Post on 02-May-2015
Windows Server 2008 R2:novità nelle funzionalità per la
sicurezza
Renato Francesco Giorgini Evangelist IT Pro
RenatoFrancesco.Giorgini@microsoft.com
RenatoFrancesco.Giorgini@microsoft.com
Agenda
Architettura di sicurezzaSistema operativo a 64 bitPiattaforma sicura ed affidabileControllo e blocco applicazioniSicurezza dei dati e delle informazioniAccesso sicuro alle reti
Architettura di sicurezza
RenatoFrancesco.Giorgini@microsoft.com
La nuova architettura di sicurezza
Windows XP Windows Server 2003
Windows Vista Windows Server 2008
Windows 7 Windows Server 2008 R2
http://technet.microsoft.com/en-us/magazine/2009.05.win7.aspx?pr=blog
RenatoFrancesco.Giorgini@microsoft.com
Security Development Lifecycle
Security Kickoff& Register withSWI
Security DesignBest Practices
Security Arch & Attack SurfaceReview
Use SecurityDevelopment Tools &Security BestDev & Test Practices
Create SecurityDocsand ToolsFor Product
PrepareSecurityResponsePlan
Security Push
Pen Testing
FinalSecurity Review
Security Servicing &ResponseExecutionThreat
Modeling
Security Training
Feature ListsQuality GuidelinesArch DocsSchedules
DesignSpecifications
Testing and Verification
Development of New Code Bug Fixes
Code Signing A CheckpointExpress Signoff
RTM
Product SupportService Packs/QFEs SecurityUpdates
FunctionalSpecifications
Requirements Design Implementation Verification ReleaseSupport& Servicing
RenatoFrancesco.Giorgini@microsoft.com
Riduzione della superficie di attacco
Più account per i servizi, con permessi più specifici
RenatoFrancesco.Giorgini@microsoft.com
Più account per i servizi, con permessi più specifici
Riduzione dei privilegi per gli account dei servizi
Riduzione della superficie di attacco
RenatoFrancesco.Giorgini@microsoft.com
Più account per i servizi, con permessi più specifici
Riduzione dei privilegi per gli account dei servizi
Service SID: hardening di aree specifiche del sistema
Riduzione della superficie di attacco
RenatoFrancesco.Giorgini@microsoft.com
Più account per i servizi, con permessi più specifici
Riduzione dei privilegi per gli account dei servizi
Service SID: hardening di aree specifiche del sistema
Windows Firewall: riduzione dell’esposizione sulla rete
Riduzione della superficie di attacco
RenatoFrancesco.Giorgini@microsoft.com
Più account per i servizi, con permessi più specifici
Riduzione dei privilegi per gli account dei servizi
Service SID: hardening di aree specifiche del sistema
Windows Firewall: riduzione dell’esposizione sulla rete
Isolamento tra servizi e applicazioni utente
Riduzione della superficie di attacco
RenatoFrancesco.Giorgini@microsoft.com
Più account per i servizi, con permessi più specifici
Riduzione dei privilegi per gli account dei servizi
Service SID: hardening di aree specifiche del sistema
Windows Firewall: riduzione dell’esposizione sulla rete
Isolamento tra servizi e applicazioni utente
Livelli di sicurezza differenti per sistema e applicazioni
Riduzione della superficie di attacco
Sistema operativo a 64 bit
RenatoFrancesco.Giorgini@microsoft.com
Kernel Patch Protection
Garantisce la protezione del KernelIntegritàAffidabilitàSicurezza
È possibile modificare il Kernel solo con binari/patch prodotte e autorizzate da MicrosoftNon è possibile
Modificare parte di routine/binari del kernelUsare stack in kernel mode non allocati dal Kernel stessoModificare le tabelle di sistema dei servizi
No hook via KeServiceDescriptorTable
Modificare l’Interrupt Dispatch Table (IDT)Modificare la Global Descriptor Table (GDT)
RenatoFrancesco.Giorgini@microsoft.com
Kernel-Mode Code Signing (KMCS)
Verifica della firma digitale di tutto il software in Kernel ModeVerifica firma digitale e hash dei driver eseguiti in Kernel Mode su sistemi a 64 bit (e con OS a 64 bit):
WinloadVerifica firma digitale e hash di driver di boot, HAL e NTOSKrnl
NTOSKrnlVerifica firma digitale e hash dei device driver caricati in Kernel Mode
Verifica firma digitale e hash dei binari in User Mode per:
Implementazione funzioni crittograficheBinari caricati nei Protected Processes per l’esecuzione di contenuti multimediali ad alta definizione
Piattaforma sicura e affidabile
RenatoFrancesco.Giorgini@microsoft.com
Costruito sulle fondamenta di Windows Vista
User Account Control personalizzabile
Internet Explorer 8
Nuove funzionalità di Auditing
Windows 7 – Windows Server 2008 R2 Security
Network Access Protection
DirectAccess
Nuove funzionalità di network security
AppLocker
Software Restriction Policies
Rights Management Services (RMS)
Encrypting File System (EFS)
BitLocker
BitLocker To GoTM
Piattaforma sicura e
affidabile
Accesso sicuro alle
reti
Controllo e blocco
applicazioni
Sicurezza dei dati e
delle informazioni
RenatoFrancesco.Giorgini@microsoft.com
Internet Explorer 8.0 - Security
ArchitetturaInternet Explorer Protected ModeLoosely-Coupled IEData Execution PreventionAddress Space Layout Randomization
Gestione ActiveXPer-User ActiveXPer-Site ActiveX
Funzionalità Anti-malware, anti-phishingSmartScreen FilterCross Site Scripting (XSS) Filter
Protezione privacy utenteInPrivate BrowsingInPrivate Filtering
RenatoFrancesco.Giorgini@microsoft.com
Approfondimento su Internet Explorer 8.0
Architettura e funzionalità di sicurezza:www.microsoft.com/italy/beit/TechNet.aspx?video=376b8755-f6fd-4bbe-856a-609d0d2bbb37
Distribuzione centralizzata in ambito aziendale:www.microsoft.com/italy/beit/TechNet.aspx?video=471e410f-2627-4ec6-8f0f-f96e7f1257ce
Gestione centralizzata tramite Group Policy:www.microsoft.com/italy/beit/TechNet.aspx?video=d839c304-1543-432f-afda-dd1720433561
RenatoFrancesco.Giorgini@microsoft.com
Granular Audit Policy - Windows Vista
Non facilmente integrabili con le Group PolicyÈ necessiaro utilizzare degli script di logon: http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account management" /success:enable /failure:enable...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
L’Admin crea la policy
La Policy viene applicata al logon via script
RenatoFrancesco.Giorgini@microsoft.com
Nuove Granular Audit Policy
Sono integrate con le Group PolicyGAP configurate nella Group Policy Management ConsoleE’ possibile fare il Modeling delle GAP
Sfruttano la struttura delle GPOPolicy per Dominio, Sito, Organizational Unit
Nuove funzionalità di reportistica e diagnostica
Mi permettono di tracciare i motivi di accesso/non-accesso alle risorse
http://technet.microsoft.com/en-us/library/dd408940.aspxhttp://technet.microsoft.com/en-us/magazine/2008.03.auditing.aspx
Controllo e blocco applicazioni
RenatoFrancesco.Giorgini@microsoft.com
Controllo e blocco applicazioni
AppLockerTM
Windows Server 2008 R2Situazione attuale
Spesso gli utenti possono installare applicazioni sulle loro macchineCi sono applicazioni eseguibili senza installazione o installabili senza privilegi amministrativi
Policy per blocco/autorizzazione delle applicazioniEvoluzione delle Software Restriction PoliciesClient: Windows 7
Sicurezza dei dati e delle informazioni
RenatoFrancesco.Giorgini@microsoft.com
Protezione dei dati
Rights Management Services
BitLockerTMEncrypting File System
Protezione dei documenti da accessi non autorizzatiLa protezione è “legata” al documento protetto (mail, USB, fileshare, HD)Client RMS integrato in Windows 7 e servizi RMS presenti in Windows Server
Cifratura folder e filesNecessita di NTFSPossibilità di condividere il file cifrato con altri utentiPossibilità di memorizzare le chiavi EFS su Smart Card
Consente la cifratura di un intero disco/partizioneConfigurazione semplificataSupporto per dispositivi rimovibiliSupporto per Group Policy
RenatoFrancesco.Giorgini@microsoft.com
Funzionamento di RMS
Autore Destinatario
Windows Server 2008 R2con RMS
SQL Server
Active Directory
2
3
4
5
1
3
RenatoFrancesco.Giorgini@microsoft.com
Protezione hard disk e drive rimovibili
Windows 7Situazione attuale
BitLocker To GoTM
+
Partizione di Sistema
Partizioni Locali
Partizioni Locali, Dispositivi Rimovibili
Accesso sicuro alle reti
RenatoFrancesco.Giorgini@microsoft.com
Network Access Protection (NAP)
Tecnologia di policy enforcment e controllo degli accessiVerifica l'Health Status dei clientAbilita l’accesso alla rete ai client con Health Status compliant alle policy
Remediation
ServersExample: PatchRestricted
Network
Client Policy complia
nt
NPSDHCP, VPN
Switch/Router
Policy Serverssuch as: Patch, AV
Corporate Network
Not policy
compliant
RenatoFrancesco.Giorgini@microsoft.com
NAP: Integrazione migliorata
Remote Desktop Gateway - abilitata la “Remediation”
IPSec - Gestione SA (security associations)
DirectAccess - controllo status client remoti
Forefront codename “Stirling”
Action Center Windows 7:
RenatoFrancesco.Giorgini@microsoft.com
DNSSec
Permette di superare le carenze di sicurezza del servizio DNSDefinito nelle RFC 4033, 4034 e 4035
Raccomandato NIST SP 800-53DNS Server: 4 Nuovi Resource Records
DNSKEY, RRSIG, NSEC, DS
Supportato nei nuovi prodotti MicrosoftDNS Server: Windows Server 2008 R2DNS Client: Windows 7, Windows Server 2008 R2
Signing:Possibile solo con Static ZonesEffettuato da riga di comando: DNSCmd.exeRSA/SHA-1, chiavi da 512-4096 bit
Da integrare con IPSec e Group Policy
RenatoFrancesco.Giorgini@microsoft.com
Accesso alla Rete aziendale da remoto
Situazione attuale
HomeOffice Home Office
DirectAccess
Windows Server 2008 R2
È difficile gestire e mantenere aggiornati i PC sconnessi dalla rete aziendalePer gli utenti è complesso accedere alle risorse aziendali (VPN)
PC gestibili in modo sicuro anche da remotoConnessione alla rete aziendale sempre disponibileClient: Windows 7
RenatoFrancesco.Giorgini@microsoft.com
DirectAccess
DirectAccess ServerWindows Server
2008 R2
Compliant Client Compliant Client
IPsec/IPv6
Data Center and Business Critical Resources
Internet
Intranet UserEnterprise Network
Compliant Network
Intranet User
IPsec/
IPv6
IPsec
/
IPv6
NAP / NPS
Servers
RenatoFrancesco.Giorgini@microsoft.com
Windows 7Windows Server 2008 R2Internet Information Services 7.5Hyper-V 2.0System Center Virtual Machine ManagerInternet Explorer 8.0Forefront “Stirling”….
Progetti
RenatoFrancesco.Giorgini@microsoft.com
http://blogs.technet.com/italy/pages/it-pro-momentum-il-programma-per-professionisti-it-consulenti-e-aziende-interessati-alle-nuove-tecnologie-
microsoft.aspx
RenatoFrancesco.Giorgini@microsoft.com
In conclusione
Windows Server 2008 R2 è costruito sulla base di Windows Server 2008 e sulla sua nuova architettura di sicurezza;
Sarà solo a 64 bit, non può eseguire codice a 16 bit e ha bisogno di driver certificati digitalmente;
Introduce nuove funzionalità di sicurezza, che saranno sfruttate al meglio dai client Windows 7
AppLocker, Direct Access, Bitlocker to Go, DNSSec;
Le Group Policy sono lo strumento principale per gestire in azienda l’enforcment delle regole di sicurezza.
RenatoFrancesco.Giorgini@microsoft.com
RenatoFrancesco.Giorgini@microsoft.com
http://blogs.technet.com/italy
© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows 7, Windows Server 2008 R2 and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions,
it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.