Windows Server 2008 R2: novità nelle funzionalità per la sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com

Agenda Architettura di sicurezza Sistema operativo a 64 bit Piattaforma sicura ed affidabile Controllo e blocco applicazioni Sicurezza dei dati e delle informazioni Accesso sicuro alle reti

Architettura di sicurezza

La nuova architettura di sicurezza Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 http://technet.microsoft.com/en-us/magazine/2009.05.win7.aspx?pr=blog

Security Development Lifecycle Feature Lists Quality Guidelines Arch Docs Schedules Design Specifications Testing and Verification Development of New Code Bug Fixes Code Signing A Checkpoint Express Signoff RTM Product Support Service Packs/ QFEs Security Updates Functional Specifications Requirements Design Implementation Verification Release Support & Servicing Security Kickoff & Register with SWI Security Design Best Practices Security Arch & Attack Surface Review Use Security Development Tools & Security Best Dev & Test Practices Create Security Docs and Tools For Product Prepare Security Response Plan Security Push Pen Testing Final Security Review Security Servicing & Response Execution Threat Modeling Security Training

Riduzione della superficie di attacco Più account per i servizi, con permessi più specifici

Riduzione della superficie di attacco Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi

Riduzione della superficie di attacco Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema

Riduzione della superficie di attacco Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dell’esposizione sulla rete

Riduzione della superficie di attacco Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dell’esposizione sulla rete Isolamento tra servizi e applicazioni utente

Riduzione della superficie di attacco Più account per i servizi, con permessi più specifici Riduzione dei privilegi per gli account dei servizi Service SID: hardening di aree specifiche del sistema Windows Firewall: riduzione dell’esposizione sulla rete Isolamento tra servizi e applicazioni utente Livelli di sicurezza differenti per sistema e applicazioni

Sistema operativo a 64 bit

Kernel Patch Protection Garantisce la protezione del Kernel Integrità Affidabilità Sicurezza È possibile modificare il Kernel solo con binari/patch prodotte e autorizzate da Microsoft Non è possibile Modificare parte di routine/binari del kernel Usare stack in kernel mode non allocati dal Kernel stesso Modificare le tabelle di sistema dei servizi No hook via KeServiceDescriptorTable Modificare l’Interrupt Dispatch Table (IDT) Modificare la Global Descriptor Table (GDT)

Kernel-Mode Code Signing (KMCS) 3/29/2017 6:35 AM Kernel-Mode Code Signing (KMCS) Verifica della firma digitale di tutto il software in Kernel Mode Verifica firma digitale e hash dei driver eseguiti in Kernel Mode su sistemi a 64 bit (e con OS a 64 bit): Winload Verifica firma digitale e hash di driver di boot, HAL e NTOSKrnl NTOSKrnl Verifica firma digitale e hash dei device driver caricati in Kernel Mode Verifica firma digitale e hash dei binari in User Mode per: Implementazione funzioni crittografiche Binari caricati nei Protected Processes per l’esecuzione di contenuti multimediali ad alta definizione © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Piattaforma sicura e affidabile

Windows 7 – Windows Server 2008 R2 Security 3/29/2017 6:35 AM Windows 7 – Windows Server 2008 R2 Security Piattaforma sicura e affidabile Controllo e blocco applicazioni Sicurezza dei dati e delle informazioni Accesso sicuro alle reti Costruito sulle fondamenta di Windows Vista User Account Control personalizzabile Internet Explorer 8 Nuove funzionalità di Auditing AppLocker Software Restriction Policies Rights Management Services (RMS) Encrypting File System (EFS) BitLocker BitLocker To GoTM Network Access Protection DirectAccess Nuove funzionalità di network security © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Internet Explorer 8.0 - Security Architettura Internet Explorer Protected Mode Loosely-Coupled IE Data Execution Prevention Address Space Layout Randomization Gestione ActiveX Per-User ActiveX Per-Site ActiveX Funzionalità Anti-malware, anti-phishing SmartScreen Filter Cross Site Scripting (XSS) Filter Protezione privacy utente InPrivate Browsing InPrivate Filtering

Approfondimento su Internet Explorer 8.0 Architettura e funzionalità di sicurezza: www.microsoft.com/italy/beit/TechNet.aspx?video=376b8755-f6fd-4bbe-856a-609d0d2bbb37 Distribuzione centralizzata in ambito aziendale: www.microsoft.com/italy/beit/TechNet.aspx?video=471e410f-2627-4ec6-8f0f-f96e7f1257ce Gestione centralizzata tramite Group Policy: www.microsoft.com/italy/beit/TechNet.aspx?video=d839c304-1543-432f-afda-dd1720433561

Granular Audit Policy - Windows Vista Non facilmente integrabili con le Group Policy È necessiaro utilizzare degli script di logon: http://support.microsoft.com/kb/921469 L’Admin crea la policy auditpol /set /subcategory:"user account management" /success:enable /failure:enable ... auditpol /backup /file:auditpolicy.txt La Policy viene applicata al logon via script xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* auditpol /restore /file:auditpolicy.txt

Nuove Granular Audit Policy Sono integrate con le Group Policy GAP configurate nella Group Policy Management Console E’ possibile fare il Modeling delle GAP Sfruttano la struttura delle GPO Policy per Dominio, Sito, Organizational Unit Nuove funzionalità di reportistica e diagnostica Mi permettono di tracciare i motivi di accesso/non-accesso alle risorse http://technet.microsoft.com/en-us/library/dd408940.aspx http://technet.microsoft.com/en-us/magazine/2008.03.auditing.aspx

Controllo e blocco applicazioni

Controllo e blocco applicazioni Situazione attuale Windows Server 2008 R2 AppLockerTM Spesso gli utenti possono installare applicazioni sulle loro macchine Ci sono applicazioni eseguibili senza installazione o installabili senza privilegi amministrativi Policy per blocco/autorizzazione delle applicazioni Evoluzione delle Software Restriction Policies Client: Windows 7

Sicurezza dei dati e delle informazioni

Rights Management Services 3/29/2017 6:35 AM Protezione dei dati Rights Management Services Encrypting File System BitLockerTM Protezione dei documenti da accessi non autorizzati La protezione è “legata” al documento protetto (mail, USB, fileshare, HD) Client RMS integrato in Windows 7 e servizi RMS presenti in Windows Server Cifratura folder e files Necessita di NTFS Possibilità di condividere il file cifrato con altri utenti Possibilità di memorizzare le chiavi EFS su Smart Card Consente la cifratura di un intero disco/partizione Configurazione semplificata Supporto per dispositivi rimovibili Supporto per Group Policy

Windows Server 2008 R2 con RMS Funzionamento di RMS SQL Server Active Directory Windows Server 2008 R2 con RMS 3 5 1 4 2 3 Autore Destinatario

Protezione hard disk e drive rimovibili Situazione attuale Windows 7 BitLocker To GoTM + Partizione di Sistema Partizioni Locali Partizioni Locali, Dispositivi Rimovibili

Accesso sicuro alle reti

Network Access Protection (NAP) Tecnologia di policy enforcment e controllo degli accessi Verifica l'Health Status dei client Abilita l’accesso alla rete ai client con Health Status compliant alle policy Remediation Servers Example: Patch Restricted Network Not policy compliant Policy Servers such as: Patch, AV DHCP, VPN Switch/Router Client NPS Policy compliant Corporate Network

NAP: Integrazione migliorata 3/29/2017 6:35 AM NAP: Integrazione migliorata Remote Desktop Gateway - abilitata la “Remediation” IPSec - Gestione SA (security associations) DirectAccess - controllo status client remoti Forefront codename “Stirling” Action Center Windows 7: © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

DNSSec Permette di superare le carenze di sicurezza del servizio DNS Definito nelle RFC 4033, 4034 e 4035 Raccomandato NIST SP 800-53 DNS Server: 4 Nuovi Resource Records DNSKEY, RRSIG, NSEC, DS Supportato nei nuovi prodotti Microsoft DNS Server: Windows Server 2008 R2 DNS Client: Windows 7, Windows Server 2008 R2 Signing: Possibile solo con Static Zones Effettuato da riga di comando: DNSCmd.exe RSA/SHA-1, chiavi da 512-4096 bit Da integrare con IPSec e Group Policy

Accesso alla Rete aziendale da remoto Situazione attuale Windows Server 2008 R2 DirectAccess Office Home Office Home È difficile gestire e mantenere aggiornati i PC sconnessi dalla rete aziendale Per gli utenti è complesso accedere alle risorse aziendali (VPN) PC gestibili in modo sicuro anche da remoto Connessione alla rete aziendale sempre disponibile Client: Windows 7

DirectAccess Internet IPsec/IPv6 IPsec/IPv6 IPsec/IPv6 Compliant Client Compliant Client NAP / NPS Servers IPsec/IPv6 IPsec/IPv6 DirectAccess Server Windows Server 2008 R2 Intranet User Data Center and Business Critical Resources Intranet User Enterprise Network Compliant Network

Progetti RenatoFrancesco.Giorgini@microsoft.com Windows 7 Windows Server 2008 R2 Internet Information Services 7.5 Hyper-V 2.0 System Center Virtual Machine Manager Internet Explorer 8.0 Forefront “Stirling” …. RenatoFrancesco.Giorgini@microsoft.com http://blogs.technet.com/italy/pages/it-pro-momentum-il-programma-per-professionisti-it-consulenti-e-aziende-interessati-alle-nuove-tecnologie-microsoft.aspx

In conclusione Windows Server 2008 R2 è costruito sulla base di Windows Server 2008 e sulla sua nuova architettura di sicurezza; Sarà solo a 64 bit, non può eseguire codice a 16 bit e ha bisogno di driver certificati digitalmente; Introduce nuove funzionalità di sicurezza, che saranno sfruttate al meglio dai client Windows 7 AppLocker, Direct Access, Bitlocker to Go, DNSSec; Le Group Policy sono lo strumento principale per gestire in azienda l’enforcment delle regole di sicurezza.

RenatoFrancesco.Giorgini@microsoft.com http://blogs.technet.com/italy © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows 7, Windows Server 2008 R2 and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.