320 likes | 526 Views
Panoramica di Windows XP Service Pack 2. Un sistema più sicuro. Obiettivo: ridurre le vulnerabilità di protezione del sistema operativo. Contribuisce a ridurre l'esposizione ai più comuni rischi di attacco in base a quattro principi: protezione della rete protezione della memoria
E N D
Un sistema più sicuro • Obiettivo: ridurre le vulnerabilità di protezione del sistema operativo. • Contribuisce a ridurre l'esposizione ai più comuni rischi di attacco in base a quattro principi: • protezione della rete • protezione della memoria • gestione più efficiente dei messaggi e-mail • maggiore sicurezza durante la connessione a Internet.
Protezione della rete • Windows Firewall (ICF) attivato per impostazione predefinita per tutte le interfacce di rete • Attivato nelle prime fasi del Boot, prima che lo stack di rete sia completamente abilitato • Disattivato nelle ultime fasi del ciclo di arresto, una volta disabilitato lo stack di rete. • Gestibile via: • Group Policy • Netsh
Servizio RPC (Remote Procedure Call) • Meno vulnerabile agli attacchi esterni • Nuovi livelli di autorizzazioni per controllare i server RPC bloccati, esposti solo alla subnet locale, esposti all'intera rete. • Windows Firewall • Supporta queste autorizzazioni • Limitare l'apertura delle porte dai server RPC specificati, in base al contesto di protezione in cui vengono eseguiti.
Protezione dall'esecuzione (NX) • Sulle CPU che supportano la tecnologia di protezione dall'esecuzione (NX), Service Pack 2 contrassegna pagine di dati come non eseguibili: • Funzionalità a livello di hardware • Impedisce l'esecuzione di codice da queste pagine. • Impossibile sovraccaricare con del codice un buffer di dati contrassegnato • Avrebbe potuto bloccare Blaster • Tecnologia NX è supportata da Intel Itanium e AMD K8 a 64 bit • Microsoft prevede che i prossimi processori a 32 e 64 bit supporteranno NX.
Sandboxing • Service Pack 2 implementa il modello di sandboxing. • Tutti i file binari nel sistema sono stati ricompilati attivando i controlli della protezione del buffer: • Consente alle librerie di runtime di intercettare la maggior parte dei sovraccarichi del buffer a livello di stack • Sono stati aggiunti "cookie" all'heap • Consente alle librerie di runtime di intercettare la maggior parte dei sovraccarichi del buffer a livello di heap.
Nuova versione di Outlook Express • Può bloccare immagini e altri contenuti esterni nei messaggi HTML • Può segnalare all'utente se altre applicazioni tentano di inviare messaggi • Può controllare il salvataggio e l'apertura di allegati che potrebbero contenere virus. • Outlook Express è coordinato con il nuovo servizio di esecuzione delle applicazioni: • Gli utenti possono leggere o visualizzare in anteprima tutti i messaggi in modalità testo • Evitati i contenuti HTML potenzialmente non sicuri. • Vale anche per MSN e Windows Messenger
Nuova versione di Internet Explorer 1/2 • Gestisce i componenti aggiuntivi e rileva i relativi malfunzionamenti • Controlla se è consentita o meno l'esecuzione a livello binario • Applica agli oggetti URL le stesse restrizioni applicate ai controlli ActiveX. • Internet Explorer controlla in modo più preciso l'esecuzione di tutti i contenuti • Limita le capacità dell'area Computer locale • blocca gli attacchi che tentano di utilizzare contenuti locali per eseguire codice HTML dannoso. • IE richiede che tutte le informazioni sul tipo di file fornite dai server Web siano coerenti, analizzando i file per verificare che non nascondano codice dannoso.
Nuova versione di Internet Explorer 2/2 • Impedisce l'accesso agli oggetti basati su script memorizzati nella cache: • Alle pagine HTML è consentito solo di elaborare script per i propri oggetti. • Disattiv gli script in ascolto di eventi o contenuti in altri frame. • Dispone di una funzione incorporata per il blocco della visualizzazione delle finestre popup indesiderate e la gestione di quelle consentite. • Può bloccare: • Tutto il contenuto firmato proveniente da un autore non attendibile • Tutto il codice con firme digitali non valide • Impedisce agli script di spostare o ridimensionare le finestre, nascondere le barre di stato o coprire altre finestre.
Facilità di manutenzione • Windows XP Service Pack 2 include Aggiornamenti automatici versione 5. • Opzione di installazione rapida che consente di scaricare rapidamente solo gli aggiornamenti critici e di protezione necessari, • Security Center: • Posizione centrale, interfaccia grafica di facile utilizzo. • Windows Installer 3.0 • "compressione delta". • consente di evitare di scaricare patch non necessarie, permette di rimuoverle in modo affidabile.
Security Center • Segnala: • Se manca l’antivirus • Se le definizioni dei virus non sono recenti • Se vengono ignorati aggiornamenti critici • Se viene disattivato il firewall. • Gli avvisi sono disattivbili.
Implicazioni dei miglioramenti 1/2 • Quasi tutti i miglioramenti evitano qualsiasi impatto sull'esperienza utente. • Vi sono aree in cui sarà necessario effettuare alcune modifiche per mantenere le funzionalità senza compromettere la protezione. • ICF: popup di avviso per applicazioni server verso Internet. • Si può concedere l’autorizzazione e revocarla in seguito
Implicazioni dei miglioramenti 2/2 • Rivedere le applicazioni distribuite che utilizzano RPC o DCOM. • Potrebbe essere necessario applicare patch agli strumenti di sviluppo e concedere loro le autorizzazioni di Windows Firewall per assicurare il funzionamento del debug remoto. • Modificare l'utilizzo dei controlli ActiveX • Pagine Web eseguite localmente che includono contenuto attivo potrebbe essere necessaria l'aggiunta di una riga supplementare con la "firma" o una modifica dell'estensione.
Windows Firewall 1/2 • Attivato di default • Gestisce Stateful Inspection. • Utilizza un criterio di protezione basato su tre regole principali: • I pacchetti (ricevuti) appartenti a un flusso di connessione stabilito vengono inoltrati. • I pacchetti (ricevuti) che non corrisponde a un flusso di connessione stabilito viene scartato. • I pacchetti (inviati) che non corrisponde a un flusso di connessione stabilito vengono inoltrati (inseriti nella tabella dei flussi di connessione).
Windows Firewall 2/2 • E’ possibile aggiungere eccezioni • L’ eccezione può essere locale o globale. • Globale: accetta connessioni da qualsiasi origine, anche da Internet. • Locale: accetta connessioni solo dalla subnet locale • Il driver del firewall ha "criterio della fase di avvio“ • Consente al computer di eseguire attività di rete di base (DNS e DHCP) e di comunicare con un controller di dominio per ottenere i criteri. • Quando viene eseguito, Windows Firewall carica e applica i criteri della fase di esecuzione e rimuove i filtri della fase di avvio. • Il criterio della fase di avvio non può essere configurato.
RPC (Remote Procedure Call) 1/2 • E’ una funzione per il passaggio di messaggi • consente a un'applicazione in un computer di richiamare servizi disponibili su diversi computer in una rete. • Utilizzate per l'amministrazione remota, per condivisione. • Sottosistema RPC (rpcss) si occupa del mapping degli endpoint dei servizi disponibili (endpoint dinamici). • Il servizio rpclocator consente ai client di di individuare le applicazioni server compatibili disponibili. • In Windows XP sono in esecuzione oltre 60 servizi basati su RPC • in ascolto delle richieste client in rete (Svchost.exe.) • ICF bloccava tutte le comunicazioni RPC dall'esterno del computer (no condivisione e amministrazione remota) • Windows Firewall: • Processo tenta di aprire una porta, presentandosi come servizio RPC • Windows Firewall accetta la richiesta solo se il chiamante è in esecuzione nel contesto di protezione del sistema locale, del servizio di rete o del servizio locale, in altre parole solo se il processo è effettivamente un servizio. Questa impostazione limita le possibilità che un programma Trojan horse senza privilegi riesca ad aprire una porta presentandosi come server RPC.
RPC (Remote Procedure Call) 2/2 • Aggiunto un nuovo criterio di sistema per i server RPC • limita l'utilizzo ai client locali e/o autenticati. • Per default, runtime di RPC rifiuta qualsiasi chiamata remota anonima. • Se un servizio registra una richiamata di protezione in grado di autenticare chiamate remote anonime, per il servizio viene impostata un'eccezione. • chiave di registro, RestrictRemoteClients, è possibile aumentare o ridurre le restrizioni.
Protezione della memoria • Gli attacchi buffer overrun sono tra i più comuni • Inviata a un controllo una stringa di dimensioni superiori al buffer di memoria allocato per contenerla. • La stringa introduce nel sistema del codice che viene eseguito e diffonde un virus o un worm. • In Windows XP Service Pack 2 ci sono due misure di sicurezza per impedire questi attacchi: • Il SO può attivare un bit di protezione dall'esecuzione per le pagine di memoria virtuale che dovrebbero contenere solo dati. (solo per CPU che lo supportano) • Il SO è ora in grado di ridurre con maggiore precisione i buffer overrun
Protezione dall'esecuzione (NX) • Su Intel Itanium e AMD K8 a 64 bit l'hardware della CPU può contrassegnare la memoria con un attributo che indica che da tale memoria non deve essere eseguito codice. • Questa funzionalità è applicata in base alla pagina di memoria virtuale modificando un bit nella PTE (Page Table Entry). • Windows XP Service Pack 2 usa la protezione dall'esecuzione per impedire che venga eseguito codice dalle pagine di dati. • Se tento di eseguire codice da una pagina di dati contrassegnata, l'hardware del processore genera un'eccezione e impedisce l'esecuzione del codice. • Così non è possibile sovraccaricare con del codice un buffer di dati (avrebbe potuto bloccare Blaster). • Microsoft prevede che i prossimi processori a 32 e 64 bit saranno in grado di offrire la protezione dell'esecuzione.
Sandboxing • Stack: utilizzato per le variabili locali temporanee di breve durata. • Viene automaticamente allocato in caso di chiamata a una funzione • Viene rilasciato alla chiusura della funzione. • L'heap viene utilizzato dai programmi per allocare e liberare in modo dinamico blocchi di memoria che possono avere una durata superiore. • Per proteggere queste aree di memoria sui processori a 32 bit il Service Pack 2 introduce il sandboxing. • Stack: • Tutti i file binari del sistema sono stati ricompilati attivando controlli di protezione del buffer a livello di stack. • Istruzioni aggiunte alle sequenze di chiamata e restituzione delle funzioni consentono alle librerie di runtime di intercettare la maggior parte dei buffer overrun a livello di heap. • Heap: • Aggiunti dei "cookie", ovvero contrassegni speciali all'inizio e alla fine dei buffer allocati, che vengono controllati dalle librerie di runtime durante l'allocazione e il rilascio dei blocchi di memoria. • In caso di cookie mancanti o incoerenti, le librerie di runtime rilevano il sovraccarico del buffer, generando un'eccezione software.
Servizio di esecuzione allegati (AES) • Controlla la visualizzazione e l'esecuzione dei file allegati ai messaggi. • Interfaccia COM • AES analizza un file e determina se può essere visualizzato o eseguito in modo sicuro in base a numerosi criteri. • estensione del file (TXT, JPG, GIF sono sicuri). • Verifica coerenza tipo MIME - estensione • C’è un elenco per stabilire se una data associazione è sicura o pericolosa • Antivirus attivo e aggiornato prima di consentire all'utente di visualizzare o eseguire file non sicuri.
AES in Outlook Express e Windows Messenger • Outlook Express richiama AES per aprire un messaggio di posta elettronica con allegato • Allegato sicuro = è disponibile per l'utente • Allegato non sicuro = bloccato (messaggio relativo al blocco) • Allegato indefinito = messaggio di avviso quando l'utente tenta di trascinarlo, salvarlo, aprirlo o stamparlo. Se si esegue il file, questo verrà gestito in modo da garantire l'attivazione del programma antivirus. • Windows Messenger ha la stessa gestione dei file allegati. • Differenza: per l'invio degli allegati solitamente è necessaria l'autorizzazione del destinatario.
Blocco del contenuto HTML in Outlook Express • Spammer e virus per tracciare gli utenti di posta attivi includono nei messaggi HTML contenuti esterni (immagini). Quando il messaggio richiama il sito Web identifico il destinatario. • Per proteggere la privacy dell'utente e impedire futuri attacchi, Outlook Express blocca le immagini e altri contenuti esterni in modalità HTML (disattivabile) • Per default, l'esecuzione della posta elettronica HTML in Outlook Express è soggetta alle regole dell'area Siti con restrizioni. • In Outlook Express dal SP2 le funzionalità binarie non sono più consentite. • Quando Outlook Express è impostato per la lettura dei messaggi in formato testo, usa il controllo rich edit invece di quello HTML browser (mshtml) di Internet Explorer. • La protezione di Outlook Express è stata migliorata senza alcun impatto negativo per gli utenti.
Maggiore protezione durante l'esplorazione • Alcuni componenti aggiuntivi per Internet Explorer (ActiveX) creano problemi: popup • Nuovo Internet Explorer incluso in SP 2 comprende: • Gestione dei componenti aggiuntivi: permette di visualizzare e controllare l'elenco dei componenti aggiuntivi che possono essere caricati da IE. • Rilevamento dei malfunzionamenti: consente invece di individuare i problemi di arresto anomalo di Internet Explorer legati a un componente aggiuntivo, consentendone la disattivazione da parte dell'utente. • Gli amministratori possono inoltre applicare a livello di organizzazione criteri relativi ai componenti aggiuntivi consentiti.
Funzionalità binarie • Componente che supporta due interfacce COM riconosciute e utilizzate da Internet Explorer. • Permettono di integrare più funzionalità in Internet Explorer • IE inclusa nel SP2 offre un maggiore controllo sulla protezione delle funzionalità binarie. • Disattivate nell'area Siti con restrizioni: i programmi di posta elaborano i messaggi e-mail in formato HTML nell'area Siti con restrizioni. • Si riduce la vulnerabilità della posta elettronica a virus e worm basati su funzionalità binarie. • Quando si apre una pagina Web in Internet Explorer, alla pagina vengono applicate le restrizioni impostate, in base alla sua posizione. • Le pagine Web sul computer locale si trovano nell'area Computer locale (livello di restrizioni più basso). • L'area Computer locale consente di eseguire i contenuti Web con un livello basso di restrizioni. Sfruttata per acquisire privilegi più elevati e compromettere il funzionamento di un computer. • In Windows XP Service Pack 2, a tutti i file e contenuti locali elaborati da Internet Explorer viene applicato il livello di protezione dell'area Computer locale. • E’ limita notevolmente l'esecuzione dei contenuti HTML nell'area Computer locale e in Internet Explorer. • Gli script ActiveX in pagine HTML locali visualizzate in Internet Explorer non vengono più eseguiti.
Maggiore protezione durante l'esplorazione • Internet Explorer utilizza le seguenti informazioni per decidere come gestire il file: • Estensione • Tipo di contenuto specificato nell'intestazione HTTP (tipo MIME) • Disposizione del contenuto specificato nell'intestazione HTTP • Risultati dell'analisi (sniffing) MIME • Tutte le informazioni fornite dai server Web a Internet Explorer devono essere coerenti. • Tipo MIME è "text/plain“, ma l’analisi MIME indica che il file è un eseguibile = Internet Explorer rinomina il file salvandolo nella propria cache e modificandone l'estensione.
Maggiore protezione durante l'esplorazione • Internet Explorer utilizza AES per controllare che i file scaricati siano sicuri e per visualizzare finestre di dialogo quando è necessaria l'autorizzazione dell'utente. • Le finestre di dialogo di AES danno ulteriori informazioni e mostrano l'origine, il tipo e la dimensione del file scaricato, • AES indica l'autore del software eseguibile in fase di installazione • avviso particolarmente evidente nel caso di software proveniente da un'origine sconosciuta. • Il nuovo gestore delle finestre popup blocca la visualizzazione della maggior parte delle finestre popup indesiderate. • Le finestre popup aperte quando l'utente finale fa clic su un collegamento non vengono invece bloccate. • Miglioramento della protezione per i controlli ActiveX e altri oggetti basati su script, la riduzione dei possibili buffer overrun e una maggiore protezione dalle finestre visualizzate sopra altre finestre e collocate fuori dallo schermo.
Manutenzione ottimizzata dei computer: Windows Update 5 • Windows XP Service Pack 2 usa una nuova versione del sito Web Windows Update • Opzioni semplificate per impostare l'aggiornamento automatico. • Installazione rapida verificare se sono disponibili, scaricare e installare solo gli aggiornamenti critici e della protezione effettivamente necessari per il computer. • Aggiornamenti automatici del Pannello di controllo, posso scegliere di: • scaricare automaticamente gli aggiornamenti senza installarli • essere semplicemente informati della loro disponibilità • gestirli manualmente.
Windows Installer 3 • Nuova versione del servizio Windows Installer: Windows Installer 3.0 • Funzioni avanzate di inventario che identificano quali componenti delle patch è necessario o meno scaricare, • Supporta la compressione delta (riduce la dimensione delle patch) • Offre un migliore supporto per la disinstallazione delle patch.
Security Center • Punto centrale per cercare informazioni relative alla sicurezza ed eseguire qualsiasi operazione legata alla protezione. • Controlla lo stato delle tre funzionalità principali di protezione: • Firewall • aggiornamenti automatici • protezione antivirus. • Se rileva un problema in una di queste aree, lo notifica • Richiede l'attivazione di un firewall, il controllo quotidiano degli aggiornamenti automatici per il sistema Windows e l'attivazione di un prodotto antivirus con definizioni dei virus aggiornate. • Lo stato di ognuno di questi elementi viene visualizzato in Security Center grazie a un'icona simile a un semaforo. • Security Center riconosce Windows Firewall e numerosi firewall di terze parti, oltre alle più comuni soluzioni antivirus. Dispone di un'interfaccia aperta che può essere utilizzata dai produttori di software antivirus e firewall per consentire a Security Center di rilevare la presenza dei loro prodotti e segnalarne lo stato. Gli utenti possono indicare a Security Center la presenza di una soluzione di terze parti non rilevata oppure disattivare gli avvisi relativi a specifici problemi di protezione non applicabili al loro ambiente.
© 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.