Internet Explorer 8.0: Architettura e funzionalit  di sicurezza Renato Francesco Giorgini...

Click here to load reader

download Internet Explorer 8.0: Architettura e funzionalit  di sicurezza Renato Francesco Giorgini Evangelist IT Pro  @microsoft.com

of 32

  • date post

    02-May-2015
  • Category

    Documents

  • view

    214
  • download

    0

Embed Size (px)

Transcript of Internet Explorer 8.0: Architettura e funzionalit  di sicurezza Renato Francesco Giorgini...

  • Slide 1
  • Internet Explorer 8.0: Architettura e funzionalit di sicurezza Renato Francesco Giorgini Evangelist IT Pro RenatoFrancesco.Giorgini@microsoft.com
  • Slide 2
  • Agenda Architettura Internet Explorer Protected Mode Loosely-Coupled IE Gestione ActiveX Funzionalit Anti-malware, anti-phishing SmartScreen Filter Cross Site Scripting (XSS) Filter Protezione privacy utente InPrivate Browsing InPrivate Filtering
  • Slide 3
  • RenatoFrancesco.Giorgini@microsoft.com Per quali piattaforme disponibile IE 8? Sistemi Operativi Client: Windows XP (SP2, SP3) Windows Vista (SP1, SP2) Windows 7 Sistemi Operativi Server: Windows Server 2003 (SP2) Windows Server 2008 (SP1, SP2) Windows Server 2008 R2
  • Slide 4
  • Architettura di Internet Explorer 8.0
  • Slide 5
  • RenatoFrancesco.Giorgini@microsoft.com Integrity Levels : Windows Vista, Windows 7 SystemHighMediumLow Local System Local Service Network Service Elevated (Admin) tokens LUA (User) tokens Authenticated Users World (Everyone) Shell, Desktop e Applicazioni Utente Se non specificato, il livello di default degli oggetti viene considerato Medium Privilegi Amministrativi Internet Explorer 7/8
  • Slide 6
  • RenatoFrancesco.Giorgini@microsoft.com Internet Explorer 8 in Protected Mode Protected Protected Mode Mode Internet Explorer 8.0 Internet Explorer 8.0 Protected Protected Mode Mode Internet Explorer 8.0 Internet Explorer 8.0 Installazione ActiveX Impostazioni di sistema Modifica configurazione Download Files Mandatory Integrity Control Protected Mode Broker Process Redirezione File e Config. Compatibility Redirector Navigazione e Cache Web Admin Rights Access User Rights Access Temp Internet Files HKLM (Registry) HKCR (Registry) Program Files HKCU (Registry) My Documents Startup Folder File e setting potenzialmente non sicuri Admin Broker Process Admin Broker Process Integrity Level: Low Integrity Level: Medium Integrity Level: High
  • Slide 7
  • RenatoFrancesco.Giorgini@microsoft.com Loosely-Coupled IE Medium Integrity Level Protected Mode = OFF Medium Integrity Level Protected Mode = OFF Low Integrity Level Protected Mode = ON Low Integrity Level Protected Mode = ON
  • Slide 8
  • RenatoFrancesco.Giorgini@microsoft.com { Protected Mode Loosely-Coupled IE }
  • Slide 9
  • RenatoFrancesco.Giorgini@microsoft.com Address Space Layout Randomization NTDLL User32 Exe Windows Server 2003, Windows XP Macchina A Macchina A NTDLL User32 Exe User32 Exe User32 Exe Windows Server 2003, Windows XP Macchina B Macchina B Windows Server 2008, Windows Vista, Windows 7 Macchina A Macchina A Windows Server 2008, Windows Vista, Windows 7 Macchina B Macchina B Kernel32 NTDLL Kernel32 NTDLL Kernel32
  • Slide 10
  • RenatoFrancesco.Giorgini@microsoft.com Data Execution Prevention Blocca lesecuzione di codice da aree marcate come dati Sfrutta il non-Execute bit Intel XD bit AMD NX bit Richiede sistemi a 64 bit o a 32 bit con PAE DEP e ASLR abilitate insieme per garantiscono la sicurezza massima del sistema
  • Slide 11
  • RenatoFrancesco.Giorgini@microsoft.com Data Execution Protection Abilitata di default in Internet Explorer 8.0 Pu essere disabilitata per motivi di compatibilit
  • Slide 12
  • RenatoFrancesco.Giorgini@microsoft.com {DEPASLR}
  • Slide 13
  • Gestione ActiveX
  • Slide 14
  • RenatoFrancesco.Giorgini@microsoft.com Sicurezza controlli ActiveX Mitigazione Zero-Day Attack ActiveX Killbits Mitigazione Zero-Day Attack ActiveX Killbits Chi pu usare lActiveX? Per User ActiveX Chi pu usare lActiveX? Per User ActiveX Attivazione manuale o automatica? ActiveX Optin Attivazione manuale o automatica? ActiveX Optin Su quali siti lActiveX utilizzabile? Per site ActiveX Su quali siti lActiveX utilizzabile? Per site ActiveX
  • Slide 15
  • RenatoFrancesco.Giorgini@microsoft.com { Gestione ActiveX Modifica Config. Sicurezza }
  • Slide 16
  • Funzionalit anti-malware e anti-phishing
  • Slide 17
  • RenatoFrancesco.Giorgini@microsoft.com Nuova barra indirizzi Evidenzia il dominio (o lIndirizzo IP) del sito in cui stiamo navigando
  • Slide 18
  • RenatoFrancesco.Giorgini@microsoft.com Extended Validation Certificates, Siti a rischio, Siti noti di Phishing
  • Slide 19
  • RenatoFrancesco.Giorgini@microsoft.com SmartScreen Filter Evoluzione del filtro Antiphishing di Internet Explorer 7 Nuovi strumenti euristici di analisi Funzionalit anti-malware Controllo indirizzo pi rapido Gestibile tramite Group Policy E ora possibile segnalare siti malevoli a MS
  • Slide 20
  • RenatoFrancesco.Giorgini@microsoft.com Database locale URL affidabili conosciute Verifica attendibilit siti URL Reputation Service
  • Slide 21
  • RenatoFrancesco.Giorgini@microsoft.com Cross Site Scripting (XSS) Filter Filtro euristico, previene lesecuzione degli script Permette di intercettare attacchi Type-1 (reflection) Steal cookies Log keystrokes Deface sites Steal credentials Port-scan the Intranet Launch CSRF Steal browser history Abuse vulnerabilities Evade phishing filters Circumvent HTTPS
  • Slide 22
  • RenatoFrancesco.Giorgini@microsoft.com ClickJacking Protection E possibile sfruttare gli IFRAME per creare dei layer sovrapposti In questo modo lutente pu essere indotto a fare click su link che in realt appartengono a siti differenti Le X-FRAME-OPTIONS possono essere usate dai WebDev per evitare che le loro pagine siano richiamate in modo non legittimo this.Response.Headers["X-FRAME-OPTIONS"] = "DENY";
  • Slide 23
  • RenatoFrancesco.Giorgini@microsoft.com { Barra indirizzi SmartScreen Filter Cross Site Scripting (XSS) Filter ClickJacking Protection }
  • Slide 24
  • RenatoFrancesco.Giorgini@microsoft.com Mashup Sicuri Nuove modalit di comunicazione per garantire una sicurezza maggiore nei mashup e nelle applicazioni AJAX Cross Domain Requests (XDR) Consente di condividere le informazioni tra due domini differenti, consentendo la creazione di trust, la pubblicazione di risorse accessibili anonimamente e la comunicazione sicura Cross Document Messaging (XDM) HTML5 cross-document messaging feature Consente a due domini e IFRAME di scambiarsi oggetti in modo sicuro, mantenendo lisolazione dei Document Object Model
  • Slide 25
  • Protezione privacy utente
  • Slide 26
  • RenatoFrancesco.Giorgini@microsoft.com Cancellazione History - Cronologia Controllo pi granulare su cosa cancellabile E possibile escludere dalla cancellazione i contenuti dei siti inclusi nei Preferiti Favorites Cancellazione automatica alla chiusura del browser
  • Slide 27
  • RenatoFrancesco.Giorgini@microsoft.com InPrivate Browsing Utile per computer condivisi, Internet Point Consente di navigare senza memorizzare traccie della navigazione sul computer Cookies (in lettura quelli esistenti, i nuovi sono solo di sessione) History - Cronologia (URL, Search) Form e Password Temporary Internet Files Il cleanup delle informazioni avviene alla chiusura della sessione di InPrivate Browsing 27
  • Slide 28
  • RenatoFrancesco.Giorgini@microsoft.com Cosa avviene navigando Alcuni provider (es: di Contenuti, di Adv, ) possono tracciare le attivit di un utente, sfruttando il fatto che i propri componenti sono richiamati su differenti siti Tracking Script, Web Bug Images, Special Text, Cookies Sito ASito BSito CSito D Provider Contenuti
  • Slide 29
  • RenatoFrancesco.Giorgini@microsoft.com InPrivate Filtering Mostra allutente Siti/Provider possono tracciare la sua attivit Consente allutente di avere ulteriori informazioni Permette di bloccare Siti e Provider di contenuti specifici Consente di fare la sottoscrizione a liste di contenuti da bloccare
  • Slide 30
  • RenatoFrancesco.Giorgini@microsoft.com { InPrivate Browsing InPrivate Filtering }
  • Slide 31
  • RenatoFrancesco.Giorgini@microsoft.com In conclusione Internet Explorer 8.0 estende larchitettura di sicurezza di Internet Explorer 7.0 con una serie di nuove funzionalit Windows Vista e Windows 7 sono i due sistemi operativi che sfruttano al meglio la nuova architettura Le funzionalit Anti-phishing, Anti-malware e di protezione della Privacy assicurano una navigazione pi sicura e protetta In ambito aziendale possibile personalizzare la configurazione di sicurezza di Internet Explorer 8.0 utilizzando le Group Policy o lInternet Explorer Administration Kit
  • Slide 32
  • 2009 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY. RenatoFrancesco.Giorgini@microsoft.comhttp://blogs.technet.com/italy