hit counter
Iniziamo a scoprire le novità di sicurezza in Windows Server 2008 (ex Longhorn) - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Iniziamo a scoprire le novità di sicurezza in Windows Server 2008 (ex Longhorn)

Iniziamo a scoprire le novità di sicurezza in Windows Server 2008 (ex Longhorn)

  • Comments 2
  • Likes
 

Credo che Windows Server 2008, il nome definitivo scelto per il progetto del prossimo sistema operativo Server di Microsoft dal nome in codice "Longhorn", porti con se tutti i messaggi importanti che l'azienda Microsoft intende condividere con il mercato riguardo alla sua strategia sulla piattaforma di base. Mi domandavo perché un nome così austero e in apparenza privo di fantasia: tanto il nome Windows Vista è passionale e, appunto "visionario", tanto il nome Windows Server 2008 è serio e rigoroso. Perché ?? Mi sono detto, ecco il primo messaggio: serio e rigoroso! Windows Server 2008 vuole proprio dimostrare una raggiunta maturità nel sistema operativo Server, e questo in particolare rivolgendosi al mercato enterprise, quello delle grandi aziende, quasi a confermare loro che la fiducia un tempo riposta su un sistema non proprio enterprise-ready come Windows NT, ora è ben ripagata, e possono tranquillamente affidare le soluzioni business-critical alla nuova piattaforma, senza timori. Continuità e salvaguardia degli investimenti: questo è l'altro messaggio che credo si voglia passare. Il nome in linea con il passato vuole rassicurare che non vi sono soluzioni di continuità, che non vi sono (troppi) traumi nell'evoluzione. Non si può chiedere però assenza di "traumi": se non si cambia non si evolve, e spesso il cambiamento più significativo si ottiene solo con un salto deciso che crea dei disagi, ma necessari per il progresso. Eccomi qui a dare la prima occhiata alle nuove maggiori funzionalità di sicurezza, tratte direttamente dal documento corposo che trovate qui:

 

  • Windows Firewall with Advanced Security: evoluzione del Windows Firewall e integrazione  della sua gestione con le policy IPSEC
  • Server Manager: nuova console di gestione dei ruoli e delle funzionalità installate sul server; elimina la necessità di lanciare il Security Configuration Wizard per operare l'hardening, dal momento che i ruoli sono stati "blindati" by-default.
  • Server Core Installation Option: modalità di installazione minimale del sistema che limita la superficie d'attacco evitando la presenza di alcuni componenti di sistema; manca la shell che fornisce la Graphical User Interface (GUI).
  • Active Directory® Certificate Services (AD CS) role: numerosi miglioramenti per la componente di Public Key Infrastructure (PKI), tra cui:
    • gli strumenti di gestione e controllo (PKIView), nuove impostazioni e ampliamento delle tipologie di certificati distribuibili tramite Group Policy
    • nuovo controllo ActiveX per il Web enrollment dei certificati
    • la possibilità di autenticazione dei network device tramite il servizio Network Device Enrollment Service (NDES) che implementa il protocollo Microsoft Simple Certificate Protocol (MSCEP)
    • Supporto per il protocollo Online Certificate Status Protocol (OCSP) nella gestione della validazione e revoca dei certificati
  • Cryptography Next Generation (CNG): nuovo set di API che estende le precedenti CryptoAPI, aggiungendo flessibilità e supporto per nuovi algoritmi, quali Elliptic Curve Cryptography (ECC).
  • Active Directory Domain Services (AD DS) role: il ruolo di quello che un tempo era il Domain Controller ora presenta alcune nuove funzionalità
    •  granularità nella policy di Audit directory service access, con in particolare la presenza della sottocategoria di Directory Service Changes che permette di tracciare il cambiamento effettivo degli attributi
    • granularità nelle Password Policy, ora differenziabili per diversi insiemi di utenti
    • Read-Only Domain Controller, per supportare le esigenze di sicurezza degli scenari branch-office, dove non si riesce a garantire l'adeguata sicurezza fisica
    • Restartable Active Directory Domain Services: i servizi di AD si possono fermare e riavviare alla pari degli altri servizi di Windows a tutto vantaggio della riduzione dei tempi di downtime (per esempio quando si installano le security patch)
  • Active Directory Federation Services (AD FS) role: evoluzione del componente fornito inizialmente con Windows Server 2003 R2, con in particolare una maggiore integrazione con Microsoft Office SharePoint® Server 2007 e Active Directory Rights Management Services (AD RMS).
  • Active Directory Rights Management Services (AD RMS) role: evoluzione del componente di policy enforcement per la protezione delle informazioni sensibili che prima era disponibile come add-on:
    • Supporto per il self-enrollment dei server AD RMS, eliminando la necessità di contattare i server Microsoft e abilitando così l'utilizzo in reti isolate
    • granularità nei ruoli amministrativi per abilitare la separazione dei ruoli, con la presenza in particolare del ruolo di AD RMS Auditors
    • integrazione con Active Directory Federation Services (AD FS), facilitando così l'utilizzo delle policy  al di fuori dei confini aziendali
  • Network Access Protection (NAP) & Network Policy and Access Services role: la tecnologia di validazione ed enforcement della "client health" e il ruolo adibito ai diversi servizi Server richiesti da questa soluzione
    • Valida la configurazione dei client al momento della loro connessione alla rete ed in modo continuo per tutta la durata della connessione
    • Forza le policy tramite i protocolli DHCP, VPN, IPSec, 802.1x
    • Limita o blocca l'accesso dei client alla rete se sono computer non-compliant, abilitando il loro adeguamento automatico
  • Terminal Services role: evoluzione significativa per questa funzionalità, e gli aspetti correlati alla sicurezza includono il Terminal Services Gateway (TS Gateway):
    • abilita la connessione remota attraverso firewall e NAT (utilizzando HTTPS per incapsulare il traffico RDP) e l'uso di un modello di accesso più sicuro in quanto permette l'accesso selettivo a server specifici senza la necessità di utilizzare la VPN per l'accesso all'intera rete intranet aziendale.
  • BitLocker™ Drive Encryption: evoluzione della tecnologia di full-volume encryption, di verifica dell'integrità dei componenti dello startup, e di supporto al processo di secure decommissioning, con un robusto processo di recovery

 

Naturalmente le novità di sicurezza di Windows Server 2008 non finiscono qui, e sicuramente non mancherà il tempo di citarle e approfondirle man mano che ci avvicineremo al suo rilascio, atteso per ora per la fine del 2007: non mancate di provare direttamente la Beta 3 disponibile a questo link: www.microsoft.com/getbeta3

Comments
  • Segnalo questo post nel blog del mio collega Feliciano Intini relativo alle novità in ambito security

  • Doveroso rilancio del post di Renato dal blog Technet che tempestivamente annuncia il rilascio in versione

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment