View
212
Download
0
Category
Preview:
Citation preview
Windows Server 2003 SP1Security Configuration Wizard
PierGiorgio MalusardiIT Pro EvangelistMicrosoft
Agenda
Introduzione a SCW Dimostrazione Approfondimenti Buone pratiche Informazioni sul rilascio
Introduzione a SCWCos’è
Un tool di creazione di Politiche di Sicurezza Focalizzato sulla riduzione della superficie di attacco
Disabilita servizi non necessari Disabilita estensioni web non necessarie Blocca porte non necessarie Restringe l’accesso alle porte aperte solo ai corretti utilizzatori Riduce l’esposizione dei protocolli
• Firma digitale di SMB e LDAP• Compatibilità LanManager e LMHASH
Configura le SACL degli Audit Consente l’import di Security Template
Infrastruttura operativa Rilascio client / server Supporto alla distribuzione via Group Policy Analisi della compatibilità Supporto al rollback
Perché SCW?
Lo stato dell’arte attuale è basato su guide cartacee Migliaia di pagine Sorgenti multiple con inconsistenze Non provate dai gruppi di sviluppo dei
prodotti Difficile mantenere aggiornati i documenti
Il risultato sono molti sistemi insicuri
Creazione delle policy
Un wizard guida passo passo alla creazione delle policy
Il risultato dell’operazione è un file XML
Distribuzione delle policySingolo server
Le policy sono applicabili al server locale o ad un remoto da GUI
L’applicazione di una policy SCW (file XML) ad un server richiede che SCW sia installato sul sistema
Distribuzione delle policyServer multipli via Command Line
Tool CLI scwcmd.exe File MachineList.xml con
elenco delle macchine a cui applicare le policy (mappatura policy-macchina)
Scwcmd.exe consuma MachineList.xml e applica l’appropriato file di configurazione all’appropriata macchina (multi thread)
SCW deve essere installato sui server bersaglio
Metodo analogo usato per l’analisi di compatibilità
Policy1.xml Policy2.xml
MachineList.xml
Scwcmd.exe
Distribuzione delle policyServer multipli via GPO
Scwcmd.exe trasforma i file delle policy in file che possono essere distribuiti nativamente via GPO
Un file .INF per le impostazioni di sicurezza
Un file .POL per la configurazione di Windows Firewall
Un IPSec blob per la configurazione di IPSec
Le impostazioni di IIS non sono gestite in questa modalità
I file generati sono contenuti in una GPO
La GPO deve essere collegata alla corretta OU
SCW non è richiesto sui computer bersaglio
Scwcmd.exe
Sce.inf Firewall.pol Filters.ipsec
Demo:Creazione di una policy con SCW
Approfondimenti
Estensioni Knowledge base aziendale
SCW e IPSec SCW non è pensato per creare policy IPSec
sofisticate come: Comunicazione DC – DC Segmentazione di rete Quarantena
SCW è pensato per fornire sicurezza semplice a livello di porta Principalmente sulla rete aziendale Per chi non ha attualmente policy IPSec attive Default è “Accetta comunicazioni insicure ma cerca di
rispondere sempre in IPSec Assume che i client usino la default response rule
Estensione con la KB aziendale
Possibile modificare i file .xml che definisco la KB mostrata nel wizard
Le modifiche saranno mostrate nell’interfaccia del wizard
I file .xml della KB risiedono in%windir%\security\msscw\kbs
Estensione con la KB aziendale
W2K3.xml
Sql.xml
Exchange.xml
SMS.xml
Knowledge base
…
Estensione con la KB aziendale
W2K3.xml
Sql.xml
Exchange.xml
SMS.xml
Knowledge base
…
<KBS> <Root> <Name>W2K3</Name> </Root> <Extensions> <Name>SQL.xml</Name> <Name>Exchange.xml</Name> <Name>sms.xml</Name> </Extensions></KBS>
KBReg.xml
Estensione con la KB aziendale
W2K3.xml
Sql.xml
Exchange.xml
SMS.xml
Knowledge base
… <KBS> <Root> <Name>W2K3</Name> </Root> <Extensions> <Name>SQL.xml</Name> <Name>Exchange.xml</Name> <Name>sms.xml</Name> <Name>MyApp.xml</Name> </Extensions></KBS>
KBReg.xmlMyApp.xml
Estensioni incluse in SP1 SQL Server Exchange Server System Management Server (SMS) Microsoft Operations Manager (MOM) Small Business Server ISA Server 2004 Windows Sharepoint Services Sharepoint Portal Server Microsoft Identity Integration Server Biztalk Commerce Server Microsoft Audit Collection Server Host Integration Server (ancora in sviluppo)
Buone pratiche per SCW
Centralizzazione della KB
\\KBServer\KB
Responsabile Sicurezza
R/W
Centralizzazione della KB
\\KBServer\KB
Responsabile Sicurezza
Amministratore locale
R
Centralizzazione della KB
\\KBServer\KB
Responsabile Sicurezza
Amministratore locale esegueScw.exe /kb \\KBServer\KB
\\ServerBersaglio
R
Il rilascio di SCW SCW è parte di Windows Server 2003 SP1
Sicurezza, Test approfonditi e grande usabilità sono i motivi che hanno indotto ad introdurre questo prodotto in un SP
È un componente aggiuntivo e deve essere installato da Control Panel | Add\Remove program | Add\Remove Windows Components
Non ci sono piani per portare questo strumento su versioni del sistema operativo precedenti a SP1
Maggiori informazioni
http://www.microsoft.com/windowsserver2003 http://www.microsoft.com/security http://www.microsoft.com/security/guidance
© 2003-2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Recommended