In aulaPiergiorgio MalusardiIT Pro [email protected]://blogs.technet.com/italy
| [email protected] || [email protected] |
Agenda
• Introduzione• User Account Control• Parental Controls• Windows Firewall• Windows Meeting Space
| [email protected] || [email protected] |
Introduzione
Strumenti semplici, leggeri che consentano collaborazione
faccia-a-faccia e su intranet in ogni momento e in ogni luogo
USER ACCOUNT CONTROL
| [email protected] || [email protected] |
Obbiettivi di User Account Control
• Rendere il sistema più usabile per gli utenti standard• Tutti gli utenti sono standard per default anche se fanno
logon come amministratori• Gli amministratori usano i pieni privilegi solo per
operazioni/applicazioni amministrative• Utenti devono fornire un consenso esplicito per
l’elevazione dei privilegi• Alta compatibilità applicativa
| [email protected] || [email protected] |
Come funziona User Account ControlAmministratore in
Admin Aproval ModeUtente standard
Token di Admin con
accesso completo
Token di utente con
accesso limitato
Explorer
Token di utente con
accesso limitato
Explorer
| [email protected] || [email protected] |
Gli utenti standard possono fare più cose
• Modifica della time zone• Configurazione di connessioni wireless (WEP/WPA) sicure• Modifica delle impostazioni di power management• Creazione e configurazione di VPN• Aggiunta di device che hanno già driver installati o
ammessi dalle policy• Lo scudo indica in modo chiaro e consistente cosa non
può fare un utente normale
| [email protected] || [email protected] |
Effetti sciaCompatibilità
• Molte applicazioni erano disegnate per Win9x– Tutti gli utenti erano amministratori
• Molte applicazioni non sono mai state provate con utenti standard– Sia di Microsoft che di terze parti
• Molte applicazioni con errori hanno gli stessi tipi di problemi generali– Accesso ai file condivisi– Accesso a chiavi di registry condivise
| [email protected] || [email protected] |
Effetti sciaCompatibilità
• La soluzione: virtualizzazione e redirezione– Scritture:
gli accessi a file e chiavi di registry “per-macchina” sono rediretti verso analoghe locazioni “per-utente”
– Letture: prima sono testate le locazioni per-utente e quindi quelle per-macchina
– Il default è “on” per gli utenti standard e “off” per gli amministratori
| [email protected] || [email protected] |
Locazioni delle redirezioni dei dati
• Molte applicazioni legacy scrivono in:– HLKM\Software – %SystemDrive%\Program Files, ecc
• La redirezione rimuove la necessità di elevazione dei privilegi– Scritture su HKLM vanno in HKU• HKU | <SID-utente>_classes | VirtualStore
– Scritture nelle directory di sistema redirette su locazioni per-utente• %localappdata%\virtualstore
PARENTAL CONTROL(PC NON IN DOMINIO)
| [email protected] || [email protected] |
Parental Controls
• Possibilità di controllare:– Giochi usabili– Modalità di navigazione su Internet– Modalità d’uso dei programmi di istant messaging– Quando può essere usato il computer
| [email protected] || [email protected] |
Parental Controls
WINDOWS FIREWALL
| [email protected] || [email protected] |
Architettura di Windows Filtering PlatformFirewall di Vista
Firewall di 3ze parti o altra applicazione di filtro
API di Vista
Base Filtering EngineUserKernel
Generic Filter Engine
Antivirus di 3ze parti
Parental Control di 3ze
parti
IDS di 3ze parti
NAT di 3ze parti
Mod
uli
di ca
llou
t
Livello di trasporto TDI e
WinSock
Livello di stream
Livello di trasporto TCP/UDP
Livello di rete
Livello NDIS
ALE
Livello di forward
Nuovo stack del protocollo TCP/IP
Ela
bora
zione d
ei pacc
hett
i TC
P/IP
| [email protected] || [email protected] |
Direzione di filtro
Ingresso Uscita
Default:Blocca molto
Poche eccezioni
Regole di allow:programmi, servizi
utenti, computerprotocolli, porte
Default:Consente connessioni interattiveRestringe i servizi
Regole di blocco:programmi, serviziutenti, computerprotocolli, porte
Confronto di funzioni
Windows XP SP2 Windows Vista
Direzione Ingresso Ingresso e uscita
Azione di default Blocca Configurabile per direzione
Tipi di pacchetto TCP, UDP, alcuni ICMP Tutti
Tipi di regole Applicazioni, porte globali, tipi ICMP
Condizioni multiple (da quintuple a metadati Ipsec)
Azione delle regole
Blocca Blocca, consente, bypassCon logica di merge delle regole
UI e tool Pannello di controllo, netsh Pannello di controllo, netsh, MMC
API COM pubbliche, C private Più COM per esporre regole, più C per esporre funzionalità
Gestione remota nessuna Via interfaccia RPC “blindata”
Group policy File ADM MMC, netsh
Terminologia Eccezione, profili Regole, categorie=profili
| [email protected] || [email protected] |
Configurazione
• Da Pannello di Controllo: simile a Windows XP– Poche modifiche di interfaccia
• Nuovo snap-in per MMC per tutte le funzioni extra– Snap-in “Windows Firewall with Advanced Security”– Console predefinita in Administrative Tools– Può assegnare impostazioni a computer remoti– Integra e semplifica le impostazioni di IPsec
• Nuovo insieme di comandi in:netsh advfirewall
Tipi di regole
Programma Consente/nega il traffico per uno specifico programma
Porta Consente/nega il traffico per una specifica porta TCP o UDP o per una lista di porte
Predefinite Insieme di regole che consento a Windows di funzionare in rete (es. Condivisione di stampanti/file, assistenza remota, amministrazione remota di servizi, ...)
Personalizzate Tutte le condizioni possibili
Fusione e valutazione delle regoleMaggiore
Minore
Restrizione dei servizi
Restringono le connessioni che i servizi possono stabilire; I servizi di sistema sono sempre configurati in modo appropriato
Regole di connessione
Restringono le connessioni per un particolare computer; usano IPsec per richiedere autenticazione e autorizzazione
Bypass autenticati
Consentono a specifici computer autenticati di eludere altre regole
Regole di blocco
Blocco esplicito di traffico in ingresso/uscita
Regole di consenso
Consenso esplicito per traffico in ingresso/uscita
Regole di default
Comportamento di default per una connessione
Eccezioni più flessibili
Account utente/computer e gruppi di Active Directory
Indirizzi IP sorgenti e destinazione (individuale o range)
Porte TCP/UDP sorgente e destinazione
Lista di porte separate da virgole (non range)
Numero di protocollo IP
Tipo di interfacce (wired, wireless, VPN/RAS)
Codici e tipi ICMP
Servizi (usate dalla profilazione dei servizi per limitare gli accessi)
Categorie di reti
• Network Location Awareness (NLA) determina le modifiche alla rete– Identifica le caratteristiche, assegna un GUID
• Il servizio network profile (NPS) crea un profilo della connessione– Interfacce, DC, macchina autenticata, MAC del gateway, …
• NPS notifica al firewall quando NLA avverte delle modifiche– Il firewall cambia categoria in 200 ms
• Se non è riconosciuto un dominio, l’utente deve specificare se il profilo è privato o pubblico– Si deve essere un amministratore locale per definire una rete come privata
Dominio Quando un computer è in dominio e connesso al dominio. Selezionata automaticamente
Privata Quando un computer è connesso ad una rete privata definita
Pubblica Tutte le altre reti
| [email protected] || [email protected] |
Cosa succede con più interfacce?Esamina tutte
le reti connesse
Interfacciaconnessa a rete
pubblica?
Profilo è“pubblico”
Interfacciaconnessa a rete
privata?
Profilo è“privato”
Interfacceautenticate da un
DC?
Profilo è“dominio”
Si
No
Si
No
Si
No
| [email protected] || [email protected] |
IPSec:iIntegrato con il firewall
• Elimina confusione e sovrapposizione di regole• Tutte le regole di firewall sono IPsec aware
“Consenti all’applicazione foo di ricevere traffico sulla porta X solo se è autenticata (e opzionalmente criptata) da IPsec”
“Consenti al servizio foo di ricevere traffico da un computer/utente remoto solo se identificati da IKE”
| [email protected] || [email protected] |
Policy semplificate
In chiaro
Negozia IPsecIn chiaro
Solo in chiaro
Policy IPsec semplificate
In chiaroNegozia IPsec
Policy IPsec
Non IPsec
Negozia IPsecSicurezza con IPsec
Nuovi algoritmi di crittogrfici
Crittografia AES-128AES-192AES-256
Scambio di chiavi
P-256 (DH group 19 elliptic curve)P-384 (DH group 20 elliptic curve)
WINDOWS MEETING SPACE
| [email protected] || [email protected] |
Windows Meeting Space
• Risolve alcuni problemi di collaborazione– Collaborare in modo sicuro con altre persone– Unirsi facilmente a sessioni vicine o invitare persone vicine– Progettare e collaborare insieme su ogni applicazione– Condividere e modificare insieme e velocemente un file– Lavorare insieme quando non è disponibile una rete
• Facile da distribuire in azienda– Sicurezza forte inserita nella soluzione– Poco o nulla richiesto per configurare la rete– Controllabile via Group Policy
• Piattaforma potente su cui è possibile sviluppare
| [email protected] || [email protected] |
Architettura
Windows Meeting Space
Stack di rete (Wireless, TCP/IP, etc.)
Terminal ServicesFile Replication Services (FRS)
P2P Collaboration Services
| [email protected] || [email protected] |
Come funziona
Canale metadati
Canale file
Canale streaming
Sess
ione
pa
ssw
ord
PasswordCanale File
Metadati per file
Token dello streaming
| [email protected] || [email protected] |
Sicurezza della sessione
• Fornita usando protocolli standard• La password è usata come radice della sicurezza• I canali Metadata, File e Streaming sono criptati– Uso di protocolli di sicurezza standard
• Uso di WEP per connessioni basate su password alla rete wireless ad-hoc
| [email protected] || [email protected] |
Gestione via Group Policy
• Disponibilità della soluzione• Disponibilità d’uso dell’infrastruttura Peer-to-
Peer• Auditing di eventi specifici• Disponibilità di condivisione dei File sharing e
reti wireless ad-hoc• Possibilità di controllare la complessità delle
password
Rispettate le policy degli altri componenti del sistema
| [email protected] || [email protected] |
Richieste di rete
• La tecnologia si basa su IPv6• Sessioni su singola subnet– Funzionano su LAN IPv4 – Non sono richiesti apparati di rete IPv6
• Sessioni su subnet multiple– È necessaria una rete con apparati IPv6 o un server
ISATAP
| [email protected] || [email protected] |
Risorse utili
• Windows Vistahttp://www.microsoft.com/windowsvistahttp://www.microsoft.com/italy/technet/windowsvista/intro.mspx
• P2Phttp://www.microsoft.com/p2p
• IPv6:http://www.microsoft.com/ipv6
| [email protected] || [email protected] |
Per altre informazioni…
“Windows Vista ”
http://www.live.com
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation
as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES,
EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.