Windows Server 2003 SP1Security Configuration Wizard

PierGiorgio MalusardiIT Pro EvangelistMicrosoft

Agenda

Introduzione a SCW Dimostrazione Approfondimenti Buone pratiche Informazioni sul rilascio

Introduzione a SCWCos’è

Un tool di creazione di Politiche di Sicurezza Focalizzato sulla riduzione della superficie di attacco

Disabilita servizi non necessari Disabilita estensioni web non necessarie Blocca porte non necessarie Restringe l’accesso alle porte aperte solo ai corretti utilizzatori Riduce l’esposizione dei protocolli

• Firma digitale di SMB e LDAP• Compatibilità LanManager e LMHASH

Configura le SACL degli Audit Consente l’import di Security Template

Infrastruttura operativa Rilascio client / server Supporto alla distribuzione via Group Policy Analisi della compatibilità Supporto al rollback

Perché SCW?

Lo stato dell’arte attuale è basato su guide cartacee Migliaia di pagine Sorgenti multiple con inconsistenze Non provate dai gruppi di sviluppo dei

prodotti Difficile mantenere aggiornati i documenti

Il risultato sono molti sistemi insicuri

Creazione delle policy

Un wizard guida passo passo alla creazione delle policy

Il risultato dell’operazione è un file XML

Distribuzione delle policySingolo server

Le policy sono applicabili al server locale o ad un remoto da GUI

L’applicazione di una policy SCW (file XML) ad un server richiede che SCW sia installato sul sistema

Distribuzione delle policyServer multipli via Command Line

Tool CLI scwcmd.exe File MachineList.xml con

elenco delle macchine a cui applicare le policy (mappatura policy-macchina)

Scwcmd.exe consuma MachineList.xml e applica l’appropriato file di configurazione all’appropriata macchina (multi thread)

SCW deve essere installato sui server bersaglio

Metodo analogo usato per l’analisi di compatibilità

Policy1.xml Policy2.xml

MachineList.xml

Scwcmd.exe

Distribuzione delle policyServer multipli via GPO

Scwcmd.exe trasforma i file delle policy in file che possono essere distribuiti nativamente via GPO

Un file .INF per le impostazioni di sicurezza

Un file .POL per la configurazione di Windows Firewall

Un IPSec blob per la configurazione di IPSec

Le impostazioni di IIS non sono gestite in questa modalità

I file generati sono contenuti in una GPO

La GPO deve essere collegata alla corretta OU

SCW non è richiesto sui computer bersaglio

Scwcmd.exe

Sce.inf Firewall.pol Filters.ipsec

Demo:Creazione di una policy con SCW

Approfondimenti

Estensioni Knowledge base aziendale

SCW e IPSec SCW non è pensato per creare policy IPSec

sofisticate come: Comunicazione DC – DC Segmentazione di rete Quarantena

SCW è pensato per fornire sicurezza semplice a livello di porta Principalmente sulla rete aziendale Per chi non ha attualmente policy IPSec attive Default è “Accetta comunicazioni insicure ma cerca di

rispondere sempre in IPSec Assume che i client usino la default response rule

Estensione con la KB aziendale

Possibile modificare i file .xml che definisco la KB mostrata nel wizard

Le modifiche saranno mostrate nell’interfaccia del wizard

I file .xml della KB risiedono in%windir%\security\msscw\kbs

Estensione con la KB aziendale

W2K3.xml

Sql.xml

Exchange.xml

SMS.xml

Knowledge base

…

Estensione con la KB aziendale

W2K3.xml

Sql.xml

Exchange.xml

SMS.xml

Knowledge base

…

<KBS> <Root> <Name>W2K3</Name> </Root> <Extensions> <Name>SQL.xml</Name> <Name>Exchange.xml</Name> <Name>sms.xml</Name> </Extensions></KBS>

KBReg.xml

Estensione con la KB aziendale

W2K3.xml

Sql.xml

Exchange.xml

SMS.xml

Knowledge base

… <KBS> <Root> <Name>W2K3</Name> </Root> <Extensions> <Name>SQL.xml</Name> <Name>Exchange.xml</Name> <Name>sms.xml</Name> <Name>MyApp.xml</Name> </Extensions></KBS>

KBReg.xmlMyApp.xml

Estensioni incluse in SP1 SQL Server Exchange Server System Management Server (SMS) Microsoft Operations Manager (MOM) Small Business Server ISA Server 2004 Windows Sharepoint Services Sharepoint Portal Server Microsoft Identity Integration Server Biztalk Commerce Server Microsoft Audit Collection Server Host Integration Server (ancora in sviluppo)

Buone pratiche per SCW

Centralizzazione della KB

\\KBServer\KB

Responsabile Sicurezza

R/W

Centralizzazione della KB

\\KBServer\KB

Responsabile Sicurezza

Amministratore locale

R

Centralizzazione della KB

\\KBServer\KB

Responsabile Sicurezza

Amministratore locale esegueScw.exe /kb \\KBServer\KB

\\ServerBersaglio

R

Il rilascio di SCW SCW è parte di Windows Server 2003 SP1

Sicurezza, Test approfonditi e grande usabilità sono i motivi che hanno indotto ad introdurre questo prodotto in un SP

È un componente aggiuntivo e deve essere installato da Control Panel | Add\Remove program | Add\Remove Windows Components

Non ci sono piani per portare questo strumento su versioni del sistema operativo precedenti a SP1

Maggiori informazioni

http://www.microsoft.com/windowsserver2003 http://www.microsoft.com/security http://www.microsoft.com/security/guidance

© 2003-2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.