Difesa dei clientDifesa dei client
Un sistema più sicuroUn sistema più sicuro
Obiettivo: ridurre le vulnerabilità di Obiettivo: ridurre le vulnerabilità di protezione del sistema operativo. protezione del sistema operativo.
Contribuisce a ridurre l'esposizione ai Contribuisce a ridurre l'esposizione ai più comuni rischi di attacco in base a più comuni rischi di attacco in base a quattro principi: quattro principi: protezione della rete protezione della rete protezione della memoriaprotezione della memoria gestione più efficiente dei messaggi e-mail gestione più efficiente dei messaggi e-mail maggiore sicurezza durante la connessione a maggiore sicurezza durante la connessione a
Internet.Internet.
Protezione della rete Protezione della rete
Windows Firewall (ICF) attivato per Windows Firewall (ICF) attivato per impostazione predefinita per tutte le impostazione predefinita per tutte le interfacce di rete interfacce di rete
Attivato nelle prime fasi del Boot, prima Attivato nelle prime fasi del Boot, prima che lo stack di rete sia completamente che lo stack di rete sia completamente abilitatoabilitato
Disattivato nelle ultime fasi del ciclo di Disattivato nelle ultime fasi del ciclo di arresto, una volta disabilitato lo stack di arresto, una volta disabilitato lo stack di rete. rete.
Gestibile via:Gestibile via: Group PolicyGroup Policy NetshNetsh
Servizio RPC (Remote Procedure Servizio RPC (Remote Procedure Call) Call) Meno vulnerabile agli attacchi esterniMeno vulnerabile agli attacchi esterni Nuovi livelli di autorizzazioni per Nuovi livelli di autorizzazioni per
controllare i server RPC bloccati, esposti controllare i server RPC bloccati, esposti solo alla subnet locale, esposti all'intera solo alla subnet locale, esposti all'intera rete. rete.
Windows FirewallWindows Firewall Supporta queste autorizzazioniSupporta queste autorizzazioni Limitare l'apertura delle porte dai server RPC Limitare l'apertura delle porte dai server RPC
specificati, in base al contesto di protezione specificati, in base al contesto di protezione in cui vengono eseguiti.in cui vengono eseguiti.
Protezione dall'esecuzione (NX)Protezione dall'esecuzione (NX)
Sulle CPU che supportano la tecnologia Sulle CPU che supportano la tecnologia di protezione dall'esecuzione (NX), di protezione dall'esecuzione (NX), Service Pack 2 contrassegna pagine di Service Pack 2 contrassegna pagine di dati come non eseguibili:dati come non eseguibili: Funzionalità a livello di hardware Funzionalità a livello di hardware Impedisce l'esecuzione di codice da queste Impedisce l'esecuzione di codice da queste
pagine.pagine. Impossibile sovraccaricare con del codice un Impossibile sovraccaricare con del codice un
buffer di dati contrassegnato buffer di dati contrassegnato Avrebbe potuto bloccare BlasterAvrebbe potuto bloccare Blaster Tecnologia NX è supportata da Intel Itanium Tecnologia NX è supportata da Intel Itanium
e AMD K8 a 64 bite AMD K8 a 64 bit Microsoft prevede che i prossimi processori Microsoft prevede che i prossimi processori
a 32 e 64 bit supporteranno NX.a 32 e 64 bit supporteranno NX.
Nuova versione di Outlook Nuova versione di Outlook Express Express Può bloccare immagini e altri contenuti esterni Può bloccare immagini e altri contenuti esterni
nei messaggi HTML nei messaggi HTML Può segnalare all'utente se altre applicazioni Può segnalare all'utente se altre applicazioni
tentano di inviare messaggitentano di inviare messaggi Può controllare il salvataggio e l'apertura di Può controllare il salvataggio e l'apertura di
allegati che potrebbero contenere virus. allegati che potrebbero contenere virus. Outlook Express è coordinato con il nuovo Outlook Express è coordinato con il nuovo
servizio di esecuzione delle applicazioni:servizio di esecuzione delle applicazioni: Gli utenti possono leggere o visualizzare in Gli utenti possono leggere o visualizzare in
anteprima tutti i messaggi in modalità testoanteprima tutti i messaggi in modalità testo Evitati i contenuti HTML potenzialmente non sicuri. Evitati i contenuti HTML potenzialmente non sicuri. Vale anche per MSN e Windows MessengerVale anche per MSN e Windows Messenger
Nuova versione di Internet Nuova versione di Internet Explorer 1/2Explorer 1/2 Gestisce i componenti aggiuntivi e rileva i Gestisce i componenti aggiuntivi e rileva i
relativi malfunzionamentirelativi malfunzionamenti Controlla se è consentita o meno l'esecuzione a Controlla se è consentita o meno l'esecuzione a
livello binario livello binario Applica agli oggetti URL le stesse restrizioni Applica agli oggetti URL le stesse restrizioni
applicate ai controlli ActiveX.applicate ai controlli ActiveX. Internet Explorer controlla in modo più preciso Internet Explorer controlla in modo più preciso
l'esecuzione di tutti i contenuti l'esecuzione di tutti i contenuti Limita le capacità dell'area Computer localeLimita le capacità dell'area Computer locale
blocca gli attacchi che tentano di utilizzare contenuti blocca gli attacchi che tentano di utilizzare contenuti locali per eseguire codice HTML dannoso.locali per eseguire codice HTML dannoso.
IE richiede che tutte le informazioni sul tipo di file IE richiede che tutte le informazioni sul tipo di file fornite dai server Web siano coerenti, analizzando i fornite dai server Web siano coerenti, analizzando i file per verificare che non nascondano codice file per verificare che non nascondano codice dannoso.dannoso.
Nuova versione di Internet Nuova versione di Internet Explorer 2/2Explorer 2/2 Impedisce l'accesso agli oggetti basati su Impedisce l'accesso agli oggetti basati su
script memorizzati nella cache:script memorizzati nella cache: Alle pagine HTML è consentito solo di Alle pagine HTML è consentito solo di
elaborare script per i propri oggetti. elaborare script per i propri oggetti. Disattiv gli script in ascolto di eventi o contenuti in Disattiv gli script in ascolto di eventi o contenuti in
altri frame. altri frame. Dispone di una funzione incorporata per il Dispone di una funzione incorporata per il
blocco della visualizzazione delle finestre blocco della visualizzazione delle finestre popup indesiderate e la gestione di quelle popup indesiderate e la gestione di quelle consentite. consentite.
Può bloccare:Può bloccare: Tutto il contenuto firmato proveniente da un autore Tutto il contenuto firmato proveniente da un autore
non attendibile non attendibile Tutto il codice con firme digitali non valideTutto il codice con firme digitali non valide
Impedisce agli script di spostare o Impedisce agli script di spostare o ridimensionare le finestre, nascondere le barre ridimensionare le finestre, nascondere le barre di stato o coprire altre finestre.di stato o coprire altre finestre.
Facilità di manutenzioneFacilità di manutenzione
Windows XP Service Pack 2 include Windows XP Service Pack 2 include Aggiornamenti automatici versione 5. Aggiornamenti automatici versione 5.
Opzione di installazione rapida che consente di Opzione di installazione rapida che consente di scaricare rapidamente solo gli aggiornamenti scaricare rapidamente solo gli aggiornamenti critici e di protezione necessari, critici e di protezione necessari,
Security Center:Security Center: Posizione centrale, interfaccia grafica di facile utilizzo. Posizione centrale, interfaccia grafica di facile utilizzo.
Windows Installer 3.0Windows Installer 3.0 "compressione delta"."compressione delta". consente di evitare di scaricare patch non necessarie, consente di evitare di scaricare patch non necessarie,
permette di rimuoverle in modo affidabile.permette di rimuoverle in modo affidabile.
Security CenterSecurity Center
Segnala:Segnala: Se manca l’antivirus Se manca l’antivirus Se le definizioni dei virus non sono recentiSe le definizioni dei virus non sono recenti Se vengono ignorati aggiornamenti critici Se vengono ignorati aggiornamenti critici Se viene disattivato il firewall. Se viene disattivato il firewall.
Gli avvisi sono disattivbili.Gli avvisi sono disattivbili.
Implicazioni dei miglioramenti Implicazioni dei miglioramenti 1/21/2 Quasi tutti i miglioramenti evitano Quasi tutti i miglioramenti evitano
qualsiasi impatto sull'esperienza utente. qualsiasi impatto sull'esperienza utente. Vi sono aree in cui sarà necessario Vi sono aree in cui sarà necessario
effettuare alcune modifiche per mantenere effettuare alcune modifiche per mantenere le funzionalità senza compromettere la le funzionalità senza compromettere la protezione.protezione. ICF: popup di avviso per applicazioni server ICF: popup di avviso per applicazioni server
verso Internet. verso Internet. Si può concedere l’autorizzazione e revocarla Si può concedere l’autorizzazione e revocarla
in seguitoin seguito
Implicazioni dei miglioramenti Implicazioni dei miglioramenti 2/22/2 Rivedere le applicazioni distribuite che Rivedere le applicazioni distribuite che
utilizzano RPC o DCOM. utilizzano RPC o DCOM. Potrebbe essere necessario applicare patch Potrebbe essere necessario applicare patch
agli strumenti di sviluppo e concedere loro le agli strumenti di sviluppo e concedere loro le autorizzazioni di Windows Firewall per autorizzazioni di Windows Firewall per assicurare il funzionamento del debug assicurare il funzionamento del debug remoto.remoto.
Modificare l'utilizzo dei controlli ActiveX Modificare l'utilizzo dei controlli ActiveX Pagine Web eseguite localmente che Pagine Web eseguite localmente che
includono contenuto attivo potrebbe essere includono contenuto attivo potrebbe essere necessaria l'aggiunta di una riga necessaria l'aggiunta di una riga supplementare con la "firma" o una modifica supplementare con la "firma" o una modifica dell'estensione.dell'estensione.
Windows Firewall 1/2Windows Firewall 1/2
Attivato di default Attivato di default Gestisce Stateful Inspection. Gestisce Stateful Inspection. Utilizza un criterio di protezione basato Utilizza un criterio di protezione basato
su tre regole principali:su tre regole principali: I pacchetti (ricevuti) appartenti a un flusso di I pacchetti (ricevuti) appartenti a un flusso di
connessione stabilito vengono inoltrati. connessione stabilito vengono inoltrati. I pacchetti (ricevuti) che non corrisponde a I pacchetti (ricevuti) che non corrisponde a
un flusso di connessione stabilito viene un flusso di connessione stabilito viene scartato. scartato.
I pacchetti (inviati) che non corrisponde a un I pacchetti (inviati) che non corrisponde a un flusso di connessione stabilito vengono flusso di connessione stabilito vengono inoltrati (inseriti nella tabella dei flussi di inoltrati (inseriti nella tabella dei flussi di connessione). connessione).
Windows Firewall 2/2Windows Firewall 2/2
E’ possibile aggiungere eccezioniE’ possibile aggiungere eccezioni L’ eccezione può essere locale o globale. L’ eccezione può essere locale o globale.
Globale: accetta connessioni da qualsiasi origine, Globale: accetta connessioni da qualsiasi origine, anche da Internet.anche da Internet.
Locale: accetta connessioni solo dalla subnet localeLocale: accetta connessioni solo dalla subnet locale
Il driver del firewall ha "criterio della fase di Il driver del firewall ha "criterio della fase di avvio“avvio“ Consente al computer di eseguire attività di rete di Consente al computer di eseguire attività di rete di
base (DNS e DHCP) e di comunicare con un base (DNS e DHCP) e di comunicare con un controller di dominio per ottenere i criteri. controller di dominio per ottenere i criteri.
Quando viene eseguito, Windows Firewall carica e Quando viene eseguito, Windows Firewall carica e applica i criteri della fase di esecuzione e rimuove applica i criteri della fase di esecuzione e rimuove i filtri della fase di avvio. i filtri della fase di avvio.
Il criterio della fase di avvio non può essere Il criterio della fase di avvio non può essere configurato.configurato.
RPC (Remote Procedure Call) 1/2RPC (Remote Procedure Call) 1/2
E’ una funzione per il passaggio di messaggiE’ una funzione per il passaggio di messaggi consente a un'applicazione in un computer di richiamare servizi consente a un'applicazione in un computer di richiamare servizi
disponibili su diversi computer in una rete. disponibili su diversi computer in una rete. Utilizzate per l'amministrazione remota, per condivisione.Utilizzate per l'amministrazione remota, per condivisione.
Sottosistema RPC (rpcss) si occupa del mapping degli endpoint Sottosistema RPC (rpcss) si occupa del mapping degli endpoint dei servizi disponibili (endpoint dinamici).dei servizi disponibili (endpoint dinamici).
Il servizio rpclocator consente ai client di di individuare le Il servizio rpclocator consente ai client di di individuare le applicazioni server compatibili disponibili.applicazioni server compatibili disponibili.
In Windows XP sono in esecuzione oltre 60 servizi basati su RPCIn Windows XP sono in esecuzione oltre 60 servizi basati su RPC in ascolto delle richieste client in rete (Svchost.exe.)in ascolto delle richieste client in rete (Svchost.exe.)
ICF bloccava tutte le comunicazioni RPC dall'esterno del ICF bloccava tutte le comunicazioni RPC dall'esterno del computer (no condivisione e amministrazione remota)computer (no condivisione e amministrazione remota)
Windows Firewall: Windows Firewall: Processo tenta di aprire una porta, presentandosi come servizio RPCProcesso tenta di aprire una porta, presentandosi come servizio RPC Windows Firewall accetta la richiesta solo se il chiamante è in Windows Firewall accetta la richiesta solo se il chiamante è in
esecuzione nel contesto di protezione del sistema locale, del servizio esecuzione nel contesto di protezione del sistema locale, del servizio di rete o del servizio locale, in altre parole solo se il processo è di rete o del servizio locale, in altre parole solo se il processo è effettivamente un servizio. Questa impostazione limita le possibilità effettivamente un servizio. Questa impostazione limita le possibilità che un programma Trojan horse senza privilegi riesca ad aprire una che un programma Trojan horse senza privilegi riesca ad aprire una porta presentandosi come server RPC.porta presentandosi come server RPC.
RPC (Remote Procedure Call) 2/2RPC (Remote Procedure Call) 2/2
Aggiunto un nuovo criterio di sistema per Aggiunto un nuovo criterio di sistema per i server RPCi server RPC limita l'utilizzo ai client locali e/o autenticati. limita l'utilizzo ai client locali e/o autenticati. Per default, runtime di RPC rifiuta qualsiasi Per default, runtime di RPC rifiuta qualsiasi
chiamata remota anonima. chiamata remota anonima. Se un servizio registra una richiamata di Se un servizio registra una richiamata di
protezione in grado di autenticare chiamate protezione in grado di autenticare chiamate remote anonime, per il servizio viene remote anonime, per il servizio viene impostata un'eccezione. impostata un'eccezione.
chiave di registro, Restrict Remote Clients, chiave di registro, Restrict Remote Clients, è possibile aumentare o ridurre le restrizioni. è possibile aumentare o ridurre le restrizioni.
Servizio di esecuzione allegati Servizio di esecuzione allegati (AES)(AES) Controlla la visualizzazione e Controlla la visualizzazione e
l'esecuzione dei file allegati ai messaggi. l'esecuzione dei file allegati ai messaggi. Interfaccia COM Interfaccia COM AES analizza un file e determina se può AES analizza un file e determina se può
essere visualizzato o eseguito in modo essere visualizzato o eseguito in modo sicuro in base a numerosi criteri. sicuro in base a numerosi criteri. estensione del file (TXT, JPG, GIF sono estensione del file (TXT, JPG, GIF sono
sicuri). sicuri). Verifica coerenza tipo MIME - estensione Verifica coerenza tipo MIME - estensione
C’è un elenco per stabilire se una data C’è un elenco per stabilire se una data associazione è sicura o pericolosaassociazione è sicura o pericolosa
Antivirus attivo e aggiornato prima di Antivirus attivo e aggiornato prima di consentire all'utente di visualizzare o consentire all'utente di visualizzare o eseguire file non sicuri.eseguire file non sicuri.
AES in Outlook Express e AES in Outlook Express e Windows MessengerWindows Messenger Outlook Express richiama AES per aprire un Outlook Express richiama AES per aprire un
messaggio di posta elettronica con allegatomessaggio di posta elettronica con allegato Allegato sicuro = è disponibile per l'utenteAllegato sicuro = è disponibile per l'utente Allegato non sicuro = bloccato (messaggio relativo al Allegato non sicuro = bloccato (messaggio relativo al
blocco)blocco) Allegato indefinito = messaggio di avviso quando Allegato indefinito = messaggio di avviso quando
l'utente tenta di trascinarlo, salvarlo, aprirlo o l'utente tenta di trascinarlo, salvarlo, aprirlo o stamparlo. Se si esegue il file, questo verrà gestito in stamparlo. Se si esegue il file, questo verrà gestito in modo da garantire l'attivazione del programma modo da garantire l'attivazione del programma antivirus.antivirus.
Windows Messenger ha la stessa gestione dei Windows Messenger ha la stessa gestione dei file allegati. file allegati. Differenza: per l'invio degli allegati solitamente è Differenza: per l'invio degli allegati solitamente è
necessaria l'autorizzazione del destinatario.necessaria l'autorizzazione del destinatario.
Blocco del contenuto HTML in Blocco del contenuto HTML in Outlook ExpressOutlook Express Spammer e virus per tracciare gli utenti di posta attivi Spammer e virus per tracciare gli utenti di posta attivi
includono nei messaggi HTML contenuti esterni includono nei messaggi HTML contenuti esterni (immagini). Quando il messaggio richiama il sito Web (immagini). Quando il messaggio richiama il sito Web identifico il destinatario.identifico il destinatario.
Per proteggere la privacy dell'utente e impedire futuri Per proteggere la privacy dell'utente e impedire futuri attacchi, Outlook Express blocca le immagini e altri attacchi, Outlook Express blocca le immagini e altri contenuti esterni in modalità HTML (disattivabile)contenuti esterni in modalità HTML (disattivabile)
Per default, l'esecuzione della posta elettronica HTML in Per default, l'esecuzione della posta elettronica HTML in Outlook Express è soggetta alle regole dell'area Siti con Outlook Express è soggetta alle regole dell'area Siti con restrizioni.restrizioni.
In Outlook Express dal SP2 le funzionalità binarie non sono In Outlook Express dal SP2 le funzionalità binarie non sono più consentite.più consentite.
Quando Outlook Express è impostato per la lettura dei Quando Outlook Express è impostato per la lettura dei messaggi in formato testo, usa il controllo rich edit invece messaggi in formato testo, usa il controllo rich edit invece di quello HTML browser (mshtml) di Internet Explorer. di quello HTML browser (mshtml) di Internet Explorer.
La protezione di Outlook Express è stata migliorata senza La protezione di Outlook Express è stata migliorata senza alcun impatto negativo per gli utenti. alcun impatto negativo per gli utenti.
Maggiore protezione durante Maggiore protezione durante l'esplorazionel'esplorazione
Alcuni componenti aggiuntivi per Internet Alcuni componenti aggiuntivi per Internet Explorer (ActiveX) creano problemi: popupExplorer (ActiveX) creano problemi: popup
Nuovo Internet Explorer incluso in SP 2 Nuovo Internet Explorer incluso in SP 2 comprende: comprende: Gestione dei componenti aggiuntivi: permette di Gestione dei componenti aggiuntivi: permette di
visualizzare e controllare l'elenco dei componenti visualizzare e controllare l'elenco dei componenti aggiuntivi che possono essere caricati da IE. aggiuntivi che possono essere caricati da IE.
Rilevamento dei malfunzionamenti: consente invece di Rilevamento dei malfunzionamenti: consente invece di individuare i problemi di arresto anomalo di Internet individuare i problemi di arresto anomalo di Internet Explorer legati a un componente aggiuntivo, Explorer legati a un componente aggiuntivo, consentendone la disattivazione da parte dell'utente. consentendone la disattivazione da parte dell'utente.
Gli amministratori possono inoltre applicare a livello di Gli amministratori possono inoltre applicare a livello di organizzazione criteri relativi ai componenti aggiuntivi organizzazione criteri relativi ai componenti aggiuntivi consentiti.consentiti.
Maggiore protezione durante Maggiore protezione durante l'esplorazionel'esplorazione
Internet Explorer utilizza le seguenti informazioni Internet Explorer utilizza le seguenti informazioni per decidere come gestire il file:per decidere come gestire il file:
EstensioneEstensione Tipo di contenuto specificato nell'intestazione Tipo di contenuto specificato nell'intestazione
HTTP (tipo MIME)HTTP (tipo MIME) Disposizione del contenuto specificato Disposizione del contenuto specificato
nell'intestazione HTTPnell'intestazione HTTP Risultati dell'analisi (sniffing) MIMERisultati dell'analisi (sniffing) MIME Tutte le informazioni fornite dai server Web a Tutte le informazioni fornite dai server Web a
Internet Explorer devono essere coerenti. Internet Explorer devono essere coerenti. Tipo MIME è "text/plain“, ma l’analisi MIME indica Tipo MIME è "text/plain“, ma l’analisi MIME indica
che il file è un eseguibile = Internet Explorer che il file è un eseguibile = Internet Explorer rinomina il file salvandolo nella propria cache e rinomina il file salvandolo nella propria cache e modificandone l'estensione. modificandone l'estensione.
Maggiore protezione durante Maggiore protezione durante l'esplorazionel'esplorazione Internet Explorer utilizza AES per controllare che i file Internet Explorer utilizza AES per controllare che i file
scaricati siano sicuri scaricati siano sicuri e per visualizzare finestre di dialogo quando è necessaria e per visualizzare finestre di dialogo quando è necessaria l'autorizzazione dell'utente. l'autorizzazione dell'utente.
Le finestre di dialogo di AES danno ulteriori informazioni e Le finestre di dialogo di AES danno ulteriori informazioni e mostrano l'origine, il tipo e la dimensione del file scaricato, mostrano l'origine, il tipo e la dimensione del file scaricato,
AES indica l'autore del software eseguibile in fase di AES indica l'autore del software eseguibile in fase di installazioneinstallazione avviso particolarmente evidente nel caso di software avviso particolarmente evidente nel caso di software
proveniente da un'origine sconosciuta.proveniente da un'origine sconosciuta. Il nuovo gestore delle finestre popup blocca la Il nuovo gestore delle finestre popup blocca la
visualizzazione della maggior parte delle finestre popup visualizzazione della maggior parte delle finestre popup indesiderate.indesiderate.
Le finestre popup aperte quando l'utente finale fa clic su un Le finestre popup aperte quando l'utente finale fa clic su un collegamento non vengono invece bloccate.collegamento non vengono invece bloccate.
Miglioramento della protezione per i controlli ActiveX e altri Miglioramento della protezione per i controlli ActiveX e altri oggetti basati su script, la riduzione dei possibili buffer oggetti basati su script, la riduzione dei possibili buffer overrun e una maggiore protezione dalle finestre overrun e una maggiore protezione dalle finestre visualizzate sopra altre finestre e collocate fuori dallo visualizzate sopra altre finestre e collocate fuori dallo schermo.schermo.
Manutenzione ottimizzata dei Manutenzione ottimizzata dei computer: Windows Update 5computer: Windows Update 5 Windows XP Service Pack 2 usa una nuova Windows XP Service Pack 2 usa una nuova
versione del sito Web Windows Updateversione del sito Web Windows Update Opzioni semplificate per impostare l'aggiornamento Opzioni semplificate per impostare l'aggiornamento
automatico. automatico. Installazione rapida verificare se sono disponibili, Installazione rapida verificare se sono disponibili,
scaricare e installare solo gli aggiornamenti critici scaricare e installare solo gli aggiornamenti critici e della protezione effettivamente necessari per il e della protezione effettivamente necessari per il computer.computer.
Aggiornamenti automatici del Pannello di Aggiornamenti automatici del Pannello di controllo, posso scegliere di:controllo, posso scegliere di: scaricare automaticamente gli aggiornamenti senza scaricare automaticamente gli aggiornamenti senza
installarliinstallarli essere semplicemente informati della loro essere semplicemente informati della loro
disponibilità disponibilità gestirli manualmente.gestirli manualmente.
Windows Installer 3Windows Installer 3
Nuova versione del servizio Windows Nuova versione del servizio Windows Installer: Windows Installer 3.0Installer: Windows Installer 3.0
Funzioni avanzate di inventario che Funzioni avanzate di inventario che identificano quali componenti delle patch identificano quali componenti delle patch è necessario o meno scaricare, è necessario o meno scaricare,
Supporta la compressione delta (riduce Supporta la compressione delta (riduce la dimensione delle patch)la dimensione delle patch)
Offre un migliore supporto per la Offre un migliore supporto per la disinstallazione delle patch.disinstallazione delle patch.
AgendaAgenda IntroduzioneIntroduzione ProtezioneProtezione didi basebase deidei clientclient ProtezioneProtezione deidei clientclient concon ActiveActive DirectoryDirectory UtilizzoUtilizzo didi CriteriCriteri didi gruppogruppo perper proteggereproteggere ii
clientclient ProtezioneProtezione delledelle applicazioniapplicazioni ImpostazioniImpostazioni didi CriteriCriteri didi gruppogruppo localilocali perper
clientclient autonomiautonomi CriteriCriteri didi restrizione delrestrizione del softwaresoftware SoftwareSoftware antivirusantivirus FirewallFirewall clientclient
UtilizzoUtilizzo didi modellimodelli didi sicurezzasicurezza I modelli di sicurezza sono insiemi di impostazioni I modelli di sicurezza sono insiemi di impostazioni
di sicurezzadi sicurezza II modellimodelli delladella guidaguida WindowsWindows XPXP SecuritySecurity GuideGuide
includono:includono: DueDue modellimodelli didi dominiodominio cheche contengonocontengono impostazioniimpostazioni
perper tuttitutti ii computercomputer deldel dominiodominio DueDue modellimodelli cheche contengonocontengono impostazioniimpostazioni perper
ii computercomputer desktopdesktop DueDue modellimodelli cheche contengonocontengono impostazioniimpostazioni perper
ii computercomputer portatiliportatili OgniOgni modellomodello èè disponibiledisponibile inin unauna versioneversione
aziendaleaziendale ee inin unauna versioneversione adad altaalta protezioneprotezione Le impostazioni del modello di sicurezza possono Le impostazioni del modello di sicurezza possono
essere modificate, salvate e importate in un essere modificate, salvate e importate in un oggetto Criteri di gruppooggetto Criteri di gruppo
UtilizzoUtilizzo didi modellimodelli amministrativiamministrativi II modellimodelli amministrativiamministrativi contengonocontengono
impostazioniimpostazioni deldel RegistroRegistro didi sistemasistema cheche possonopossono essereessere applicateapplicate aa utentiutenti ee computercomputer II modellimodelli amministrativiamministrativi WindowsWindows XPXP SP1SP1
contengonocontengono oltreoltre 850850 impostazioniimpostazioni NellaNella guidaguida WindowsWindows XPXP SecuritySecurity GuideGuide sonosono
presentipresenti tretre tipitipi didi modellimodelli aggiuntiviaggiuntivi AltriAltri produttoriproduttori possonopossono fornirefornire modellimodelli
aggiuntiviaggiuntivi ÈÈ possibilepossibile importareimportare
modellimodelli aggiuntiviaggiuntivi durantedurante lala modificamodifica di undi un oggettooggetto CriteriCriteri didi gruppogruppo
ImpostazioniImpostazioni didi sicurezzasicurezza Impostazioni di sicurezza Spiegazione
Criteri per le password degli account Consente di impostare i criteri di password e di blocco account per il dominio
Criterio di blocco account Impedisce l'accesso dopo un determinato numero di tentativi di accesso non riusciti
Criteri controllo Consentono di specificare gli eventi di protezione da registrare
Registro eventi Consente di specificare le impostazioni per il mantenimento e le dimensioni massime del registro
File System Consente di specificare le autorizzazioni e le impostazioni di controllo per gli oggetti del file system
Criteri IPSec Consente di filtrare il traffico in ingresso e in uscita dal server per bloccare il traffico indesiderato
Impostazioni del Registro di sistema
Consente di specificare le autorizzazioni di accesso e le impostazioni di controllo per le chiavi del Registro di sistema
Gruppi con restrizioni Consente di specificare quali account sono membri del gruppo e di quali gruppi il gruppo è membro
Opzioni di sicurezza Consente di specificare una vasta gamma di impostazioni di sicurezza per utenti e computer
Criteri di restrizione del software Consente di impedire l'esecuzione di software dannoso sui computer client
Servizi di sistema Consente di specificare la modalità di avvio e le autorizzazioni per i servizi
Assegnazione diritti utente Consente di specificare quali utenti e quali gruppi possono eseguire azioni specifiche sui computer
OttoOtto principaliprincipali impostazioniimpostazioni didi sicurezzasicurezza deidei clientclient LeLe impostazioniimpostazioni didi sicurezzasicurezza deidei computercomputer clientclient
piùpiù comunementecomunemente modificatemodificate includono:includono: ÈÈ consentitaconsentita lala formattazioneformattazione ee l'espulsionel'espulsione deidei
supportisupporti rimovibilirimovibili NonNon consentireconsentire l'enumerazionel'enumerazione anonimaanonima deglidegli accountaccount
SAMSAM AttivaAttiva controllocontrollo ConsentiConsenti l'accessol'accesso liberolibero agliagli utentiutenti anonimianonimi LivelloLivello didi autenticazioneautenticazione didi LANLAN ManagerManager CriterioCriterio passwordpassword NonNon memorizzarememorizzare ilil valorevalore hashhash didi LANLAN ManagerManager alal
prossimoprossimo cambiocambio didi passwordpassword FirmaFirma SMBSMB
DimostrazioneDimostrazione 22UtilizzoUtilizzo didi CriteriCriteri didi gruppogruppo
VisualizzazioneVisualizzazione delledelle impostazioniimpostazioni didi sicurezzasicurezza
didi WindowsWindows XPXPVisualizzazioneVisualizzazione deidei modellimodelli amministrativiamministrativi
VisualizzazioneVisualizzazione deidei modellimodelli didi protezioneprotezione disponibilidisponibiliApplicazioneApplicazione deidei modellimodelli didi protezioneprotezione
ImplementazioneImplementazione deidei modellimodelli didi protezioneprotezione
ComeCome applicareapplicare modellimodelli didi sicurezza sicurezza ee modellimodelli amministrativiamministrativi
Dominio principale
Unità organizzativa reparto
Unità organizzativa controller di dominio
Unità organizzativa utenti XP protetti
Unità organizzativa Windows XP
Unità organizzativa desktop
Unità organizzativa portatili
Client aziendaleDomain.inf
Criteri di dominio
Criteri per utenti XP protetti
Client aziendaleDesktop.inf
Client aziendaleLaptop.inf
Criteri per computer portatili
Criteri per computer desktop
ProcedureProcedure consigliateconsigliate perper l'utilizzol'utilizzo didi CriteriCriteri didi gruppogruppo perper lala protezioneprotezione deidei clientclient
Utilizzare i modelli client aziendali come base e modificarli secondo le esigenze
Implementare criteri di account e controllo rigidi
Verificare a fondo i modelli prima di distribuirli
Utilizzare modelli amministrativi aggiuntivi
ImpostazioniImpostazioni didi CriteriCriteri didi gruppogruppo localilocali Quando i client non sono membri Quando i client non sono membri
di un dominio Active Directory, di un dominio Active Directory, utilizzare i Criteri di gruppo locali utilizzare i Criteri di gruppo locali per configurare i computerper configurare i computer I client Windows XP autonomi I client Windows XP autonomi
utilizzano una versione modificata dei utilizzano una versione modificata dei modelli di sicurezzamodelli di sicurezza
OgniOgni clientclient WindowsWindows XPXP Professional Professional utilizzautilizza unun oggettooggetto CriteriCriteri didi gruppogruppo localelocale e l'Editore l'Editor oggettioggetti CriteriCriteri didi gruppogruppo o scripto script perper applicarneapplicarne lele impostazioniimpostazioni
ModelliModelli didi sicurezzasicurezza predefinitipredefiniti SeSe ii clientclient sisi connettonoconnettono aa unun dominiodominio
WindowsWindows NTNT 4.0,4.0, utilizzare:utilizzare:
SeSe ii clientclient nonnon sisi connettonoconnettono aa unun dominiodominio WindowsWindows NTNT 4.0,4.0, utilizzareutilizzare ii modellimodelli didi sicurezzasicurezza perper clientclient autonomiautonomi
Client aziendale precedente
Client a protezione elevata precedente
Protezione di base per computer desktop
Legacy Enterprise Client - desktop.inf
Legacy High Security - desktop.inf
Protezione di base per computer portatili
Legacy Enterprise Client - laptop.inf
Legacy High Security - laptop.inf
AgendaAgenda IntroduzioneIntroduzione ProtezioneProtezione didi basebase deidei clientclient ProtezioneProtezione deidei clientclient concon ActiveActive DirectoryDirectory UtilizzoUtilizzo didi CriteriCriteri didi gruppogruppo perper proteggereproteggere ii
clientclient ProtezioneProtezione delledelle applicazioniapplicazioni ImpostazioniImpostazioni didi CriteriCriteri gruppogruppo localelocale perper
clientclient autonomiautonomi CriteriCriteri didi restrizione delrestrizione del softwaresoftware SoftwareSoftware antivirusantivirus FirewallFirewall clientclient
Definizione di criteri di restrizione Definizione di criteri di restrizione del softwaredel software
Meccanismo basato su criteri che consente Meccanismo basato su criteri che consente di identificare e controllare l’esecuzione del di identificare e controllare l’esecuzione del software su un computer clientsoftware su un computer client
Il livello di sicurezza predefinito presenta Il livello di sicurezza predefinito presenta due opzionidue opzioni:: SenzaSenza restrizioni:restrizioni: puòpuò essereessere eseguitoeseguito tuttotutto ilil
softwaresoftware trannetranne quelloquello specificamentespecificamente negatonegato NonNon consentito:consentito: puòpuò essereessere eseguitoeseguito solosolo ilil
softwaresoftware specificamentespecificamente consentitoconsentito
FunzionamentoFunzionamento delladella restrizionerestrizione del del softwaresoftware
Definire i criteri per il dominio mediante l'Editor Criteri di gruppo
Scaricare i criteri sul computer mediante Criteri di gruppo
Applicazione da parte del sistema operativo all'esecuzione del software
1
2
3
QuattroQuattro regoleregole perper l'identificazionel'identificazione didi softwaresoftware
RegolaRegola percorsopercorso ConfrontaConfronta ilil percorsopercorso deldel filefile dada
eseguireeseguire concon unun elencoelenco deidei percorsipercorsi consentiticonsentiti
DaDa utilizzareutilizzare quandoquando èè presentepresente unauna cartellacartella concon moltimolti filefile perper lala stessastessa applicazioneapplicazione
Essenziale quando i criteri di Essenziale quando i criteri di restrizione del software sono rigidirestrizione del software sono rigidi
RegolaRegola percorsopercorso ConfrontaConfronta ilil percorsopercorso deldel filefile dada
eseguireeseguire concon unun elencoelenco deidei percorsipercorsi consentiticonsentiti
DaDa utilizzareutilizzare quandoquando èè presentepresente unauna cartellacartella concon moltimolti filefile perper lala stessastessa applicazioneapplicazione
Essenziale quando i criteri di Essenziale quando i criteri di restrizione del software sono rigidirestrizione del software sono rigidi
RegolaRegola hashhash ConfrontaConfronta l'hashl'hash MD5MD5 oo SHA1SHA1 didi
unun filefile concon quelloquello cheche sisi tentatenta didi eseguireeseguire
DaDa utilizzareutilizzare quandoquando sisi desideradesidera consentireconsentire oo impedireimpedire l'esecuzionel'esecuzione didi unauna determinatadeterminata versioneversione didi unun filefile
RegolaRegola hashhash ConfrontaConfronta l'hashl'hash MD5MD5 oo SHA1SHA1 didi
unun filefile concon quelloquello cheche sisi tentatenta didi eseguireeseguire
DaDa utilizzareutilizzare quandoquando sisi desideradesidera consentireconsentire oo impedireimpedire l'esecuzionel'esecuzione didi unauna determinatadeterminata versioneversione didi unun filefile
RegolaRegola certificatocertificato VerificaVerifica lala firmafirma digitaledigitale didi
un'applicazioneun'applicazione (ad(ad esempioesempio Authenticode)Authenticode)
DaDa utilizzareutilizzare quandoquando sisi desideradesidera limitarelimitare lele applicazioniapplicazioni win32win32 ee ilil contenutocontenuto ActiveXActiveX
RegolaRegola certificatocertificato VerificaVerifica lala firmafirma digitaledigitale didi
un'applicazioneun'applicazione (ad(ad esempioesempio Authenticode)Authenticode)
DaDa utilizzareutilizzare quandoquando sisi desideradesidera limitarelimitare lele applicazioniapplicazioni win32win32 ee ilil contenutocontenuto ActiveXActiveX
RegolaRegola areaarea InternetInternet ControllaControlla lele modalitàmodalità concon cuicui
èè possibilepossibile accedereaccedere allealle areearee InternetInternet
Da utilizzare in ambienti ad elevata Da utilizzare in ambienti ad elevata sicurezza per controllare l'accesso sicurezza per controllare l'accesso ad applicazioni Webad applicazioni Web
RegolaRegola areaarea InternetInternet ControllaControlla lele modalitàmodalità concon cuicui
èè possibilepossibile accedereaccedere allealle areearee InternetInternet
Da utilizzare in ambienti ad elevata Da utilizzare in ambienti ad elevata sicurezza per controllare l'accesso sicurezza per controllare l'accesso ad applicazioni Webad applicazioni Web
DimostrazioneDimostrazione 44ApplicazioneApplicazione didi unun criteriocriterio didi
restrizione del softwarerestrizione del software
CreazioneCreazione didi unun criteriocriterio didi restrizione restrizione deldel softwaresoftware
RiavvioRiavvio delladella macchinamacchina virtualevirtualeImpostazioneImpostazione delladella prioritàpriorità dell'amministratoredell'amministratore
sullesulle impostazioniimpostazioniVerificaVerifica deidei critericriteri didi restrizione delrestrizione del softwaresoftware
ComeCome applicareapplicare le restrizioni del le restrizioni del softwaresoftware1.1. AprireAprire l'oggettol'oggetto CriteriCriteri didi gruppogruppo perper l'unitàl'unità
organizzativaorganizzativa inin cuicui sisi desideradesidera applicareapplicare ilil criteriocriterio didi restrizionerestrizione softwaresoftware
2.2. SpostarsiSpostarsi sulsul nodonodo ImpostazioniImpostazioni computer/Impostazionicomputer/Impostazioni didi Windows/ImpostazioniWindows/Impostazioni didi sicurezzasicurezza
3.3. FareFare clicclic concon ilil pulsantepulsante destrodestro deldel mousemouse susu Criteri di restrizione del softwareCriteri di restrizione del software ee sceglierescegliere CreaCrea nuovinuovi critericriteri
4.4. ConfigurareConfigurare lele regoleregole Hash,Hash, Certificato,Certificato, PercorsoPercorso ee AreaArea InternetInternet inin basebase allealle esigenzeesigenze dell'organizzazionedell'organizzazione
Creare un piano di ripristino
Utilizzare un oggetto Criteri di gruppo separato per implementare le restrizioni del software
Utilizzare i criteri di restrizione del software con NTFS per disporre di più livelli di difesa
Non collegare mai a un altro dominio
Verificare accuratamente le nuove impostazioni dei criteri
Procedure consigliate per Procedure consigliate per l'applicazione di criteri di restrizione l'applicazione di criteri di restrizione del softwaredel software
© 2003 Microsoft Corporation. All rights reserved.© 2003 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.