View
239
Download
0
Category
Preview:
Citation preview
Windows Server 2003 Service Pack 1
Anteprima Tecnica
Agenda
Novità per la sicurezza dei sistemi Novità per la sicurezza della rete Opzioni di distribuzione di SP1
Sicurezza dei sistemiPost Setup Security Updates
Protezione dei server tra la fase di installazione del sistema operativo e quella degli ultimi aggiornamenti
Windows Firewall è abilitato se non espressamente configurato in fase di installazione
Sicurezza dei sistemi Post Setup Security Updates
Invocato dopo: Migrazione da Windows NT4 a Windows Server
2003 SP1 Installazione combinata di Windows Server 2003
e SP1
NON invocata dopo: Aggiornamento da Windows 2000 a Windows
Server 2003 SP1 Aggiornamento da Windows Server 2003 a SP1
Sicurezza dei sistemi Data Execution Prevention
Hardware DEP Richiede il supporto del processore Processore marca come non eseguibili le aree di
memoria a meno che contengano esplicitamente codice eseguibile
Software DEP Funziona su ogni processore che supporta Windows
Server 2003 Protegge i binari di sistema da exploits relativi a
exception handling Problemi di compatibilità? Assenti o limitati
Sicurezza dei sistemi Data Execution Prevention In Boot.ini /noexecute=PolicyLevel
OptInSoftware DEP è abilitata Hardware DEP abilitata solo per applicazioni specificamente configurate
OptOutSoftware DEP e Hardware DEP abilitate. Disabilitate solo per le applicazioni nella lista delle eccezioni
AlwaysOn Software DEP e Hardware DEP sempre abilitate. Le eccezioni sono ignorate
AlwaysOff
Software DEP e Hardware DEP sempre disabilitate
Sicurezza dei sistemi Data Execution Prevention
Interfaccia GraficaTab Data Execution Prevention in Pannello
di Controllo | System | Advanced | Performance |
Configurare la lista delle eccezioni per le applicazioni
Disabilitare Hardware DEP
Sicurezza dei sistemiSecurity Configuration Wizard
• Pannello di controllo• Add\Remove Programs• Windows Components
Sicurezza dei sistemi Security Configuration Wizard Identifica le porte aperte
Eseguire con i servizi e le applicazioni, necessari in produzione, attivi
Selezionare il ruolo del server dal DB delle configurazioni
Configura i servizi richiestiConfigura le porte per Windows FirewallConfigura la sicurezza per LDAP e SMBConfigura le politiche di AuditConfigura le impostazioni specifiche per il ruolo
scelto
Sicurezza dei sistemiSecurity Configuration Wizard
Configurazione salvata in file XML Applicata dal wizard
Applica una politica di sicurezza esistente Applicata da command line
scwcmd.exe configure /p:webserverpolicy.xml Usabile negli script Setup eseguibile in modo non presidiato con
script
Sicurezza dei sistemiWindows Firewall
Miglioramento di Internet Connection Firewall (ICF)
Non abilitato per default Eccetto durante l’esecuzione del Post Setup
Security Update Puo’ essere configurato in fase di installazione
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/wfsp2sum.mspx
Sicurezza dei sistemiWindows Firewall
Miglioramento di Internet Connection Firewall (ICF)
Non abilitato per default Eccetto durante l’esecuzione del Post Setup Security
Update Puo’ essere configurato in fase di installazione
Sicurezza in fase di boot Configurazione unica per tutte le NIC o specifica
per NIC Puo’ essere configurato per impedire le eccezioni Profili di configurazione multipli con GPO
Sicurezza dei sistemiWindows Firewall
Agenda
Novità per la sicurezza dei sistemi Novità per la sicurezza della rete Opzioni di distribuzione di SP1
Novità per la sicurezza della rete Novità nello stack TCP/IP
Restrizione del traffico su Raw Socket Metodo per creare pacchetti con un numero
inferiore di controlli di sicurezza Usato soprattutto dai network analyzer
TCPnon puo’ usare raw socket
UDPnon è consentito l’uso di raw socket con IP sorgenti diversi da quelli presenti sulle interfacce di rete delle macchina
Si riduce la possibilità di spoofing e DDOS
Novità per la sicurezza della rete Novità nello stack TCP/IP
Limitazione del numero di connessioni TCP incomplete in uscita Al raggiungimento del limite le successive
richieste vengono accodate e smaltite ad un rate costante
Limita la velocità di diffusione di virus e worm
Novità per la sicurezza della rete Novità nello stack TCP/IP Winsock self-healing
Winsock fornisce il supporto alle applicazioni per la gestione dei socket
Estensibile attraverso Layered Service Provider Quando qualche LSP ha problemi la sua rimozione
puo’ portare alla corruzione del catalogo Winsock in registry e alla perdita di connessione di rete
SP1 risolve il problema risistemando il registry dopo la disinstallazione di un LSP
netsh winsock reset catalog (riporta al default) netsh winsock show catalog (elenco dei LSP)
Network Security EnhancementsWebDAV redirector
WebDAV Redirector consente l’uso di WebDAV server come normali file server
Disabilitazione per default della Basic Authentication su canali in chiaro
Riabilitabile modificando la voce di registry:
HKLM\system\CurrentControlSet\Services\WebClient\Parameters\UseBasicAuth
Novità per la sicurezza della rete Wireless Provisioning Services (WPS)
Fornisce a WISP, HSP e alle aziende un metodo per inviare informazioni di provisioning e configurazione ai client mobile
È un’estensione dei servizi wireless già presenti in (Wireless AutoConfig, WAP, PEAP)
Modifica IAS per consentire la Guest AuthN in fase di Provisioning
È possibile fornire servizi di accesso Wireless in località diverse anche con nome di rete diverso agli utenti
Dopo il loggato o il Provisioning in una località l’utente potrà usare le stesse informazioni in altre località
Wireless AutoConfig sceglierà la rete corretta in base alle informazioni contenute nel file di provisioning
Dati di provisioning mantenuti aggiornati automaticamente
Novità per la sicurezza della rete Wireless Provisioning Services (WPS)
La prima connessione prevede le seguenti fasi: Il computer determina la presenza di una rete
wireless e mostra le relative informazioni all’utente L’utente esegue il logon con un account guest e il
computer è connesso alla rete wireless Il computer scarica una serie di file XML che servono
per gestire la fase di provisioning e viene avviato un Wizard che guida l’utente nella creazione (acquisto?) di un account
Quando l’account è creato viene inviato al client un file XML con le nuove credenziali e le informazioni di configurazioni di WAC e 802.1.x.
Viene effettuata una riconnessione con le nuove credenziali (PEAP-MSCHAPv2) e l’accesso alla rete è completato
Novità per la sicurezza della rete Wireless Network Setup Wizard
Consente la creazione semplificata di configurazioni per HW wireless
La configurazione effettuata può essere salvata in un file XML e questo può essere usato per configurare altri computer
In futuro lo stesso meccanismo sarà usato per la configurazione di reti WAN e LAN
Agenda
Novità per la sicurezza dei sistemi Novità per la sicurezza della rete Opzioni di distribuzione di SP1
Opzioni di distribuzione di SP1 Distribuzione di SP1
Installazione manuale Slipstreaming Immagine software Installazione con scripted
© 2003-2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Recommended