Non potevo attendere di leggerla tutta prima di segnalarvi questo importante rilascio documentale: la Security Guide di Microsoft Office 2007 ! (da italiano preferisco chiamarlo così, invece di 2007 Microsoft Office ... :-)) La prima scorsa veloce che ho dato al materiale mi ha rinverdito l'orgoglio di essere parte di questa azienda (se mai ce ne fosse bisogno...;-): il miglioramento della documentazione è tangibile ad ogni nuovo rilascio, sempre più dettagliata e completa, con il giusto approccio all'analisi di rischio che un documento in area sicurezza dovrebbe avere. Cosa trovate in questi download ?

• la Security Guide vera e propria, che illustra il modello di sicurezza, le funzionalità (organizzate in base ai "sacri" criteri CIA, Confidentiality, Integrity & Availability) e le best practice, assieme alle indicazioni per rafforzare la realtà aziendale in base a 2 scenari specifici come fatto per la Security Guide di Windows Vista (in questo mio vecchio post trovate i link alle diverse security guide), ossia lo scenario più comune di Enterprise Client (EC) e quello più rafforzato di Specialized Security - Limited Funcionality (SS-LT), per ricordare ancora una volta che le attività di hardening richiedono sempre di valutare il compromesso tra sicurezza e funzionalità. Particolarmente importante l'attenzione specifica alle impostazioni in area Privacy del capitolo 2
• La Threats & Countermeasures Guide, quella che ho sempre sognato potessimo riuscire a produrre per tutti i nostri prodotti, la technical reference di TUTTE le impostazioni che hanno una rilevanza in ambito sicurezza, , con l'indicazione di rischio, raccomandazione e impatto! Importantissima novità è l'indicazione per ogni impostazione del relativo identificativo CCE-ID (Common Configuration Enumeration), in modo da avviarsi verso la possibilità di correlazione e di automatismo dei tool di assessment delle configurazioni di sicurezza.
• Il Security Settings Spreadsheet, relativo foglio Excel con tutte le impostazioni documentate nella guida T&C.
• Il GPOAccelerator Tool, per automatizzare la distribuzione delle security policy.
• Materiale informativo di supporto: il datasheet, la Executive Guide e le FAQ.

Di fronte a questa abbondanza di dettagli ripenso (senza nostalgia!) a quando era parte del mio lavoro di consulente la faticosa creazione di tali Security Guides, di fronte al fatto che l'unico materiale "ufficiale" erano poche, a dir poco scarne, checklist ... che progressi ! Buona lettura e, soprattutto, buona adozione di configurazioni più sicure !