La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Difesa dei client. Un sistema più sicuro Obiettivo: ridurre le vulnerabilità di protezione del sistema operativo. Obiettivo: ridurre le vulnerabilità

Presentazioni simili


Presentazione sul tema: "Difesa dei client. Un sistema più sicuro Obiettivo: ridurre le vulnerabilità di protezione del sistema operativo. Obiettivo: ridurre le vulnerabilità"— Transcript della presentazione:

1 Difesa dei client

2 Un sistema più sicuro Obiettivo: ridurre le vulnerabilità di protezione del sistema operativo. Obiettivo: ridurre le vulnerabilità di protezione del sistema operativo. Contribuisce a ridurre l'esposizione ai più comuni rischi di attacco in base a quattro principi: Contribuisce a ridurre l'esposizione ai più comuni rischi di attacco in base a quattro principi: protezione della rete protezione della rete protezione della memoria protezione della memoria gestione più efficiente dei messaggi e-mail gestione più efficiente dei messaggi e-mail maggiore sicurezza durante la connessione a Internet. maggiore sicurezza durante la connessione a Internet.

3 Protezione della rete Windows Firewall (ICF) attivato per impostazione predefinita per tutte le interfacce di rete Windows Firewall (ICF) attivato per impostazione predefinita per tutte le interfacce di rete Attivato nelle prime fasi del Boot, prima che lo stack di rete sia completamente abilitato Attivato nelle prime fasi del Boot, prima che lo stack di rete sia completamente abilitato Disattivato nelle ultime fasi del ciclo di arresto, una volta disabilitato lo stack di rete. Disattivato nelle ultime fasi del ciclo di arresto, una volta disabilitato lo stack di rete. Gestibile via: Gestibile via: Group Policy Group Policy Netsh Netsh

4 Servizio RPC (Remote Procedure Call) Meno vulnerabile agli attacchi esterni Meno vulnerabile agli attacchi esterni Nuovi livelli di autorizzazioni per controllare i server RPC bloccati, esposti solo alla subnet locale, esposti all'intera rete. Nuovi livelli di autorizzazioni per controllare i server RPC bloccati, esposti solo alla subnet locale, esposti all'intera rete. Windows Firewall Windows Firewall Supporta queste autorizzazioni Supporta queste autorizzazioni Limitare l'apertura delle porte dai server RPC specificati, in base al contesto di protezione in cui vengono eseguiti. Limitare l'apertura delle porte dai server RPC specificati, in base al contesto di protezione in cui vengono eseguiti.

5 Protezione dall'esecuzione (NX) Sulle CPU che supportano la tecnologia di protezione dall'esecuzione (NX), Service Pack 2 contrassegna pagine di dati come non eseguibili: Sulle CPU che supportano la tecnologia di protezione dall'esecuzione (NX), Service Pack 2 contrassegna pagine di dati come non eseguibili: Funzionalità a livello di hardware Funzionalità a livello di hardware Impedisce l'esecuzione di codice da queste pagine. Impedisce l'esecuzione di codice da queste pagine. Impossibile sovraccaricare con del codice un buffer di dati contrassegnato Impossibile sovraccaricare con del codice un buffer di dati contrassegnato Avrebbe potuto bloccare Blaster Avrebbe potuto bloccare Blaster Tecnologia NX è supportata da Intel Itanium e AMD K8 a 64 bit Tecnologia NX è supportata da Intel Itanium e AMD K8 a 64 bit Microsoft prevede che i prossimi processori a 32 e 64 bit supporteranno NX. Microsoft prevede che i prossimi processori a 32 e 64 bit supporteranno NX.

6 Nuova versione di Outlook Express Può bloccare immagini e altri contenuti esterni nei messaggi HTML Può bloccare immagini e altri contenuti esterni nei messaggi HTML Può segnalare all'utente se altre applicazioni tentano di inviare messaggi Può segnalare all'utente se altre applicazioni tentano di inviare messaggi Può controllare il salvataggio e l'apertura di allegati che potrebbero contenere virus. Può controllare il salvataggio e l'apertura di allegati che potrebbero contenere virus. Outlook Express è coordinato con il nuovo servizio di esecuzione delle applicazioni: Outlook Express è coordinato con il nuovo servizio di esecuzione delle applicazioni: Gli utenti possono leggere o visualizzare in anteprima tutti i messaggi in modalità testo Gli utenti possono leggere o visualizzare in anteprima tutti i messaggi in modalità testo Evitati i contenuti HTML potenzialmente non sicuri. Evitati i contenuti HTML potenzialmente non sicuri. Vale anche per MSN e Windows Messenger Vale anche per MSN e Windows Messenger

7 Nuova versione di Internet Explorer 1/2 Gestisce i componenti aggiuntivi e rileva i relativi malfunzionamenti Gestisce i componenti aggiuntivi e rileva i relativi malfunzionamenti Controlla se è consentita o meno l'esecuzione a livello binario Controlla se è consentita o meno l'esecuzione a livello binario Applica agli oggetti URL le stesse restrizioni applicate ai controlli ActiveX. Applica agli oggetti URL le stesse restrizioni applicate ai controlli ActiveX. Internet Explorer controlla in modo più preciso l'esecuzione di tutti i contenuti Internet Explorer controlla in modo più preciso l'esecuzione di tutti i contenuti Limita le capacità dell'area Computer locale Limita le capacità dell'area Computer locale blocca gli attacchi che tentano di utilizzare contenuti locali per eseguire codice HTML dannoso. blocca gli attacchi che tentano di utilizzare contenuti locali per eseguire codice HTML dannoso. IE richiede che tutte le informazioni sul tipo di file fornite dai server Web siano coerenti, analizzando i file per verificare che non nascondano codice dannoso. IE richiede che tutte le informazioni sul tipo di file fornite dai server Web siano coerenti, analizzando i file per verificare che non nascondano codice dannoso.

8 Nuova versione di Internet Explorer 2/2 Impedisce l'accesso agli oggetti basati su script memorizzati nella cache: Impedisce l'accesso agli oggetti basati su script memorizzati nella cache: Alle pagine HTML è consentito solo di elaborare script per i propri oggetti. Alle pagine HTML è consentito solo di elaborare script per i propri oggetti. Disattiv gli script in ascolto di eventi o contenuti in altri frame. Disattiv gli script in ascolto di eventi o contenuti in altri frame. Dispone di una funzione incorporata per il blocco della visualizzazione delle finestre popup indesiderate e la gestione di quelle consentite. Dispone di una funzione incorporata per il blocco della visualizzazione delle finestre popup indesiderate e la gestione di quelle consentite. Può bloccare: Può bloccare: Tutto il contenuto firmato proveniente da un autore non attendibile Tutto il contenuto firmato proveniente da un autore non attendibile Tutto il codice con firme digitali non valide Tutto il codice con firme digitali non valide Impedisce agli script di spostare o ridimensionare le finestre, nascondere le barre di stato o coprire altre finestre. Impedisce agli script di spostare o ridimensionare le finestre, nascondere le barre di stato o coprire altre finestre.

9 Facilità di manutenzione Windows XP Service Pack 2 include Aggiornamenti automatici versione 5. Windows XP Service Pack 2 include Aggiornamenti automatici versione 5. Opzione di installazione rapida che consente di scaricare rapidamente solo gli aggiornamenti critici e di protezione necessari, Opzione di installazione rapida che consente di scaricare rapidamente solo gli aggiornamenti critici e di protezione necessari, Security Center: Security Center: Posizione centrale, interfaccia grafica di facile utilizzo. Posizione centrale, interfaccia grafica di facile utilizzo. Windows Installer 3.0 Windows Installer 3.0 "compressione delta". "compressione delta". consente di evitare di scaricare patch non necessarie, permette di rimuoverle in modo affidabile. consente di evitare di scaricare patch non necessarie, permette di rimuoverle in modo affidabile.

10 Security Center Segnala: Segnala: Se manca lantivirus Se manca lantivirus Se le definizioni dei virus non sono recenti Se le definizioni dei virus non sono recenti Se vengono ignorati aggiornamenti critici Se vengono ignorati aggiornamenti critici Se viene disattivato il firewall. Se viene disattivato il firewall. Gli avvisi sono disattivbili. Gli avvisi sono disattivbili.

11 Implicazioni dei miglioramenti 1/2 Quasi tutti i miglioramenti evitano qualsiasi impatto sull'esperienza utente. Quasi tutti i miglioramenti evitano qualsiasi impatto sull'esperienza utente. Vi sono aree in cui sarà necessario effettuare alcune modifiche per mantenere le funzionalità senza compromettere la protezione. Vi sono aree in cui sarà necessario effettuare alcune modifiche per mantenere le funzionalità senza compromettere la protezione. ICF: popup di avviso per applicazioni server verso Internet. ICF: popup di avviso per applicazioni server verso Internet. Si può concedere lautorizzazione e revocarla in seguito Si può concedere lautorizzazione e revocarla in seguito

12 Implicazioni dei miglioramenti 2/2 Rivedere le applicazioni distribuite che utilizzano RPC o DCOM. Rivedere le applicazioni distribuite che utilizzano RPC o DCOM. Potrebbe essere necessario applicare patch agli strumenti di sviluppo e concedere loro le autorizzazioni di Windows Firewall per assicurare il funzionamento del debug remoto. Potrebbe essere necessario applicare patch agli strumenti di sviluppo e concedere loro le autorizzazioni di Windows Firewall per assicurare il funzionamento del debug remoto. Modificare l'utilizzo dei controlli ActiveX Modificare l'utilizzo dei controlli ActiveX Pagine Web eseguite localmente che includono contenuto attivo potrebbe essere necessaria l'aggiunta di una riga supplementare con la "firma" o una modifica dell'estensione. Pagine Web eseguite localmente che includono contenuto attivo potrebbe essere necessaria l'aggiunta di una riga supplementare con la "firma" o una modifica dell'estensione.

13 Windows Firewall 1/2 Attivato di default Attivato di default Gestisce Stateful Inspection. Gestisce Stateful Inspection. Utilizza un criterio di protezione basato su tre regole principali: Utilizza un criterio di protezione basato su tre regole principali: I pacchetti (ricevuti) appartenti a un flusso di connessione stabilito vengono inoltrati. I pacchetti (ricevuti) appartenti a un flusso di connessione stabilito vengono inoltrati. I pacchetti (ricevuti) che non corrisponde a un flusso di connessione stabilito viene scartato. I pacchetti (ricevuti) che non corrisponde a un flusso di connessione stabilito viene scartato. I pacchetti (inviati) che non corrisponde a un flusso di connessione stabilito vengono inoltrati (inseriti nella tabella dei flussi di connessione). I pacchetti (inviati) che non corrisponde a un flusso di connessione stabilito vengono inoltrati (inseriti nella tabella dei flussi di connessione).

14 Windows Firewall 2/2 E possibile aggiungere eccezioni E possibile aggiungere eccezioni L eccezione può essere locale o globale. L eccezione può essere locale o globale. Globale: accetta connessioni da qualsiasi origine, anche da Internet. Globale: accetta connessioni da qualsiasi origine, anche da Internet. Locale: accetta connessioni solo dalla subnet locale Locale: accetta connessioni solo dalla subnet locale Il driver del firewall ha "criterio della fase di avvio Il driver del firewall ha "criterio della fase di avvio Consente al computer di eseguire attività di rete di base (DNS e DHCP) e di comunicare con un controller di dominio per ottenere i criteri. Consente al computer di eseguire attività di rete di base (DNS e DHCP) e di comunicare con un controller di dominio per ottenere i criteri. Quando viene eseguito, Windows Firewall carica e applica i criteri della fase di esecuzione e rimuove i filtri della fase di avvio. Quando viene eseguito, Windows Firewall carica e applica i criteri della fase di esecuzione e rimuove i filtri della fase di avvio. Il criterio della fase di avvio non può essere configurato. Il criterio della fase di avvio non può essere configurato.

15 RPC (Remote Procedure Call) 1/2 E una funzione per il passaggio di messaggi E una funzione per il passaggio di messaggi consente a un'applicazione in un computer di richiamare servizi disponibili su diversi computer in una rete. consente a un'applicazione in un computer di richiamare servizi disponibili su diversi computer in una rete. Utilizzate per l'amministrazione remota, per condivisione. Utilizzate per l'amministrazione remota, per condivisione. Sottosistema RPC (rpcss) si occupa del mapping degli endpoint dei servizi disponibili (endpoint dinamici). Sottosistema RPC (rpcss) si occupa del mapping degli endpoint dei servizi disponibili (endpoint dinamici). Il servizio rpclocator consente ai client di di individuare le applicazioni server compatibili disponibili. Il servizio rpclocator consente ai client di di individuare le applicazioni server compatibili disponibili. In Windows XP sono in esecuzione oltre 60 servizi basati su RPC In Windows XP sono in esecuzione oltre 60 servizi basati su RPC in ascolto delle richieste client in rete (Svchost.exe.) in ascolto delle richieste client in rete (Svchost.exe.) ICF bloccava tutte le comunicazioni RPC dall'esterno del computer (no condivisione e amministrazione remota) ICF bloccava tutte le comunicazioni RPC dall'esterno del computer (no condivisione e amministrazione remota) Windows Firewall: Windows Firewall: Processo tenta di aprire una porta, presentandosi come servizio RPC Processo tenta di aprire una porta, presentandosi come servizio RPC Windows Firewall accetta la richiesta solo se il chiamante è in esecuzione nel contesto di protezione del sistema locale, del servizio di rete o del servizio locale, in altre parole solo se il processo è effettivamente un servizio. Questa impostazione limita le possibilità che un programma Trojan horse senza privilegi riesca ad aprire una porta presentandosi come server RPC. Windows Firewall accetta la richiesta solo se il chiamante è in esecuzione nel contesto di protezione del sistema locale, del servizio di rete o del servizio locale, in altre parole solo se il processo è effettivamente un servizio. Questa impostazione limita le possibilità che un programma Trojan horse senza privilegi riesca ad aprire una porta presentandosi come server RPC.

16 RPC (Remote Procedure Call) 2/2 Aggiunto un nuovo criterio di sistema per i server RPC Aggiunto un nuovo criterio di sistema per i server RPC limita l'utilizzo ai client locali e/o autenticati. limita l'utilizzo ai client locali e/o autenticati. Per default, runtime di RPC rifiuta qualsiasi chiamata remota anonima. Per default, runtime di RPC rifiuta qualsiasi chiamata remota anonima. Se un servizio registra una richiamata di protezione in grado di autenticare chiamate remote anonime, per il servizio viene impostata un'eccezione. Se un servizio registra una richiamata di protezione in grado di autenticare chiamate remote anonime, per il servizio viene impostata un'eccezione. chiave di registro, Restrict­Remote­Clients, è possibile aumentare o ridurre le restrizioni. chiave di registro, Restrict­Remote­Clients, è possibile aumentare o ridurre le restrizioni.

17 Servizio di esecuzione allegati (AES) Controlla la visualizzazione e l'esecuzione dei file allegati ai messaggi. Controlla la visualizzazione e l'esecuzione dei file allegati ai messaggi. Interfaccia COM Interfaccia COM AES analizza un file e determina se può essere visualizzato o eseguito in modo sicuro in base a numerosi criteri. AES analizza un file e determina se può essere visualizzato o eseguito in modo sicuro in base a numerosi criteri. estensione del file (TXT, JPG, GIF sono sicuri). estensione del file (TXT, JPG, GIF sono sicuri). Verifica coerenza tipo MIME - estensione Verifica coerenza tipo MIME - estensione Cè un elenco per stabilire se una data associazione è sicura o pericolosa Cè un elenco per stabilire se una data associazione è sicura o pericolosa Antivirus attivo e aggiornato prima di consentire all'utente di visualizzare o eseguire file non sicuri. Antivirus attivo e aggiornato prima di consentire all'utente di visualizzare o eseguire file non sicuri.

18 AES in Outlook Express e Windows Messenger Outlook Express richiama AES per aprire un messaggio di posta elettronica con allegato Outlook Express richiama AES per aprire un messaggio di posta elettronica con allegato Allegato sicuro = è disponibile per l'utente Allegato sicuro = è disponibile per l'utente Allegato non sicuro = bloccato (messaggio relativo al blocco) Allegato non sicuro = bloccato (messaggio relativo al blocco) Allegato indefinito = messaggio di avviso quando l'utente tenta di trascinarlo, salvarlo, aprirlo o stamparlo. Se si esegue il file, questo verrà gestito in modo da garantire l'attivazione del programma antivirus. Allegato indefinito = messaggio di avviso quando l'utente tenta di trascinarlo, salvarlo, aprirlo o stamparlo. Se si esegue il file, questo verrà gestito in modo da garantire l'attivazione del programma antivirus. Windows Messenger ha la stessa gestione dei file allegati. Windows Messenger ha la stessa gestione dei file allegati. Differenza: per l'invio degli allegati solitamente è necessaria l'autorizzazione del destinatario. Differenza: per l'invio degli allegati solitamente è necessaria l'autorizzazione del destinatario.

19 Blocco del contenuto HTML in Outlook Express Spammer e virus per tracciare gli utenti di posta attivi includono nei messaggi HTML contenuti esterni (immagini). Quando il messaggio richiama il sito Web identifico il destinatario. Spammer e virus per tracciare gli utenti di posta attivi includono nei messaggi HTML contenuti esterni (immagini). Quando il messaggio richiama il sito Web identifico il destinatario. Per proteggere la privacy dell'utente e impedire futuri attacchi, Outlook Express blocca le immagini e altri contenuti esterni in modalità HTML (disattivabile) Per proteggere la privacy dell'utente e impedire futuri attacchi, Outlook Express blocca le immagini e altri contenuti esterni in modalità HTML (disattivabile) Per default, l'esecuzione della posta elettronica HTML in Outlook Express è soggetta alle regole dell'area Siti con restrizioni. Per default, l'esecuzione della posta elettronica HTML in Outlook Express è soggetta alle regole dell'area Siti con restrizioni. In Outlook Express dal SP2 le funzionalità binarie non sono più consentite. In Outlook Express dal SP2 le funzionalità binarie non sono più consentite. Quando Outlook Express è impostato per la lettura dei messaggi in formato testo, usa il controllo rich edit invece di quello HTML browser (mshtml) di Internet Explorer. Quando Outlook Express è impostato per la lettura dei messaggi in formato testo, usa il controllo rich edit invece di quello HTML browser (mshtml) di Internet Explorer. La protezione di Outlook Express è stata migliorata senza alcun impatto negativo per gli utenti. La protezione di Outlook Express è stata migliorata senza alcun impatto negativo per gli utenti.

20 Maggiore protezione durante l'esplorazione Alcuni componenti aggiuntivi per Internet Explorer (ActiveX) creano problemi: popup Alcuni componenti aggiuntivi per Internet Explorer (ActiveX) creano problemi: popup Nuovo Internet Explorer incluso in SP 2 comprende: Nuovo Internet Explorer incluso in SP 2 comprende: Gestione dei componenti aggiuntivi: permette di visualizzare e controllare l'elenco dei componenti aggiuntivi che possono essere caricati da IE. Gestione dei componenti aggiuntivi: permette di visualizzare e controllare l'elenco dei componenti aggiuntivi che possono essere caricati da IE. Rilevamento dei malfunzionamenti: consente invece di individuare i problemi di arresto anomalo di Internet Explorer legati a un componente aggiuntivo, consentendone la disattivazione da parte dell'utente. Rilevamento dei malfunzionamenti: consente invece di individuare i problemi di arresto anomalo di Internet Explorer legati a un componente aggiuntivo, consentendone la disattivazione da parte dell'utente. Gli amministratori possono inoltre applicare a livello di organizzazione criteri relativi ai componenti aggiuntivi consentiti. Gli amministratori possono inoltre applicare a livello di organizzazione criteri relativi ai componenti aggiuntivi consentiti.

21 Maggiore protezione durante l'esplorazione Internet Explorer utilizza le seguenti informazioni per decidere come gestire il file: Internet Explorer utilizza le seguenti informazioni per decidere come gestire il file: Estensione Estensione Tipo di contenuto specificato nell'intestazione HTTP (tipo MIME) Tipo di contenuto specificato nell'intestazione HTTP (tipo MIME) Disposizione del contenuto specificato nell'intestazione HTTP Disposizione del contenuto specificato nell'intestazione HTTP Risultati dell'analisi (sniffing) MIME Risultati dell'analisi (sniffing) MIME Tutte le informazioni fornite dai server Web a Internet Explorer devono essere coerenti. Tutte le informazioni fornite dai server Web a Internet Explorer devono essere coerenti. Tipo MIME è "text/plain, ma lanalisi MIME indica che il file è un eseguibile = Internet Explorer rinomina il file salvandolo nella propria cache e modificandone l'estensione. Tipo MIME è "text/plain, ma lanalisi MIME indica che il file è un eseguibile = Internet Explorer rinomina il file salvandolo nella propria cache e modificandone l'estensione.

22 Maggiore protezione durante l'esplorazione Internet Explorer utilizza AES per controllare che i file scaricati siano sicuri e per visualizzare finestre di dialogo quando è necessaria l'autorizzazione dell'utente. Internet Explorer utilizza AES per controllare che i file scaricati siano sicuri e per visualizzare finestre di dialogo quando è necessaria l'autorizzazione dell'utente. Le finestre di dialogo di AES danno ulteriori informazioni e mostrano l'origine, il tipo e la dimensione del file scaricato, Le finestre di dialogo di AES danno ulteriori informazioni e mostrano l'origine, il tipo e la dimensione del file scaricato, AES indica l'autore del software eseguibile in fase di installazione AES indica l'autore del software eseguibile in fase di installazione avviso particolarmente evidente nel caso di software proveniente da un'origine sconosciuta. avviso particolarmente evidente nel caso di software proveniente da un'origine sconosciuta. Il nuovo gestore delle finestre popup blocca la visualizzazione della maggior parte delle finestre popup indesiderate. Il nuovo gestore delle finestre popup blocca la visualizzazione della maggior parte delle finestre popup indesiderate. Le finestre popup aperte quando l'utente finale fa clic su un collegamento non vengono invece bloccate. Le finestre popup aperte quando l'utente finale fa clic su un collegamento non vengono invece bloccate. Miglioramento della protezione per i controlli ActiveX e altri oggetti basati su script, la riduzione dei possibili buffer overrun e una maggiore protezione dalle finestre visualizzate sopra altre finestre e collocate fuori dallo schermo. Miglioramento della protezione per i controlli ActiveX e altri oggetti basati su script, la riduzione dei possibili buffer overrun e una maggiore protezione dalle finestre visualizzate sopra altre finestre e collocate fuori dallo schermo.

23 Manutenzione ottimizzata dei computer: Windows Update 5 Windows XP Service Pack 2 usa una nuova versione del sito Web Windows Update Windows XP Service Pack 2 usa una nuova versione del sito Web Windows Update Opzioni semplificate per impostare l'aggiornamento automatico. Opzioni semplificate per impostare l'aggiornamento automatico. Installazione rapida verificare se sono disponibili, scaricare e installare solo gli aggiornamenti critici e della protezione effettivamente necessari per il computer. Installazione rapida verificare se sono disponibili, scaricare e installare solo gli aggiornamenti critici e della protezione effettivamente necessari per il computer. Aggiornamenti automatici del Pannello di controllo, posso scegliere di: Aggiornamenti automatici del Pannello di controllo, posso scegliere di: scaricare automaticamente gli aggiornamenti senza installarli scaricare automaticamente gli aggiornamenti senza installarli essere semplicemente informati della loro disponibilità essere semplicemente informati della loro disponibilità gestirli manualmente. gestirli manualmente.

24 Windows Installer 3 Nuova versione del servizio Windows Installer: Windows Installer 3.0 Nuova versione del servizio Windows Installer: Windows Installer 3.0 Funzioni avanzate di inventario che identificano quali componenti delle patch è necessario o meno scaricare, Funzioni avanzate di inventario che identificano quali componenti delle patch è necessario o meno scaricare, Supporta la compressione delta (riduce la dimensione delle patch) Supporta la compressione delta (riduce la dimensione delle patch) Offre un migliore supporto per la disinstallazione delle patch. Offre un migliore supporto per la disinstallazione delle patch.

25 Agenda Introduzione Introduzione Protezione di base dei client Protezione di base dei client Protezione dei client con Active Directory Protezione dei client con Active Directory Utilizzo di Criteri di gruppo per proteggere i client Utilizzo di Criteri di gruppo per proteggere i client Protezione delle applicazioni Protezione delle applicazioni Impostazioni di Criteri di gruppo locali per client autonomi Impostazioni di Criteri di gruppo locali per client autonomi Criteri di restrizione del software Criteri di restrizione del software Software antivirus Software antivirus Firewall client Firewall client

26 Utilizzo di modelli di sicurezza I modelli di sicurezza sono insiemi di impostazioni di sicurezza I modelli di sicurezza sono insiemi di impostazioni di sicurezza I modelli della guida Windows XP Security Guide includono: I modelli della guida Windows XP Security Guide includono: Due modelli di dominio che contengono impostazioni per tutti i computer del dominio Due modelli di dominio che contengono impostazioni per tutti i computer del dominio Due modelli che contengono impostazioni per i computer desktop Due modelli che contengono impostazioni per i computer desktop Due modelli che contengono impostazioni per i computer portatili Due modelli che contengono impostazioni per i computer portatili Ogni modello è disponibile in una versione aziendale e in una versione ad alta protezione Ogni modello è disponibile in una versione aziendale e in una versione ad alta protezione Le impostazioni del modello di sicurezza possono essere modificate, salvate e importate in un oggetto Criteri di gruppo Le impostazioni del modello di sicurezza possono essere modificate, salvate e importate in un oggetto Criteri di gruppo

27 Utilizzo di modelli amministrativi I modelli amministrativi contengono impostazioni del Registro di sistema che possono essere applicate a utenti e computer I modelli amministrativi contengono impostazioni del Registro di sistema che possono essere applicate a utenti e computer I modelli amministrativi Windows XP SP1 contengono oltre 850 impostazioni I modelli amministrativi Windows XP SP1 contengono oltre 850 impostazioni Nella guida Windows XP Security Guide sono presenti tre tipi di modelli aggiuntivi Nella guida Windows XP Security Guide sono presenti tre tipi di modelli aggiuntivi Altri produttori possono fornire modelli aggiuntivi Altri produttori possono fornire modelli aggiuntivi È possibile importare modelli aggiuntivi durante la modifica di un oggetto Criteri di gruppo È possibile importare modelli aggiuntivi durante la modifica di un oggetto Criteri di gruppo

28 Impostazioni di sicurezza Spiegazione Criteri per le password degli account Consente di impostare i criteri di password e di blocco account per il dominio Criterio di blocco accountImpedisce l'accesso dopo un determinato numero di tentativi di accesso non riusciti Criteri controlloConsentono di specificare gli eventi di protezione da registrare Registro eventiConsente di specificare le impostazioni per il mantenimento e le dimensioni massime del registro File SystemConsente di specificare le autorizzazioni e le impostazioni di controllo per gli oggetti del file system Criteri IPSecConsente di filtrare il traffico in ingresso e in uscita dal server per bloccare il traffico indesiderato Impostazioni del Registro di sistema Consente di specificare le autorizzazioni di accesso e le impostazioni di controllo per le chiavi del Registro di sistema Gruppi con restrizioniConsente di specificare quali account sono membri del gruppo e di quali gruppi il gruppo è membro Opzioni di sicurezzaConsente di specificare una vasta gamma di impostazioni di sicurezza per utenti e computer Criteri di restrizione del softwareConsente di impedire l'esecuzione di software dannoso sui computer client Servizi di sistemaConsente di specificare la modalità di avvio e le autorizzazioni per i servizi Assegnazione diritti utenteConsente di specificare quali utenti e quali gruppi possono eseguire azioni specifiche sui computer

29 Otto principali impostazioni di sicurezza dei client Le impostazioni di sicurezza dei computer client più comunemente modificate includono: Le impostazioni di sicurezza dei computer client più comunemente modificate includono: È consentita la formattazione e l'espulsione dei supporti rimovibili È consentita la formattazione e l'espulsione dei supporti rimovibili Non consentire l'enumerazione anonima degli account SAM Non consentire l'enumerazione anonima degli account SAM Attiva controllo Attiva controllo Consenti l'accesso libero agli utenti anonimi Consenti l'accesso libero agli utenti anonimi Livello di autenticazione di LAN Manager Livello di autenticazione di LAN Manager Criterio password Criterio password Non memorizzare il valore hash di LAN Manager al prossimo cambio di password Non memorizzare il valore hash di LAN Manager al prossimo cambio di password Firma SMB Firma SMB

30 Dimostrazione 2 Utilizzo di Criteri di gruppo Visualizzazione delle impostazioni di sicurezza di Windows XP Visualizzazione dei modelli amministrativi Visualizzazione dei modelli di protezione disponibili Applicazione dei modelli di protezione Implementazione dei modelli di protezione

31 Come applicare modelli di sicurezza e modelli amministrativi Dominio principale Unità organizzati va reparto Unità organizzativa controller di dominio Unità organizzativa utenti XP protetti Unità organizzativa Windows XP Unità organizzativa desktop Unità organizzativa portatili Client aziendale Domain.inf Criteri di dominio Criteri per utenti XP protetti Client aziendale Desktop.inf Client aziendale Laptop.inf Criteri per computer portatili Criteri per computer desktop

32 Procedure consigliate per l'utilizzo di Criteri di gruppo per la protezione dei client Utilizzare i modelli client aziendali come base e modificarli secondo le esigenze Implementare criteri di account e controllo rigidi Verificare a fondo i modelli prima di distribuirli Utilizzare modelli amministrativi aggiuntivi

33 Impostazioni di Criteri di gruppo locali Quando i client non sono membri di un dominio Active Directory, utilizzare i Criteri di gruppo locali per configurare i computer Quando i client non sono membri di un dominio Active Directory, utilizzare i Criteri di gruppo locali per configurare i computer I client Windows XP autonomi utilizzano una versione modificata dei modelli di sicurezza I client Windows XP autonomi utilizzano una versione modificata dei modelli di sicurezza Ogni client Windows XP Professional utilizza un oggetto Criteri di gruppo locale e l'Editor oggetti Criteri di gruppo o script per applicarne le impostazioni Ogni client Windows XP Professional utilizza un oggetto Criteri di gruppo locale e l'Editor oggetti Criteri di gruppo o script per applicarne le impostazioni

34 Modelli di sicurezza predefiniti Se i client si connettono a un dominio Windows NT 4.0, utilizzare: Se i client si connettono a un dominio Windows NT 4.0, utilizzare: Se i client non si connettono a un dominio Windows NT 4.0, utilizzare i modelli di sicurezza per client autonomi Se i client non si connettono a un dominio Windows NT 4.0, utilizzare i modelli di sicurezza per client autonomi Client aziendale precedente Client a protezione elevata precedente Protezione di base per computer desktop Legacy Enterprise Client - desktop.inf Legacy High Security - desktop.inf Protezione di base per computer portatili Legacy Enterprise Client - laptop.inf Legacy High Security - laptop.inf

35 Agenda Introduzione Introduzione Protezione di base dei client Protezione di base dei client Protezione dei client con Active Directory Protezione dei client con Active Directory Utilizzo di Criteri di gruppo per proteggere i client Utilizzo di Criteri di gruppo per proteggere i client Protezione delle applicazioni Protezione delle applicazioni Impostazioni di Criteri gruppo locale per client autonomi Impostazioni di Criteri gruppo locale per client autonomi Criteri di restrizione del software Criteri di restrizione del software Software antivirus Software antivirus Firewall client Firewall client

36 Definizione di criteri di restrizione del software Meccanismo basato su criteri che consente di identificare e controllare lesecuzione del software su un computer client Meccanismo basato su criteri che consente di identificare e controllare lesecuzione del software su un computer client Il livello di sicurezza predefinito presenta due opzioni: Il livello di sicurezza predefinito presenta due opzioni: Senza restrizioni: può essere eseguito tutto il software tranne quello specificamente negato Senza restrizioni: può essere eseguito tutto il software tranne quello specificamente negato Non consentito: può essere eseguito solo il software specificamente consentito Non consentito: può essere eseguito solo il software specificamente consentito

37 Funzionamento della restrizione del software Definire i criteri per il dominio mediante l'Editor Criteri di gruppo Scaricare i criteri sul computer mediante Criteri di gruppo Applicazione da parte del sistema operativo all'esecuzione del software 1 2 3

38 Quattro regole per l'identificazione di software Regola percorso Confronta il percorso del file da eseguire con un elenco dei percorsi consentiti Confronta il percorso del file da eseguire con un elenco dei percorsi consentiti Da utilizzare quando è presente una cartella con molti file per la stessa applicazione Da utilizzare quando è presente una cartella con molti file per la stessa applicazione Essenziale quando i criteri di restrizione del software sono rigidi Essenziale quando i criteri di restrizione del software sono rigidi Regola hash Confronta l'hash MD5 o SHA1 di un file con quello che si tenta di eseguire Confronta l'hash MD5 o SHA1 di un file con quello che si tenta di eseguire Da utilizzare quando si desidera consentire o impedire l'esecuzione di una determinata versione di un file Da utilizzare quando si desidera consentire o impedire l'esecuzione di una determinata versione di un file Regola certificato Verifica la firma digitale di un'applicazione (ad esempio Authenticode) Verifica la firma digitale di un'applicazione (ad esempio Authenticode) Da utilizzare quando si desidera limitare le applicazioni win32 e il contenuto ActiveX Da utilizzare quando si desidera limitare le applicazioni win32 e il contenuto ActiveX Regola area Internet Controlla le modalità con cui è possibile accedere alle aree Internet Controlla le modalità con cui è possibile accedere alle aree Internet Da utilizzare in ambienti ad elevata sicurezza per controllare l'accesso ad applicazioni Web Da utilizzare in ambienti ad elevata sicurezza per controllare l'accesso ad applicazioni Web

39 Dimostrazione 4 Applicazione di un criterio di restrizione del software Creazione di un criterio di restrizione del software Riavvio della macchina virtuale Impostazione della priorità dell'amministratore sulle impostazioni Verifica dei criteri di restrizione del software

40 Come applicare le restrizioni del software 1. Aprire l'oggetto Criteri di gruppo per l'unità organizzativa in cui si desidera applicare il criterio di restrizione software 2. Spostarsi sul nodo Impostazioni computer/Impostazioni di Windows/Impostazioni di sicurezza 3. Fare clic con il pulsante destro del mouse su Criteri di restrizione del software e scegliere Crea nuovi criteri 4. Configurare le regole Hash, Certificato, Percorso e Area Internet in base alle esigenze dell'organizzazione

41 Creare un piano di ripristino Utilizzare un oggetto Criteri di gruppo separato per implementare le restrizioni del software Utilizzare i criteri di restrizione del software con NTFS per disporre di più livelli di difesa Non collegare mai a un altro dominio Verificare accuratamente le nuove impostazioni dei criteri Procedure consigliate per l'applicazione di criteri di restrizione del software

42 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.


Scaricare ppt "Difesa dei client. Un sistema più sicuro Obiettivo: ridurre le vulnerabilità di protezione del sistema operativo. Obiettivo: ridurre le vulnerabilità"

Presentazioni simili


Annunci Google