequisiti hardware 3.Prerequisiti software 4.Installazione ruoli e funzionalità
INTERNET Antonio Papa Classe 2^ beat I.S.I.S. G. Meroni a.s. 2007/2008.
Fabio Cozzolino Vito Arconzo
Attribution-NonCommercial-ShareAlike Le novità
Renato Francesco Giorgini Evangelist IT Pro
Scoprirete che su Office non si può solo contare ma anche sviluppare.
/ Elementi di C++ Introduzione a ROOT , Laboratorio Informatico ROOT warm up… Introduzione a RooFit Primo esercizio con RooFit Analisi.
Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro
IIS7 Media Services Piergiorgio Malusardi IT Pro Evangelist
VB.NET Sviluppo Applicazioni Desktop
Visual Studio Tools for Office: Developer Solutions Platform Fulvio Giaccari MCSD.NET / MCT Responsabile Usergroup ShareOffice Blog:
SQL Server 2005 Sicurezza Davide Mauri Factory Software
Project Review Novembrer 17th, Project Review Agenda: Project goals User stories – use cases – scenarios Project plan summary Status as of November.
Giovedì 17 Aprile 2008 Heroes {Community} Launch Giovedì 17 Aprile 2008.
Corso di Web Services A A Domenico Rosaci Patterns di E-Business D. RosaciPatterns per l'e-Business.
Clarius Suite per lanalisi dei dati storici e la generazione dei documenti cruscotti Guy Rochat
Display list e scene graph Daniele Marini Dipartimento di Informatica e Comunicazione.
Negli ultimi anni, la richiesta di poter controllare in remoto la strumentazione e cresciuta rapidamente I miglioramenti nell’hardware e nel software insieme.
© 2013 KNC All right reserved Kangaroo Net Company Group 1.
CREAZIONE UTENTE SU DATATOP. CREAZIONE UTENTE Andate su //datatop.di.unipi.it/webdb Login come utente: webdb password: ****** Administer -> User Manager.
SQL Developer Lanciare sqldeveloper (alias sul desktop) / c:\Oracle\sqldeveloper Associare tutti i tipi di file, se volete Tasto destro sulla spina “connection”
Azure: Mobile Services e Notification Hub ANDREA GIUNTA.
JDBC Java DataBase Connectivity SISTEMI ITIS B. CASTELLI Anno Scolastico
Transcript della presentazione:

Blog: Profilo:

Blog La versione di Windows è dwMajorVersion.dwMinorVersion OSVERSIONINFOEX (GetVersionEx) contiene queste informazioni Major = 5 Windows 2000, XP, 2003 Minor = 0 Windows 2000 Minor = 1 Windows XP Minor = 2 Windows XP 64 bit, 2003, 2003 R2 Major = 6 Windows Vista, 2008, Windows 7, 2008 R2 Minor = 0 Windows Vista, Windows 2008 wProductType = VER_NT_WORKSTATION Vista Minor = 1 Windows 7, Windows 2008 R2 wProductType = VER_NT_WORKSTATION Windows 7 Windows 7 R2 (Server) solo per hardware a 64 bit

Blog

È una struttura dati che ogni processo ottiene dal sistema operativo in cambio delle credenziali (user/pwd) In pratica è la carta di identità di un utente che contiene: L'identità dell'utente sotto forma di "SID" I gruppi a cui appartiene l'utente I privilegi assegnati all'utente Alla logon la shell (explorer.exe) avrà il nostro token Ogni volta che facciamo "doppio click" su un'applicazione questa eredita il token dal processo che l'ha lanciato (explorer.exe) Se facciamo doppio click su un virus e siamo amministratori del PC, il virus avrà un token da amministratore

Blog LSA (LSALogonUser) 1. Logon 2. Creazione token Administrator 3. Rimozione privilegi Primary Token (restricted) Linked Token (full) Explorer.exe (token restricted) 4. Token

Blog Esplicite deny sui gruppi administrators e domain admin Mandatory label (Integrity Level) medium (invece di high) Virtualization allowed Default Dacl non contiene administrators Eliminazione di quasi tutti i privilegi SeIncreaseQuotaPrivilege SeMachineAccountPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeSystemProfilePrivilege SeSystemtimePrivilege SeProfileSingleProcessPrivilege SeIncreaseBasePriorityPrivilege SeCreatePagefilePrivilege SeBackupPrivilege SeRestorePrivilege SeIncreaseQuotaPrivilege SeMachineAccountPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeSystemProfilePrivilege SeSystemtimePrivilege SeProfileSingleProcessPrivilege SeIncreaseBasePriorityPrivilege SeCreatePagefilePrivilege SeBackupPrivilege SeRestorePrivilege SeShutdownPrivilege SeChangeNotifyPrivilege SeUndockPrivilege SeIncreaseWorkingSetPrivilege SeTimeZonePrivilege SeShutdownPrivilege SeChangeNotifyPrivilege SeUndockPrivilege SeIncreaseWorkingSetPrivilege SeTimeZonePrivilege Token full Token restricted SeShutdownPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeChangeNotifyPrivilege SeRemoteShutdownPrivilege SeUndockPrivilege SeManageVolumePrivilege SeImpersonatePrivilege SeCreateGlobalPrivilege SeIncreaseWorkingSetPrivilege SeTimeZonePrivilege SeCreateSymbolicLinkPrivilege SeShutdownPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeChangeNotifyPrivilege SeRemoteShutdownPrivilege SeUndockPrivilege SeManageVolumePrivilege SeImpersonatePrivilege SeCreateGlobalPrivilege SeIncreaseWorkingSetPrivilege SeTimeZonePrivilege SeCreateSymbolicLinkPrivilege

Blog LUA Buglight (A. Margosis) buglight-2-0-preview.aspx Standard User Analyzer Parte dell'Application Compatibility Toolkit - ACT E9-B581-47B0-B45E-492DD6DA2971&displaylang=en Process Monitor (FileMon + RegMon) Sul sito di SysInternals (ora diventato Technet) Application Verifier (codice nativo C++)

Blog Il token di un processo non può essere cambiato Si può elevare il processo (che farà apparire UAC) grazie alla API ShellExecute (C++) o alla classe Process (.NET) Le API CreateProcess NON elevano il processo ma tornano ERROR_ELEVATION_REQUIRED se è necessario elevare il processo L'informazione di elevazione viene ricavata: 1. Dal manifest embedded o esterno 2. Nel database 'application compatibility' (registry) 3. Ricerca euristica di un installer wchar_t wszDir[MAX_PATH]; GetSystemDirectory(wszDir,_countof(wszDir)); wcscat_s(wszDir,_countof(wszDir),L"\\cmd.exe"); HINSTANCE h = ShellExecute(0, L"runas", wszDir, 0, 0, SW_SHOWNORMAL); wchar_t wszDir[MAX_PATH]; GetSystemDirectory(wszDir,_countof(wszDir)); wcscat_s(wszDir,_countof(wszDir),L"\\cmd.exe"); HINSTANCE h = ShellExecute(0, L"runas", wszDir, 0, 0, SW_SHOWNORMAL); C++ Process p = new Process(); ProcessStartInfo psi = new "cmd.exe"); psi.UseShellExecute = true; psi.Verb = "runas"; p.StartInfo = psi; p.Start(); Process p = new Process(); ProcessStartInfo psi = new "cmd.exe"); psi.UseShellExecute = true; psi.Verb = "runas"; p.StartInfo = psi; p.Start(); C#

Blog COM Elevation Moniker può elevare un COM object L'applet del control panel per il cambio dell'ora usa questo sistema Per essere "elevabili" gli oggetti COM devono: Essere marcati nel registry HKLM\Software\Classes\CLSID\{CLSID}\Elevation\Enabled = 1 Avere un nome che verrà mostrato da UAC HKLM\Software\Classes\CLSID\{CLSID}\LocalizedString = Se possiedono un'icona (...\Elevation\IconReference=...) verrà mostrata nella dialog di UAC Per elevare l'oggetto si usa CoGetObject con questa sintassi: Elevation:Administrator!new{GUID} Elevation:Highest!new{GUID} Elevation:Highest!clsid{GUID} Listato di CoCreateInstanceAsAdmin:

Blog archive/2009/01/27/windows-vista-integrity-levels-parte-1.aspx

Blog Sono un meccanismo per diminuire l'accesso agli oggetti rispetto alle tradizionali Access Control List I fattori sono due: Integrity Level (Low, Medium, High, System) Integrity Policy (no-read-up, no-write-up, no-execute-up) Questi fattori sono presenti: Nel token di ogni processo Nel security descriptor degli oggetti kernel (file, registry, etc.) Windows confronta questi fattori ad ogni accesso Esempio: il "protected mode" di Internet Explorer

Blog Low Medium High Low Medium High Processo Medium Read + Write Read Processi Oggetti

Blog LocalSystemSystem LocalServiceSystem NetworkServiceSystem AdministratorsHigh Backup OperatorsHigh Network Configuration Operators High Cryptographic OperatorsHigh Authenticated UsersMedium Everyone (World)Low AnonymousUntrusted

Blog User Interface Privilege Isolation Permette di impedire ad un processo con un integrity level più basso di... eseguire SendMessage o PostMessage di certi messaggi Internamente Windows ha una "blacklist" dei messaggi vietati tra cui WM_USER + x realizzare thread hook monitorare con i journal hook iniettare dll... verso un processo di livello più alto

Blog

Impostazioni globali e read-only Creare la struttura di cartelle necessarie all'applicazione Salvare nella Program Files le impostazioni globali e read-only Installare i certificati digitali Applicare le ACL su cartelle e certificati Installare oggetti COM in HKLM Il setup.MSI viene eseguito con privilegi elevati Creare una "custom action" per eseguire operazioni non previste dalla configurazione del Setup MSI

Blog L'utente ha diritto di Read/Write su queste cartelle Le "Documents" sono quelle per i dati Le "Application" sono quelle per le configurazioni Il setup crea una sottocartella con il nome Azienda e/o Applicativo C:\users\raf\Documents\Visual Studio 2008\... Cartella XP C:\Documents and Settings\... Cartella Vista/Win7 User Con divi sa App C++ SHGetKnownFolder Path.NET Environment. GetFolderPath( Environment. SpecialFolder....) All Users\ Application Data C:\ProgramDataSi FOLDERID_ ProgramData Common ApplicationData raf\Application Data C:\Users\raf\ AppData\Roaming Si FOLDERID_ RoamingAppData ApplicationData raf\Local Settings\ Application Data C:\Users\raf\ AppData\Local Si FOLDERID_ LocalAppData LocalApplicationData raf\My Documents C:\Users\raf\ Documents Si FOLDERID_ Documents MyDocuments (non disponibile)C:\Users\PublicSi FOLDERID_ Public GetEnvironmentVariable ("public") - raccolta di cartelle Solo Win7 Si- FOLDERID_ DocumentsLibrary (usare PInvoke)

Blog Gli applicativi NON devono scrivere: nelle cartelle di sistema: Program Files, Windows, System32 nel registry sotto le key HKLM / HKCR A partire da Vista le operazioni di scrittura sono virtualizzate Solo se l'applicazione non ha un manifest Solo se il token contiene il flag "Virtualization Enabled" Solo su macchine a 32 bit User mode kernel mode Luafv.sys Ntfs.sys Applicazione Legacy Applicazione Legacy \Windows\App.ini \Users\ \AppData\Local\ VirtualStore\Windows\App.ini \Windows\App.ini Access Denied \Windows\App.ini Access Denied Applicazione Vista Applicazione Vista File System

Blog

È una struttura dati, tipicamente inserita nelle risorse dell'eseguibile che permette di informare il sistema operativo se è opzionale o necessario che il processo sia elevato Visual Studio gestisce i manifest sia in progetti VC++ che.NET A partire da Vista esiste la sezione requestedElevationLevel che può assumere tre valori: asInvoker: Assume i diritti dell'utente highestAvailable: richiede l'elevazione se l'utente è amministratore, non la richiede se l'utente è solo user requireAdministrator: richiede sempre l'elevazione

Blog A partire da Windows 7 esiste la sezione CompatibilityInfo Indica la versione di Windows per cui è stata studiata l'applicazione Windows 7 cambia il comportamento di servizi/api a seconda del manifest API: GetOverlappedResult API: ReadFileEx RPC: exception handling RPC: Thread pool management Desktop Windows Manager: Fail/Lock bit blitting Le applicazioni prive di CompatibilityInfo saranno considerate "legacy" dal sistema operativo Quelle funzionalità di API/RPC/DWM saranno come su Windows Vista

Blog Afferma la necessità che laccesso ad una risorsa deve essere fatto richiedendo privilegi minimi Aprire un file in lettura se non serve scrivere Accedere a processi, thread e semafori senza richiedere diritti più alti del necessario Se si scrive un servizio o un sito web, assegnare un utente con privilegi minimi per accedere alle risorse necessarie al programma Evitare LocalSystem come utente di default Un errore (o un attacco) può essere devastante

Blog Button SendMessage(GetDlgItem(hWnd, IDOK), BCM_SETSHIELD, 0, TRUE); Hyperlink Mettere un'icona IDI_SHIELD vicino Menu contestuali IContextMenu ha il supporto specifico per il Shield Menu di Popup Ricavare l'icona da SHSTOCKICONINFO e disegnarla

Blog L'architettura di Winlogon e sessioni è cambiata Nuovi credential provider nel processo di logon Isolamento della "Session 0" L'interattività con il desktop deve essere evitata Nuovo servizio di Interattività per facilitare la migrazione Nuove API COM per pilotare il Firewall Service Restart Policy limitata a 3 restart Protected Mode di Internet Explorer I plugin devono essere testati e tenere conto degli integrity levels MSMQ Client per Windows 2000 non più disponibile

Blog Informazioni su Windows 7 Provate Windows 7 beta 1 Windows Developer Center Windows 7 Developer Guide Download di Windows SDK 7.0 beta 1 A-FC B67E-46BAB7C5226C&displaylang=en Windows 7 Application Quality Cookbook Integrity Levels e UIPI windows-vista-integrity-levels-parte-1.aspx

©2009 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.