Security Blog di Feliciano Intini : 1.1-NAP

Nuova guida su NAP nella serie delle nuove guide Microsoft Infrastructure Planning & Design (IPD)

Feliciano Intini — Mon, 30 Jun 2008 16:06:55 GMT

In pieno stile serendipity , leggendo l'ultimo post sul blog di NAP non solo ho appreso di una nuova interessante guida che vi aiuta nelle scelte architetturali da prendere di fronte alla progettazione di una soluzione NAP: Selecting the Right NAP Architecture...(read more)

Versione definitiva del "Microsoft Forefront Integration Kit for Network Access Protection", portale NAP, podcast su Stirling

Feliciano Intini — Thu, 05 Jun 2008 13:07:55 GMT

Riprendo doverosamente il post di Renato che annuncia il rilascio definitivo del " Microsoft Forefront Integration Kit for Network Access Protection " di cui vi avevo parlato in occasione della relativa versione Beta. Come è buona abitudine...(read more)

Definitivamente disponibile il Windows XP Service Pack 3 (SP3), anche in italiano: non poche le novità in area sicurezza

Feliciano Intini — Wed, 07 May 2008 09:38:06 GMT

Riprendo doverosamente il post di Renato sul blog Technet che annuncia appunto la disponibilità definitiva del Windows XP Service Pack 3 sia su Windows Update che sul Microsoft Download Center. Dico "definitiva" perché avrete notato in questi giorni una anomala sospensione della sua disponibilità (e di quella del SP1 di Windows Vista): un problema di compatibilità dell'ultimo minuto relativa al prodotto Microsoft Dynamics Retail Management System ha richiesto di fermare le rotative per mettere in campo il meccanismo di filtering ed evitare che i clienti dotati di questo prodotto possano inavvertitamente installare questi service pack. Quindi vi raccomando, questa volta più che mai (anche tenuto conto della distanza dal suo precedente service pack e quindi della sua corposità...), di consultare le informazioni disponibili pre-installazione (Release Notes, - di solito ignorate...;-)... - , FAQ e note relativa alla gestione di pre-release di IE, tutte opportunamente raccolte da Renato e Giorgio sul blog Technet).

Come fatto per Windows Vista SP1, approfitto per estrapolarvi le migliorie e le novità di sicurezza dal documento definitivo di overview in modo da averle tutte qui at a glance: quelle migliorate

Background Intelligent Transfer Service (BITS) 2.5

BITS 2.5 is required by Microsoft System Center Configuration Manager 2007 and Windows Live™ OneCare™. BITS 2.5 helps improve security. If you use BITS to transfer data, the new features also improve flexibility. Microsoft Knowledge Base article 923845 describes BITS 2.5.

IPSec Simple Policy Update for Windows Server 2003 and Windows XP

This update helps simplify the creation and maintenance of IPSec filters, reducing the number of filters that are required for a server and domain isolation deployment. The Simple Policy Update removes the requirement for explicit network infrastructure permit filters and introduces enhanced fallback to clear behavior. Microsoft Knowledge Base article 914841 describes this previously released update in more detail.

Digital Identity Management Service (DIMS)

DIMS make it possible for users who log on to any domain-joined computer to silently access all of their certificates and private keys for applications and services.

Wi-Fi Protected Access 2 (WPA2)

This update to Windows XP provides support for WPA2, the latest standards-based wireless security solution derived from the IEEE 802.11i standard. Microsoft Knowledge Base article 893357 describes this update.

e quelle nuove:

Network Access Protection (NAP)

NAP is a policy enforcement platform built into Windows Vista, Windows Server 2008, and Windows XP SP3 with which you can better protect network assets by enforcing compliance with system health requirements. Using NAP, you can create customized health policies to validate computer health before allowing access or communication; automatically update compliant computers to ensure ongoing compliance; and optionally confine noncompliant computers to a restricted network until they become compliant. For more information about NAP, see Network Access Protection: Frequently Asked Questions.

CredSSP Security Service Provider

CredSSP is a new Security Service Provider (SSP) that is available in Windows XP SP3 via Security Service Provider Interface (SSPI). CredSSP enables an application to delegate the user’s credentials from the Client (via Client side SSP) to the target Server (via Server side SSP). Windows XP SP3 involves only the Client side SSP implementation and is currently being used by RDP 6.1 (TS), though it can be used by any third party application willing to use the Client side SSP to interact with applications running Server side implementations of the same on Vista / LH Server. There is a technical specification of this SSP available at the Microsoft Download Center. [...]

Descriptive Security Options User Interface

The Security Options control panel in Windows XP SP3 now has more descriptive text to explain settings and prevent incorrect settings configuration. Figure 1 shows an example of this new functionality.

Figure 1. Security options explanatory text

Enhanced security for Administrator and Service policy entries

In System Center Essentials for Windows XP SP3, Administrator and Service entries will be present by default on any new instance of policy. Additionally, the user interface for the Impersonate Client After Authentication user right will not be able to remove these settings.

Microsoft Cryptographic Module

Implements and supports the SHA2 hashing algorithms (SHA256, SHA384, and SHA512) in X.509 certificate validation. This has been added to the crypto module rsaenh.dll. XP SP2 crypto modules Rsaenh.dll/Dssenh.dll/Fips.sys had been certified according to FIPS 140-1 specifications. The Federal Information Processing Standard (FIPS) 140-1 standard has been replaced by FIPS 140-2, and these modules have been validated and certified according to this standard. For more information, see the Microsoft Kernel Mode Cryptographic Module.

Windows Product Activation

As in Windows Server 2003 SP2 and Windows Vista, users can now complete operating system installation without providing a product key during a full, integrated installation of Windows XP SP3. The operating system will prompt the user for a product key later as part of Genuine Advantage. As with previous service packs, no product key is requested or required when installing Windows XP SP3 using the update package available through Microsoft Update. [...]

Ho in cantiere una nuova edizione del mio Microsoft Security Portal dove aggiungerò queste nuovi puntatori, stay tuned!

Share this post :

Rilasciata la RC2 Refresh in attesa del Windows XP SP3

Feliciano Intini — Wed, 26 Mar 2008 09:19:14 GMT

Non ho mai assistito ad una attesa così spasmodica per un Service Pack... (anche se la comprendo benissimo) e quindi ho pensato utile segnalarvi il rilascio pubblico di una nuova build (5508) della RC2 emessa proprio in corrispondenza della data che era stata stimata per il rilascio definitivo del Windows XP SP3:

Windows XP Service Pack 3 Release Candidate 2 Refresh - Now Available On Windows Update

... e anche sul Download Center (naturalmente in inglese, tedesco e giapponese). Oltre a segnalarvi questa emissione, che potrà risultare utile solo a coloro che si occupano di testing (su ambienti non di produzione, mi raccomando!), approfitto per indicarvi la nuova versione del documento di overview delle funzionalità incluse nel Service Pack 3, tra le quali vi evidenzio quelle legati agli aspetti di sicurezza: quelle migliorate...

Background Intelligent Transfer Service (BITS) 2.5
IPsec Simple Policy Update for Windows Server 2003 and Windows XP
Digital Identity Management Service (DIMS)
Wi-Fi Protected Access 2 (WPA2)

...e quelle nuove:

Network Access Protection (NAP)
Descriptive Security Options User Interface
Enhanced security for Administrator and Service policy entries
Microsoft Kernel Mode Cryptographic Module
Windows Product Activation

Comunque siate pazienti... se il rilascio viene rinviato è solo per migliorare ulteriormente la qualità di questo Service Pack. D'altra parte non è così lontano ormai: forse tra un mesetto la versione definitiva (a meno di ulteriori rinvii... ;-), e a seguire altre 3-4 settimane per la versione italiana.

Share this post :

Beta del "Microsoft Forefront Integration Kit for Network Access Protection"

Feliciano Intini — Fri, 14 Mar 2008 11:12:41 GMT

Ecco un nuovo programma beta della serie "Solution Accelerators" (di cui vi ho detto in questo post sul toolkit per Sharepoint). Questa volta il kit si propone di aiutare i professionisti IT delle aziende che hanno sia la soluzione Forefront Client Security (ricordo che FCS è la soluzione anti-malware di Microsoft per le realtà aziendali dedicata ai sistemi operativi di base, sia client che server) sia Windows Server 2008 (per la parte di Network Access Protection - NAP): in questa situazione i clienti hanno già tutto l'occorrente per realizzare una soluzione integrata che permetta di far accedere alla rete aziendale solo i client che risultino conformi alla policy creata ad-hoc sullo stato dell'applicazione anti-malware e di gestire il processo di adeguamento per i client non conformi.

Il kit intende aiutare passo passo nella realizzazione di questa soluzione:

Fase di configurazione: il componente del kit "System Health Validator (SHV)" serve per stabilire le "health policies" che verranno forzate su ogni client dotate di Forefront Client Security. Tipicamente queste sono che FCS sia installato, in esecuzione e con le file di signatures aggiornate.

Fase di verifica: il componente del kit "System Health Agent (SHA)" controlla in tempo reale lo stato di conformità del client FCS rispetto alle policy aziendali impostate nella fase precedente.

Fase di adeguamento: Se il System Health Agent rileva un problema su un computer, a tale client viene inibito l'accesso alla rete per prevenire l'eventuale diffusione di malware verso altri sistemi nella intranet. Sempre il SHA opera per adeguare il client alle policy e dopo tale processo al client viene ridato il permesso di accedere alla rete.

Credo sia davvero interessante iniziare a vedere NAP in azione e questo kit vi aiuta in un paio d'ore a mettere in campo una soluzione subito operativa!

Qui il link per partecipare alla beta e qui il post del blog dei Solution Accelerators di Security & Compliance che ne parla.

Share this post :

Riepilogo delle novità su Network Access Protection (NAP)

Feliciano Intini — Sat, 29 Dec 2007 11:24:00 GMT

E' davvero da tanto che non vi parlo di Network Access Protection (NAP) e questo è male: questa soluzione tecnologica è una delle funzionalità chiave del prossimo Windows Server 2008, tanto attesa da praticamente tutti gli amministratori di sicurezza con cui ho avuto modo di parlare. Ci sono diverse informazioni che è bene non perdere, e che vi riepilogo qui di seguito.

Parto dalla segnalazione di un imminente libro Microsoft Press dedicato al Networking di Windows Server 2008, con ben 6 capitoli dedicati al NAP:

Se, come me, siete anche nostalgici appassionati dei libri veri, quelli di carta, non potete perdervi la nuovissima serie di titoli in arrivo su Windows Server 2008: per quelli di sicurezza vi aggiornerò man mano nel mio solito Microsoft Security Portal (cercate le voci con (BK)).

Lo scorso Teched a Barcellona è stata poi un'occasione per segnalare i grandi progressi in termini di interoperabilità di questa soluzione tecnologica:

Un paio di aziende (UNETsystem e Avenda Systems) hanno segnalato l'estensione di NAP a piattaforme non-Microsoft (Mac e Linux). In particolare, un post del blog sul NAP ha poi segnalato anche la possibilità di poter provare già una "Evaluation Beta 1 Release" del NAP Client per Linux di Avenda Systems.
Celestix Networks ha segnalato l'imminente rilascio di appliance di rete progettati ad-hoc per NAP.
Il parco installato di client sotto NAP ha raggiunto i 150.000 desktop, di cui ovviamente per ora la parte principale (circa 70.000) è quella direttamente implementata dalla nostra rete interna. Questo primo mega-deployment già in produzione è documentato in un case study.

Non indugiate ad iniziare ad approfondire gli aspetti tecnologici del NAP: trovate altre risorse nel mio solito Microsoft Security Portal.

Virtualizzazione per ottenere maggiore sicurezza sul client? Non per ora direi ...

Feliciano Intini — Fri, 23 Nov 2007 11:19:22 GMT

In questi giorni ho realizzato un nuovo approfondimento sugli scenari possibili di rafforzamento per il client aziendale, nella situazione tipica di un computer portatile che viene usato sia al lavoro che a casa: è naturale la preoccupazione di difendere l'azienda da tutte le "schifezze" che il computer può magari contrarre mentre si naviga a casa in piena libertà ... Diversi clienti hanno da sempre provato a valutare la fattibilità e l'efficacia di soluzioni di separazione dei due ambiti casa/ufficio, come il dual-boot di due sistemi operativi paralleli, e ora, con la diffusione delle soluzioni di virtualizzazione, si stanno riproponendo questo dubbio: si otterrebbe maggiore sicurezza dal separare i due ambiti con le nuove tecnologie di virtualizzazione? Per dare risposta a questa domanda ho fatto delle riflessioni che ho pensato possano interessarvi e quindi vi condivido. Intanto ho trovato un comune denominatore in queste soluzioni: sia il dual-boot su dischi/partizioni interne, sia il dual-boot su dischi veloci esterni, sia l'uso di immagini virtuali, sono tutte soluzioni di "duplicazione e separazione", duplicano il sistema operativo per separarne l'uso in due scenari diversi. Vediamo vantaggi e svantaggi:

Vantaggio:

si propongono di ottenere una separazione netta di sistemi operativi, applicazioni, impostazioni computer, impostazioni utente e/o dati.

Svantaggi:

Introducono una notevole complessità e un appesantimento delle procedure di gestione dei sistemi: di fatto abbiamo 2 sistemi operativi da gestire (se già le aziende fanno fatica a gestirne uno, figuriamoci due !)
Alcune soluzioni non garantiscono l’esatta duplicazione di funzionalità: è purtroppo un dato di fatto che un sistema operativo "guest" (quello virtuale) non ha lo stesso accesso a periferiche e interfacce hardware.
Sono anacronistiche rispetto all’evoluzione delle esigenze degli utenti: a questo proposito ho coniato una frase in stile Microsoft per descrivere questa tendenza, "Unified & Secure Digital Experience".

Già, rifletteteci anche voi sull'ultimo punto, sulla base della vostra esperienza personale: gli utenti mal si adattano alla separazione stagna di ambiti di fruizione di contenuti digitali: oggi si lavora anche mentre si è a casa, e si fruisce di servizi online (non necessariamente connessi al lavoro, vedi fenomeno Web 2.0) anche mentre si è in ufficio. Dal mio punto di vista, già da sola questa considerazione basterebbe per abbandonare questa ipotesi d'uso di ambienti separati.

Ma poi mi sono anche chiesto: ma questa "separazione" che si vuole ottenere con queste soluzioni è davvero un vero e proprio "isolamento" dal punto di vista sicurezza? Io credo di no e provo a spiegarvelo: per farlo ho bisogno di condividere un concetto molto illuminante che ho appreso dal mitico Mark Russinovich nel nostro recente incontro a Redmond, il concetto di Security Boundary, che si spiega nei tre punti seguenti:

Esiste una Security Policy
Si ha modo di determinare, monitorare e forzare il rispetto di questa Security Policy

Esempio: “C’è giustizia se ci sono le leggi ma non si riesce a farle rispettare ?”
Quindi: “C’è sicurezza se ci sono le Security Policy ma non si riesce a forzarle?”

Le violazioni della Security Policy sono gestite come problemi di sicurezza e quindi vanno trattate come tali (individuare le vulnerabilità e correggerle).

Ecco il punto: le soluzioni tecnologiche accennate (dual-boot, virtualizzazione...) non sono attualmente in grado di realizzare un vero e proprio “Security Boundary”: tipicamente l'attuale punto debole è che non si riesce a forzare il rispetto delle Security Policy. Un esempio: non avere meccanismi nativi per forzare quando è possibile usare una Virtual Machine, e quando è vietato, in base alla rete a cui si è connessi.

E' per questo che per ora l'approccio migliore possibile per il rafforzamento del client aziendale è il ricorso alle soluzioni di Policy Enforcement multi-livello (Defense In-Depth), di cui ne sono un esempio tra tutte il NAP per la rete ed RMS per i dati.

Magari nel futuro le soluzioni di virtualizzazione si evolveranno anche per rappresentare una soluzione di sicurezza, per per ora sono orientate ad altri obiettivi (consolidamento risorse di calcolo, gestione delle compatibilità applicative).

Condividete queste considerazioni ?

Secure Socket Tunneling Protocol (SSTP): il nuovo protocollo VPN di Microsoft

Feliciano Intini — Tue, 03 Jul 2007 16:40:00 GMT

Ho appena avuto modo di ripassare le tecnologie VPN offerte da Microsoft, e ho notato una succulente novità che non deve assolutamente perdere chi si occupa di sicurezza: mi riferisco al nuovo protocollo di tunneling che Microsoft introdurrà in Windows Server 2008, il Secure Socket Tunneling Protocol (SSTP), anche accennato dall'amico Renato nell'annuncio sulla disponibilità della CTP di giugno. ...(read more)

Oggi vorrei tanto essere a San Francisco ...

Feliciano Intini — Mon, 05 Feb 2007 17:57:00 GMT

E perché mai, direte voi ? Ahiahiahi... La città è bellissima a prescindere da qualsiasi evento, ma non si può ignorare che oggi a San Francisco si apre l'RSA Conference!...(read more)