Sicurezza e gestione
Agenda Bitlocker Driver Encryption User Account Protection Internet Explorer 7 Hardening dei servizi Windows Vista firewall Altre novità
Nuova autenticazione per RDP Novità nell’auditing
BitLocker Drive Encryption e TBS BitLocker Drive
Encryption Vista enterprise e
ultimate Verifica l’integrità di del
sistema Cripta interi volumi
compresi file di swap e di ibernazione, chiavi di registry e file di configurazione
Usa TPM v1.2 per validare i componenti pre-OS
Metodi di protezione e autenticazione personalizzabili
Protezione Pre-OS Chiave di avvio su USB,
PIN Driver Microsoft per
TPM Stabilità e sicurezza
TPM Base Services (TBS) Abilita applicazioni di
terze parti Backup su Active
Directory Backup automatico delle
chiavi su AD Supporto nelle Group
Policy Gestione via script
Gestione TPM Gestione BitLocker Tool CLI
Dismissione sicura Cancellazione della
chiave e riuso
Richieste hardware Trusted Platform Module (TPM) v1.2
Modulo tipo smartcard presente sulla motherboard Esegue funzioni crittografiche (RSA, SHA-1, RNG) Crea, salva e gestisce chiavi crittografiche Esegue operazioni di firma digitale Mantiene le misure (hash) della piattaforma Ancora catena di fiducia per le chiavi e credenziali Si autoprotegge dagli attacchi
Firmware (Convenzionale o EFI BIOS) compatibile TCG Stabilisce una catena della fiducia per la parte di boot pre-
OS Deve supportare le Static Root Trust Measurement (SRTM)
specificate da TCG Vedere a www.trustedcomputinggroup.org
Struttura del discoLe partizioni criptate
dell’OS contengono:• OS criptato• Page file criptato• File temporanei criptati• Dati criptati• File di ibernazione
criptato
La System Partition contiene utility per il boot(non criptate, 50MB)
MBR
Funzionamento del TPM Reset di tutti i registri e trasferimento
dell’esecuzione al Core Root of Trust Measurement
Misura della successiva porzione del firmware in PCR[0] e dei dati in in PCR[1] (Test hardware e configurazione) Codice sempre misurato prime di essere
eseguito Misure sono hash SHA-1 dei dati/codice
controllato concatenati con hash nel PCR precedente
Misure scritte in modo permanente nel PCR Opzioni di ROM e dati in PCR[2] e [3] MBR in PCR[4], tabella delle partizioni in
PCR[5]PCR[0]PCR[0]PCR[1]PCR[1]PCR[2]PCR[2]PCR[3]PCR[3]PCR[4]PCR[4]PCR[5]PCR[5]PCR[6]PCR[6]PCR[7]PCR[7]PCR[8]PCR[8]PCR[9]PCR[9]
PCR[10]PCR[10]PCR[11]PCR[11]PCR[12]PCR[12]PCR[13]PCR[13]PCR[14]PCR[14]PCR[15]PCR[15]
Pla
tform
Configura
tion R
egis
ters
Pla
tform
Configura
tion R
egis
ters
Funzionamento del TPM Controllo passato a MBR;
Carica il primo settore della partizione di boot attiva in memoria
Misura i primi 512 byte in PCR[8] Caricamento del settore di boot
Misurazione del rimanente in PCR[9] e trasferimento dell’esecuzione
Codice di boot misura BOOTMGR in PCR[10] e trasferisce l’esecuzione
Ogni ulteriore applicazione di boot deve essere caricata dalla sola partizione criptata
Il BOOTMGR trasferisce il controllo al sistema operativo
OS verifica integrità di ogni eseguibile caricato
PCR[0]PCR[0]PCR[1]PCR[1]PCR[2]PCR[2]PCR[3]PCR[3]PCR[4]PCR[4]PCR[5]PCR[5]PCR[6]PCR[6]PCR[7]PCR[7]PCR[8]PCR[8]PCR[9]PCR[9]
PCR[10]PCR[10]PCR[11]PCR[11]PCR[12]PCR[12]PCR[13]PCR[13]PCR[14]PCR[14]PCR[15]PCR[15]
Pla
tform
Configura
tion R
egis
ters
Pla
tform
Configura
tion R
egis
ters
Backup delle chiavi Per macchine in dominio
(raccomandato) Backup automatico
Configurare Group Policy per salvare chiavi in AD
Gestione e salvataggio delle chiavi centralizzate
Macchine non in dominio Backup su device USB Backup su un servizio di storage web-
based OEM o 3ze-parti possono creare servizi
Backup su file Stampa o registrazione du mezzo fisico
Ripristino in caso di problemi
Abilitazione della funzione
Accessoalla retevia AD
Deposito della chiaveper esempio via AD
L’utente rompe il computer
HD della macchina rottainserito nella nuova macchina
Alert: Secure Startup Recovery
Secure Startup Recovery has failed.
You will not be able to start up your computer nor access your data. Your hard drive will remain encrypted until you can provide either the recovery media or your recovery key.
Close
x
Utente chiama SysAdminSysAdmin sblocca e fornisce la chiaveutente dopo aver verificato le credenziali
Secure Startup Recovery Key
Please enter your Secure Startup Recovery Key.
CancelOk
x
**** **** **** ****
Secure Startup Recovery Mode
You have successfully recovered your data.
The recovery process is complete.
Close
x
Configurare Active Directory Per salvare le chiavi di ripristino in AD:
Tutti i DC devono essere al minimo Win2K3SP1
Applicare l’estensione dello schema per avere gli attributi aggiuntivi (già presente in Windows Server Longhorn)
Configurare i permessi sugli oggetti BitLocker e TPM Recovery Information nello schema
Se ci sono più foreste, estendere lo schema di tutte le foreste che devono avere macchine con BitLocker
Dare diritti di lettura agli utenti che dovranno poter essere assistiti
Configurare le Group Policy Impostazioni per BitLocker in group
policy Turn on AD backup of BDE recovery
information Turn on AD backup of TPM recovery
information Configure UI experience
Abilitare il controllo del power management per macchine con BitLocker Impedire lo sleep mode (default) Impedire agli utenti la modifica di questa
configurazione
EFS e Bitlocker EFS
Fornisce sicurezza nel contesto utente
Migliorato in Windows Vista per incrementare la sicurezza fornita all’utente (smartcards)
Non misura l’integrità dei singoli componenti del processo di boot
Non fornisce protezione offline per l’OS, file temporanei, file di swap e di ibernazione
BitLocker Fornisce sicurezza
nel contesto macchina – pensato per proteggere l’OS
Protegge tutti i settori sul volume di installazione di Windows, inclusi i file temporanei, i file di swap e ibernazione.
Non fornisce sicurezza a livello utente
Sono tecnologie complementari che possono coesistere fianco a fianco sullo stesso volume o su volumi diversi
User Account Control
Lavorare come Administrator è rischioso Spyware e Viruses rovinano le macchine Difficile controllare gli utenti enterprise
Applicazioni che richiedono privilegi di amministratore
Applicazioni disegnate per Win9x: tutti amministratori
Applicazioni non disegnate per utenti standard Problemi: Accesso a file e voci di registry
condivisi
Molte attività comuni in Windows richiedono privilegi di amministratore
Utente standard in Vista può fare di più Modifica della time zone
Configurazione di connessioni wireless (WEP/WPA) sicure
Modifica delle impostazioni di power management
Creazione e configurazione di VPN Aggiungere device che hanno già
driver installati o ammessi dalle policy Lo scudo indica in modo chiaro e
consistente cosa non può fare un utente normale
Virtualizzazione di file e registryEs. Internet Explorer
I tentativi di scrittura non autorizzati vengono spostati in HKCU\Software\Microsoft\Internet Explorer\Low
Rights\Virtual Documents and Settings\%user profile%\Local
Settings\Temporary Internet Files\VirtualSe IE prova a scrivere qui…
…viene ridiretto qui
HKCU\Software\FooBar HKCU\Software\MS\IE\Low Rights\Virtual\Software\FooBar
C:\Documents and Settings\%user profile%\FooBar
C:\Documents and Settings\%user profile%\Local Settings\Temporary Internet Files\Virtual\FooBar
UAC livello 2:
Elevazione temporanea dei privilegi
Soluzione per gli utenti di laptop sconnessi
Uso verificabile in event log
Utenti standard con accesso alla password di amministrazione
UAC livello 3:
Configurato via GPO: Lista “Allowed” basata
su firma digitale restringe l’elevazione: Codice firmato da IT Vendors fidati (Microsoft,
Adobe, ecc..) Scenario d’uso:
Restrizione delle installazioni ad applicazioni fidate
Blocco di tutti i programmi eccetto pochi che richiedono diritti di admin
Amministratori con restrizione all’elevazione
Internet Explorer 7Protected Mode e protezione della privacy
Basato su UAP per proteggere i dati utente Costringe IE a girare in modalità read-only (eccetto
Temporary Internet Files e History) Blocca i tentativi di cancellare i dati utenti,
modificare le impostazioni del browser o Il folder Startup (senza permesso dell’utente)
Richiede sempre il permesso dell’utente per installare Add-in
Riduzione dei rischi di cross-domain exploit Opzione di ripristino dei valori di fabbrica Avverte l’utente se inserisce dati su canali non
SSL/TLS Evidenzia la barra degli indirizzi su connessioni sicure Evidenzia il nome di dominio se è un IP o ha caratteri
speciali Pulizia della cache con un solo click
IE7 inProtected
Mode
Installa un driver, Installa un controllo ActiveX
Modifica delle impostazioni,
Salva immagini
Inte
gri
ty C
on
tro
l
Bro
ker
Pro
cess
Impostazioni e file rediretti
Com
pat
Red
irect
or
Contenuti in cache
Accesso come Admin
Accesso come Admin
Accesso come UserAccesso come User
Temp Internet FilesTemp Internet Files
HKLM
HKCR
Program Files
HKCU
My Documents
Startup Folder
File e impostazioni non fidati
IE7 in Protected Mode
DDDD DD
Windows Vista Service Hardening
DD DDDD
Riduzione della dimensione dei livelli ad alto rischio
Segmentazione dei servizi
Aumento del numero di livelli
Kernel DriversD
D User-mode Drivers
Service Service 11
Service Service 22
Service Service 33
ServiceService……
Service Service ……
Service A
Service B
Windows Vista Firewall
Altre novità
Nuovo controllo RDP
Audit Modifiche a valori del Registry (vecchi e nuovi
valori) Modifiche in AD (vecchi e nuovi valori) Miglioramento nell’audit delle operazioni Eventi UAC Miglioramento nell’audit di IPSec RPC Call Accesso agli share di rete Gestione degli share di rete Funzioni di crittografia Eventi NAP (solo server) Eventi IAS (RADIUS) (solo server)
Più informazioni in Event Log
Forwarded Event
SEA-WRK-001
SEA-WRK-002SEA-DC-01
Viste riusabili
Query cross-log
System log
Application log
Security log
Eventi
Webcast per approfondire
Windows Vista
I nuovi strumenti di gestione e di monitoring
300
60
07/11/2006
10:00-11:00
Windows Vista
Tecnologie per la protezione dei dati
300
90
12/12/2006
10:00-11:30
Windows Vista
Le novità di Windows Firewall e di Windows Defender
300
90
19/12/2006
10:00-11:00
Windows Vista
User Account Protection e Service Hardening
300
60
15/01/2007
10:00-11:00
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on
the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.