In aula Piergiorgio Malusardi IT Pro Evangelist [email protected] .

In aulaPiergiorgio MalusardiIT Pro [email protected]://blogs.technet.com/italy

| [email protected] || [email protected] |

Agenda

• Introduzione• User Account Control• Parental Controls• Windows Firewall• Windows Meeting Space


Introduzione

Strumenti semplici, leggeri che consentano collaborazione

faccia-a-faccia e su intranet in ogni momento e in ogni luogo

USER ACCOUNT CONTROL


Obbiettivi di User Account Control

• Rendere il sistema più usabile per gli utenti standard• Tutti gli utenti sono standard per default anche se fanno

logon come amministratori• Gli amministratori usano i pieni privilegi solo per

operazioni/applicazioni amministrative• Utenti devono fornire un consenso esplicito per

l’elevazione dei privilegi• Alta compatibilità applicativa


Come funziona User Account ControlAmministratore in

Admin Aproval ModeUtente standard

Token di Admin con

accesso completo

Token di utente con

accesso limitato

Explorer

Token di utente con

accesso limitato

Explorer


Gli utenti standard possono fare più cose

• Modifica della time zone• Configurazione di connessioni wireless (WEP/WPA) sicure• Modifica delle impostazioni di power management• Creazione e configurazione di VPN• Aggiunta di device che hanno già driver installati o

ammessi dalle policy• Lo scudo indica in modo chiaro e consistente cosa non

può fare un utente normale


Effetti sciaCompatibilità

• Molte applicazioni erano disegnate per Win9x– Tutti gli utenti erano amministratori

• Molte applicazioni non sono mai state provate con utenti standard– Sia di Microsoft che di terze parti

• Molte applicazioni con errori hanno gli stessi tipi di problemi generali– Accesso ai file condivisi– Accesso a chiavi di registry condivise


Effetti sciaCompatibilità

• La soluzione: virtualizzazione e redirezione– Scritture:

gli accessi a file e chiavi di registry “per-macchina” sono rediretti verso analoghe locazioni “per-utente”

– Letture: prima sono testate le locazioni per-utente e quindi quelle per-macchina

– Il default è “on” per gli utenti standard e “off” per gli amministratori


Locazioni delle redirezioni dei dati

• Molte applicazioni legacy scrivono in:– HLKM\Software – %SystemDrive%\Program Files, ecc

• La redirezione rimuove la necessità di elevazione dei privilegi– Scritture su HKLM vanno in HKU• HKU | <SID-utente>_classes | VirtualStore

– Scritture nelle directory di sistema redirette su locazioni per-utente• %localappdata%\virtualstore

PARENTAL CONTROL(PC NON IN DOMINIO)


Parental Controls

• Possibilità di controllare:– Giochi usabili– Modalità di navigazione su Internet– Modalità d’uso dei programmi di istant messaging– Quando può essere usato il computer


Parental Controls

WINDOWS FIREWALL


Architettura di Windows Filtering PlatformFirewall di Vista

Firewall di 3ze parti o altra applicazione di filtro

API di Vista

Base Filtering EngineUserKernel

Generic Filter Engine

Antivirus di 3ze parti

Parental Control di 3ze

parti

IDS di 3ze parti

NAT di 3ze parti

Mod

uli

di ca

llou

t

Livello di trasporto TDI e

WinSock

Livello di stream

Livello di trasporto TCP/UDP

Livello di rete

Livello NDIS

ALE

Livello di forward

Nuovo stack del protocollo TCP/IP

Ela

bora

zione d

ei pacc

hett

i TC

P/IP


Direzione di filtro

Ingresso Uscita

Default:Blocca molto

Poche eccezioni

Regole di allow:programmi, servizi

utenti, computerprotocolli, porte

Default:Consente connessioni interattiveRestringe i servizi

Regole di blocco:programmi, serviziutenti, computerprotocolli, porte

| [email protected] |

Confronto di funzioni

Windows XP SP2 Windows Vista

Direzione Ingresso Ingresso e uscita

Azione di default Blocca Configurabile per direzione

Tipi di pacchetto TCP, UDP, alcuni ICMP Tutti

Tipi di regole Applicazioni, porte globali, tipi ICMP

Condizioni multiple (da quintuple a metadati Ipsec)

Azione delle regole

Blocca Blocca, consente, bypassCon logica di merge delle regole

UI e tool Pannello di controllo, netsh Pannello di controllo, netsh, MMC

API COM pubbliche, C private Più COM per esporre regole, più C per esporre funzionalità

Gestione remota nessuna Via interfaccia RPC “blindata”

Group policy File ADM MMC, netsh

Terminologia Eccezione, profili Regole, categorie=profili


Configurazione

• Da Pannello di Controllo: simile a Windows XP– Poche modifiche di interfaccia

• Nuovo snap-in per MMC per tutte le funzioni extra– Snap-in “Windows Firewall with Advanced Security”– Console predefinita in Administrative Tools– Può assegnare impostazioni a computer remoti– Integra e semplifica le impostazioni di IPsec

• Nuovo insieme di comandi in:netsh advfirewall


Tipi di regole

Programma Consente/nega il traffico per uno specifico programma

Porta Consente/nega il traffico per una specifica porta TCP o UDP o per una lista di porte

Predefinite Insieme di regole che consento a Windows di funzionare in rete (es. Condivisione di stampanti/file, assistenza remota, amministrazione remota di servizi, ...)

Personalizzate Tutte le condizioni possibili


Fusione e valutazione delle regoleMaggiore

Minore

Restrizione dei servizi

Restringono le connessioni che i servizi possono stabilire; I servizi di sistema sono sempre configurati in modo appropriato

Regole di connessione

Restringono le connessioni per un particolare computer; usano IPsec per richiedere autenticazione e autorizzazione

Bypass autenticati

Consentono a specifici computer autenticati di eludere altre regole

Regole di blocco

Blocco esplicito di traffico in ingresso/uscita

Regole di consenso

Consenso esplicito per traffico in ingresso/uscita

Regole di default

Comportamento di default per una connessione


Eccezioni più flessibili

Account utente/computer e gruppi di Active Directory

Indirizzi IP sorgenti e destinazione (individuale o range)

Porte TCP/UDP sorgente e destinazione

Lista di porte separate da virgole (non range)

Numero di protocollo IP

Tipo di interfacce (wired, wireless, VPN/RAS)

Codici e tipi ICMP

Servizi (usate dalla profilazione dei servizi per limitare gli accessi)


Categorie di reti

• Network Location Awareness (NLA) determina le modifiche alla rete– Identifica le caratteristiche, assegna un GUID

• Il servizio network profile (NPS) crea un profilo della connessione– Interfacce, DC, macchina autenticata, MAC del gateway, …

• NPS notifica al firewall quando NLA avverte delle modifiche– Il firewall cambia categoria in 200 ms

• Se non è riconosciuto un dominio, l’utente deve specificare se il profilo è privato o pubblico– Si deve essere un amministratore locale per definire una rete come privata

Dominio Quando un computer è in dominio e connesso al dominio. Selezionata automaticamente

Privata Quando un computer è connesso ad una rete privata definita

Pubblica Tutte le altre reti


Cosa succede con più interfacce?Esamina tutte

le reti connesse

Interfacciaconnessa a rete

pubblica?

Profilo è“pubblico”

Interfacciaconnessa a rete

privata?

Profilo è“privato”

Interfacceautenticate da un

DC?

Profilo è“dominio”

Si

No

Si

No

Si

No


IPSec:iIntegrato con il firewall

• Elimina confusione e sovrapposizione di regole• Tutte le regole di firewall sono IPsec aware

“Consenti all’applicazione foo di ricevere traffico sulla porta X solo se è autenticata (e opzionalmente criptata) da IPsec”

“Consenti al servizio foo di ricevere traffico da un computer/utente remoto solo se identificati da IKE”


Policy semplificate

In chiaro

Negozia IPsecIn chiaro

Solo in chiaro

Policy IPsec semplificate

In chiaroNegozia IPsec

Policy IPsec

Non IPsec

Negozia IPsecSicurezza con IPsec


Nuovi algoritmi di crittogrfici

Crittografia AES-128AES-192AES-256

Scambio di chiavi

P-256 (DH group 19 elliptic curve)P-384 (DH group 20 elliptic curve)

WINDOWS MEETING SPACE


Windows Meeting Space

• Risolve alcuni problemi di collaborazione– Collaborare in modo sicuro con altre persone– Unirsi facilmente a sessioni vicine o invitare persone vicine– Progettare e collaborare insieme su ogni applicazione– Condividere e modificare insieme e velocemente un file– Lavorare insieme quando non è disponibile una rete

• Facile da distribuire in azienda– Sicurezza forte inserita nella soluzione– Poco o nulla richiesto per configurare la rete– Controllabile via Group Policy

• Piattaforma potente su cui è possibile sviluppare


Architettura

Windows Meeting Space

Stack di rete (Wireless, TCP/IP, etc.)

Terminal ServicesFile Replication Services (FRS)

P2P Collaboration Services


Come funziona

Canale metadati

Canale file

Canale streaming

Sess

ione

pa

ssw

ord

PasswordCanale File

Metadati per file

Token dello streaming


Sicurezza della sessione

• Fornita usando protocolli standard• La password è usata come radice della sicurezza• I canali Metadata, File e Streaming sono criptati– Uso di protocolli di sicurezza standard

• Uso di WEP per connessioni basate su password alla rete wireless ad-hoc


Gestione via Group Policy

• Disponibilità della soluzione• Disponibilità d’uso dell’infrastruttura Peer-to-

Peer• Auditing di eventi specifici• Disponibilità di condivisione dei File sharing e

reti wireless ad-hoc• Possibilità di controllare la complessità delle

password

Rispettate le policy degli altri componenti del sistema


Richieste di rete

• La tecnologia si basa su IPv6• Sessioni su singola subnet– Funzionano su LAN IPv4 – Non sono richiesti apparati di rete IPv6

• Sessioni su subnet multiple– È necessaria una rete con apparati IPv6 o un server

ISATAP


Risorse utili

• Windows Vistahttp://www.microsoft.com/windowsvistahttp://www.microsoft.com/italy/technet/windowsvista/intro.mspx

• P2Phttp://www.microsoft.com/p2p

• IPv6:http://www.microsoft.com/ipv6


Per altre informazioni…

“Windows Vista ”

http://www.live.com

© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation

as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES,

EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

In aula Piergiorgio Malusardi IT Pro Evangelist [email protected] .

Documents

Transcript of In aula Piergiorgio Malusardi IT Pro Evangelist [email protected] .