windows xp sp2 maggiore sicurezza per i client windows xp nicola pepe senior consultant pulsar it
TRANSCRIPT
Windows XP SP2Windows XP SP2
maggiore sicurezza per i client Windows XPmaggiore sicurezza per i client Windows XP
Nicola PepeNicola PepeSenior Consultant Pulsar ITSenior Consultant Pulsar IT
Windows XP SP2Windows XP SP2
Perchè?Perchè? Patch management troppo complessoPatch management troppo complesso I tempi per l’exploit sono sempre più I tempi per l’exploit sono sempre più
rapidirapidi Gli exploit sono sempre più sofisticatiGli exploit sono sempre più sofisticati Necessario modificare l’approcioNecessario modificare l’approcio
Come?Come? Uno “scudo” su ogni PCUno “scudo” su ogni PC Tecnologie di protezione Tecnologie di protezione proattiveproattive anzichè reattive anzichè reattive Un passo significativo verso piattaforme, applicazioni e dispositivi più Un passo significativo verso piattaforme, applicazioni e dispositivi più
sicurisicuri Obiettivo: con SP2, 7 vulnerabilità su 10 sarebbero state mitigateObiettivo: con SP2, 7 vulnerabilità su 10 sarebbero state mitigate
331
180151
25 18
0
100
200
300
Giorni trascorsi tra il rilascio Giorni trascorsi tra il rilascio della patch e l’exploitdella patch e l’exploit
Una sicurezza più affidabile, Una sicurezza più affidabile, gestibile, evidentegestibile, evidente Più affidabile e robusto Più affidabile e robusto
Enhanced Network Protection – Windows FirewallEnhanced Network Protection – Windows Firewall Improved Memory Protection – Data Execution PreventionImproved Memory Protection – Data Execution Prevention Browsing più sicuro – Maggior controlloBrowsing più sicuro – Maggior controllo Email & Instant Messaging Email & Instant Messaging più sicure più sicure – gestione allegati– gestione allegati
Maggiore gestibilitàMaggiore gestibilità Windows Firewall configurabile via AD Group Policy o cmd Windows Firewall configurabile via AD Group Policy o cmd
line scriptingline scripting Windows Security Center amministrabile centralmente da Windows Security Center amministrabile centralmente da
Active Directory e Group PolicyActive Directory e Group Policy
Evidenza migliorataEvidenza migliorata Windows Firewall on by defaultWindows Firewall on by default Internet Explorer enhancementsInternet Explorer enhancements Windows Security CenterWindows Security Center Security features on by defaultSecurity features on by default
Windows XP SP2 OverviewWindows XP SP2 Overview
MemoriaMemoriaProtezione a livello Protezione a livello
di sistema operativo di basedi sistema operativo di base
ReteRete Protezione del sistema daProtezione del sistema daattacchi sulla reteattacchi sulla rete
AllegatiAllegatiEmail e Email e
Instant Messaging più sicuriInstant Messaging più sicuri
WebWeb Accesso a Internet più sicuroAccesso a Internet più sicuroper le attività più comuni per le attività più comuni
Windows Firewall: Windows Firewall: l’evoluzione dell’Internet Connection Firewalll’evoluzione dell’Internet Connection Firewall
BeneficiMaggiore protezione per default dagli attacchi sulla rete
Focus su utenti roaming, small business, utenti home
Di cosa si trattaWindows Firewall attivo per default
Maggiore configurabilità
Group policy, linea di comando, setup unattended
Migliore interfaccia utente
Protezione anche in fase di avvio
Supporto profili multipli
PC nel Dominio (Domain) / PC stand-alone (Standard/Workgroup)
Abilita file sharing su reti home con Windows Firewall attivo
Impatto sulla compatibilitàAlcune applicazioni potrebbero necessitare di essere configurate
Porte chiuse by-default, aperte dinamicamente dal sistema
MemoriaMemoria
ReteRete
AllegatiAllegati
WebWeb
Configuration Entry PointsConfiguration Entry Points
Network and Internet ConnectionsNetwork and Internet Connections
Control PanelControl Panel Security CenterSecurity Center
Windows FirewallWindows Firewall
Configuration Entry Points Configuration Entry Points continued…continued…Network Connections folderNetwork Connections folder
Network connection property sheetNetwork connection property sheet
Windows FirewallWindows Firewall
Windows Firewall Control PanelWindows Firewall Control PanelWindows FirewallWindows Firewall
Windows Firewall Control PanelWindows Firewall Control PanelWindows FirewallWindows Firewall
Adding exceptionsAdding exceptionsWindows FirewallWindows Firewall
Compatibilità applicazioniCompatibilità applicazioni
Test eseguiti su centinaia di applicazioniTest eseguiti su centinaia di applicazioni Le applicazioni client funzionano per defaultLe applicazioni client funzionano per default
Web browserWeb browser Client EmailClient Email Client IM (text messaging)Client IM (text messaging) Giochi multiplayer Client-ServerGiochi multiplayer Client-Server
Le applicazioni che “trasformano” un PC in un server non Le applicazioni che “trasformano” un PC in un server non funzionano per defaultfunzionano per default Giochi multiplayer Peer-to-PeerGiochi multiplayer Peer-to-Peer Amministrazione remotaAmministrazione remota Client IM (voce/video, trasferimento file)Client IM (voce/video, trasferimento file) Le applicazioni che necessitano di essere aggiunte Le applicazioni che necessitano di essere aggiunte
manualmente alle eccezioni saranno elencate al sito manualmente alle eccezioni saranno elencate al sito http://www.microsoft.com/security/protect/ports.asphttp://www.microsoft.com/security/protect/ports.asp
Windows FirewallWindows Firewall
Windows Firewall Notification Windows Firewall Notification DialogDialog
Windows FirewallWindows Firewall
Security Center (3 aree: firewall, patching, Security Center (3 aree: firewall, patching, antivirus)antivirus)
Windows FirewallWindows Firewall
Allegati EmailAllegati Email
BeneficiMeccanismo per determinare gli allegati non sicuri
Interfaccia consistente per definire l’affidabilità di un allegato
Di cosa si trattaUna nuova API pubblica per gestire gli allegati in modo più sicuro (Attachment Execution Services)
Per default gli allegati meno sicuri sono “no trust”
Outlook Express, Windows Messenger, Internet Explorer modificati per usare le nuove API
Anteprima del messaggio più sicura
Impatto sulla compatibilitàUtilizzare le nuove API nelle proprie applicazioni per una migliore user experience, e per una migliore determinazione delle implicazioni relative alla sicurezza del contenuto
MemoriaMemoria
ReteRete
AllegatiAllegati
WebWeb
Email attach in Outlook ExpressEmail attach in Outlook Express
Web BrowsingWeb Browsing
BeneficiAccesso al web più sicuro
Di cosa si trattaMaggiore protezione dell’area locale e della intranet
Notifiche migliorate per l’esecuzione e installazione di applicazioni e controlli ActiveX – Limitazione dello spoofing
I file HTML sulla macchina locale non sono in grado di eseguire script verso controlli ActiveX non sicuri, o accedere a dati attraverso il dominio
Blocco di controlli ActiveX non firmati
I file con errato o mancante header mime o estensione vengono bloccati
Le finestre di pop-up vengono bloccate, possono essere attivate su richiesta dell’utente
Impatto sulla compatibilitàLe applicazioni web dovrebbero rispecchiare i default relativi alla sicurezza
MemoriaMemoria
ReteRete
AllegatiAllegati
WebWeb
Pop-up ManagerPop-up Manager
ProblemaProblema Gli utenti non possono controllare i pop-up Gli utenti non possono controllare i pop-up
sul proprio pcsul proprio pc Alcuni exploit confondono gli utenti con Alcuni exploit confondono gli utenti con
pop-up e finestre di downloadpop-up e finestre di download
SoluzioneSoluzione Permette agli utenti di bloccare i pop-upPermette agli utenti di bloccare i pop-up
Applicato solo a Internet Explorer – Applicato solo a Internet Explorer – attivo per defaultattivo per default
Pop-up visualizzato su richiesta dell’utentePop-up visualizzato su richiesta dell’utente
CompatibilitàCompatibilità L’utente puuò decidere di aprire un pop-upL’utente puuò decidere di aprire un pop-up Gestione di Gestione di allow-listallow-list di siti di siti Possibile disabilitare la funzionalitàPossibile disabilitare la funzionalità
WebWeb
Blocco del download automaticoBlocco del download automatico
ProblemaProblema Installazione accidentale di Installazione accidentale di
download indesideratidownload indesiderati
Soluzione Soluzione Gli ActiveX ed exe non avviati Gli ActiveX ed exe non avviati
dall’utente sono bloccati – finchè dall’utente sono bloccati – finchè l’utente non fa clic sulla barra l’utente non fa clic sulla barra informazioniinformazioni Solo per la Zona InternetSolo per la Zona Internet Applicato solo a IEApplicato solo a IE
Gli utenti possono bloccare Gli utenti possono bloccare publisher considerati non publisher considerati non affidabiliaffidabili
Compatibilità Compatibilità applicazioniapplicazioni Sollecitare l’utente per fare clic Sollecitare l’utente per fare clic
sulla barra informazionisulla barra informazioni Gestibile attraverso policyGestibile attraverso policy
Prompt ActiveX/Download aggiornato per una maggiore consistenza
Prompt ActiveX/Download nascosto finchè l’utente non fa clic sulla barra informazioni
Users can block publishers for ActiveX
WebWeb
Gestione Add-on e rilevazione blocchiGestione Add-on e rilevazione blocchi
ProblemaProblema L’utente ha add-on indesiderati L’utente ha add-on indesiderati
in esecuzione nel browserin esecuzione nel browser
SoluzioneSoluzione La funzionalità del pannello di La funzionalità del pannello di
controllo Gestione Add-on controllo Gestione Add-on permette di disabilitare permette di disabilitare controlli indesideraticontrolli indesiderati
IE determina quali add-on IE determina quali add-on hanno causato il crash e ne hanno causato il crash e ne informa l’utenteinforma l’utente
WebWeb
Pop-up ManagerPop-up Manager
Hardware Execution ProtectionHardware Execution Protection
Benefici
Riduce l’esposizione ad alcuni buffer overrun
Di cosa si tratta
Sfrutta le caratteristiche dei processori a 64-bit e recenti
32-bit per permettere la sola esecuzione di codice
residente in zone di memoria marcate come eseguibili
Riduce la sfruttabilità dei buffer overrun
Abilitato per default
Impatto sulla compatibilità
Assicurarsi che la propria applicazione non esegua
codice in segmenti di datiMemoriaMemoria
ReteRete
AllegatiAllegati
WebWeb
End-user ExperienceEnd-user Experience
Application termination (crash) Application termination (crash) experienceexperience
MemoryMemory
Ulteriori miglioramenti in Ulteriori miglioramenti in Windows XP SP2Windows XP SP2 Include Windows Media 9 Series Player Include Windows Media 9 Series Player
Migliori prestazioni e maggiore sicurezza rispetto alle versioni Migliori prestazioni e maggiore sicurezza rispetto alle versioni precedentiprecedenti
DirectX 9.0bDirectX 9.0b Miglioramenti di carattere generaleMiglioramenti di carattere generale
BluetoothBluetooth Include il supporto per Bluetooth 2.0Include il supporto per Bluetooth 2.0
Client unificato Windows Local Area Network (LAN)Client unificato Windows Local Area Network (LAN) Per l’accesso wireless LAN funzionante con un’ampia gamma Per l’accesso wireless LAN funzionante con un’ampia gamma
di hotspot wireless, senza la necessità di installare client di di hotspot wireless, senza la necessità di installare client di terze partiterze parti
Client SUS 2.0 (WUS)Client SUS 2.0 (WUS) Client aggiornato per Software Update Services 2.0, che Client aggiornato per Software Update Services 2.0, che
utilizza un nuovo motore per il reporting dello stato delle fix di utilizza un nuovo motore per il reporting dello stato delle fix di sicurezza sul pcsicurezza sul pc
Automatic updateAutomatic update SP2 rende più semplice l’utilizzo degli aggiornamenti SP2 rende più semplice l’utilizzo degli aggiornamenti
automatici per le fix critiche di sicurezzaautomatici per le fix critiche di sicurezza
Wireless LANWireless LAN BluetoothBluetooth
Automatic UpdatesAutomatic Updates
Mantiene i sistemi aggiornati Mantiene i sistemi aggiornati automaticamenteautomaticamente
““Secure by default” design goalSecure by default” design goal L’infrastruttura client è la stessa usata per il L’infrastruttura client è la stessa usata per il
Windows UpdateWindows Update Controllabile via policyControllabile via policy Supporta Microsoft Updates (Windows, Supporta Microsoft Updates (Windows,
Office, SQL, Exchange, etc.)Office, SQL, Exchange, etc.) Download optimizationsDownload optimizations
Aggiornamenti di grandi dimensioni (es: Service Pack, Windows Aggiornamenti di grandi dimensioni (es: Service Pack, Windows patches, ...)patches, ...)
Ottimizzato per Windows UpdateOttimizzato per Windows Update
Automatic Updates in WindowsAutomatic Updates in Windows
Automatic UpdatesAutomatic Updates
System Tray Icon:
Automatic Updates:Automatic Updates:Control PanelControl Panel
Automatic UpdatesAutomatic UpdatesSchedulatiSchedulati
Automaticamente installa gli aggiornamenti all’ora Automaticamente installa gli aggiornamenti all’ora predefinitapredefinita Installazione immediata degli aggiornamenti che non Installazione immediata degli aggiornamenti che non
impattano sull’operativitàimpattano sull’operatività Notifica agli utenti eventuali necessità di riavvioNotifica agli utenti eventuali necessità di riavvio
Se il PC è spento all’ora predefinita, gli aggiornamenti Se il PC è spento all’ora predefinita, gli aggiornamenti vengono installati all’avviovengono installati all’avvio
Automatic Updates:Automatic Updates:Scenario aziendale (AD)Scenario aziendale (AD) Registry-based Policy supportRegistry-based Policy support
Configure AutoUpdate, Specify Intranet WU server, No auto Configure AutoUpdate, Specify Intranet WU server, No auto restart, Reschedule wait timerestart, Reschedule wait time
Require AutoUpdateRequire AutoUpdate Detection FrequencyDetection Frequency Reboot timeout and Reboot interval Reboot timeout and Reboot interval Support for non-administratorsSupport for non-administrators
Intranet WU Service (SUS/WUS) compatibleIntranet WU Service (SUS/WUS) compatible Client compatible with V1 and V2 serversClient compatible with V1 and V2 servers Deadline install, uninstall support, and Scan onlyDeadline install, uninstall support, and Scan only Update relationships: supersedence, prerequisiteUpdate relationships: supersedence, prerequisite Client self-updateClient self-update Client APIsClient APIs
Windows UpdateWindows Update
Windows UpdateWindows Update
Windows UpdateWindows Update
Installazione allo spegnimentoInstallazione allo spegnimento
Sfrutta l’operazione di spegnimento del PC per mantenerlo Sfrutta l’operazione di spegnimento del PC per mantenerlo aggiornatoaggiornato
Obiettivo: “Secure by default”Obiettivo: “Secure by default”
Controllabile da policyControllabile da policy
Security Center & Automatic UpdatesSecurity Center & Automatic Updates Security Center (differenti modalità operative: Security Center (differenti modalità operative:
dominio, peer, singoli desktop)dominio, peer, singoli desktop) Integrazione con SUS/WUS e Active DirectoryIntegrazione con SUS/WUS e Active Directory
Considerazioni ApplicativeConsiderazioni Applicative La fase di pre-deployment è critica per il supporto delle La fase di pre-deployment è critica per il supporto delle
applicazioni (test before!)applicazioni (test before!) Windows Firewall blocca tutte le connessioni entranti (tipo Windows Firewall blocca tutte le connessioni entranti (tipo
“server”)“server”) Peer-to-peer (MSN Messenger), some “agents” (e.g., backup)Peer-to-peer (MSN Messenger), some “agents” (e.g., backup) Solution: Group policy settingsSolution: Group policy settings
Internet Explorer decisamente più controllatoInternet Explorer decisamente più controllato Local Machine Zone LockdownLocal Machine Zone Lockdown più attenzione agli eseguibili (restricted)più attenzione agli eseguibili (restricted) Resizing, repositioning windows forbidden Resizing, repositioning windows forbidden Solution Solution
evidenza nell’evidenza nell’Information barInformation bar quando IE blocca contenuti quando IE blocca contenuti Registry keysRegistry keys
COM/RPC servers devono usare connessioni autenticateCOM/RPC servers devono usare connessioni autenticate Solution: Registry keys oppure intervenire sull’applicazioneSolution: Registry keys oppure intervenire sull’applicazione
Windows XP Service Pack 2Windows XP Service Pack 2in sintesiin sintesi
Strong Strong SecuritySecuritySettingsSettings
Security Tools:Security Tools:Manageability Manageability
& Control& Control
ImprovedImproved& Safer User & Safer User ExperiencesExperiences
Improved FirewallImproved Firewall New Internet Explorer with Security New Internet Explorer with Security
ImprovementsImprovements Safe Attachment execution ServiceSafe Attachment execution Service
Windows Security CenterWindows Security Center Pop-up Blocker for IEPop-up Blocker for IE Firewall Centralized ManagementFirewall Centralized Management
Smartkey Wireless SupportSmartkey Wireless Support Improved Wireless LAN supportImproved Wireless LAN support Bluetooth support built-inBluetooth support built-in WM Player 9 Series and Movie Maker 2.1WM Player 9 Series and Movie Maker 2.1
Come prepararsiCome prepararsi
Documentazione tecnica su XP sp2 Documentazione tecnica su XP sp2 disponibile in:disponibile in:Windows XP Service Pack 2Windows XP Service Pack 2Resources for IT ProfessionalsResources for IT Professionalshttp://www.microsoft.com/technet/prodtechnol/winxppro/http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/winxpsp2.mspxmaintain/winxpsp2.mspx
Preview scaricabile gratuitamente dal sito Preview scaricabile gratuitamente dal sito Microsoft per installazioni e test “pilota”Microsoft per installazioni e test “pilota”
Windows XP SP2Windows XP SP2
In distribuzione a settembreIn distribuzione a settembre Download gratuitoDownload gratuito Ordinabile su CDOrdinabile su CD Distribuita con diverse modalità (download, Distribuita con diverse modalità (download,
eventi, riviste)eventi, riviste)
Italiano e ingleseItaliano e inglese www.microsoft.com/windowsxp/sp2www.microsoft.com/windowsxp/sp2
Questions?Questions?
© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.