I livelli informatici coinvolti in un qualsiasi progetto di sicurezza sono numerosi: l’architettura del sistema operativo, la sicurezza dei dati, la difesa da virus e malware, la protezione dagli accessi non autorizzati, la messa in sicurezza del traffico dati all’interno della rete aziendale, la sicurezza fisica di client e server aziendali e la gestione dello stato di sicurezza complessivo del client.
Sicurezza in tutti questi ambiti, significa assicurare la corretta protezione ad ogni grado, per mantenere un elevato standard di tutela della propria infrastruttura.
Microsoft lavora da sempre per migliorare ogni singolo aspetto dei propri prodotti e, a riprova di ciò, si possono apprezzare i mutamenti architetturali di cui sono stati protagonisti i sistemi Windows Vista e Windows Server 2008 , sfociati nel rilascio di kernel maggiormente sicuri: cuori pulsanti di due recenti prodotti come Windows 7 e Windows Server 2008 R2. Tali innovazioni permettono ai due sistemi operativi di punta di Redmond di affrontare al meglio le sfide di protezione che le infrastrutture moderne devono sostenere.
Fra le numerose funzioni di sicurezza implementate in Windows 7 e schematizzate nel grafico Windows 7 Security, molte sono state concepite per affrancare le aziende dalla preoccupazione di mantenere sotto controllo i computer.
In seno a queste problematiche, Microsoft ha ravvisato l’urgente necessità di introdurre tecnologie di crittografia dati come BitLocker , valutando i risultati di alcune indagini, secondo le quali il 79% delle aziende ha subito danni pecuniari a causa di gravi violazioni della sicurezza e della privacy causati dallo smarrimento o furto di notebook o dispositivi mobili contenenti informazioni riservate. Basti pensare che ogni settimana negli aeroporti statunitensi vengono persi o rubati circa 12 mila notebook. Stando a queste stime, diviene palese quanto la protezione dei dati sia una delle questioni più spinose per i reparti IT e per i dirigenti aziendali. L’avvento del BitLocker Drive Encryption consente di cifrare le informazioni residenti sui dischi fissi, di modo tale che non possano essere consultati, copiati o utilizzati in qualsiasi modo senza autorizzazione. In realtà, il problema dell’uso non autorizzato dei dati non riguarda solo computer posti a rischio da software non leciti o PC smarriti: infatti, se si pensa che nel 2008 il Ministero della Difesa britannico ha ammesso di aver perso 87 memorie USB contenenti dati dichiarati segreti, si capisce come grandi rischi di diffusione non autorizzata di dati sensibili derivi anche dall’uso delle milioni unità flash utilizzate nel mondo ogni giorno su porta USB. A tal proposito, in Windows 7 Microsoft ha esteso la protezione BitLocker anche ai supporti portatili, tramite la funzionalità BitLocker To Go, che garantisce la piena protezione da usi non approvati dei dati confidenziali memorizzati su dispositivi esterni portatili.
Di fianco al BitLocker ed ad altre tecnologie, come gli Active Directory Rights Management Services , che consentono di associare i permessi di accesso e/o di modifica in modo indissolubile ad un file, BigM ha sviluppato AppLocker per garantire che su un PC vengano ad essere eseguiti solo ed esclusivamente gli applicativi autorizzati. Si tratta, dunque, di un insieme di strumenti grazie ai quali gli amministratori IT possono controllare quali applicazioni possano essere utilizzate sulle macchine dei dipendenti, sfruttando eventualmente anche la firma digitale dei software stessi e vietando l’uso di sistemi di P2P, veicolo di infezioni, che richiedono poi un intervento tecnico, con conseguente aumento dei costi.
Oltre a quanto visto fino ad ora, gli OS di casa Redmond hanno subito altri cambiamenti a livello architetturale. Ad esempio, è stato migliorato il modulo di controllo dell’utenza (UAC), reso altamente personalizzabile e nella quale sono stati rivisti tutti i livelli di privilegi e permessi.
Nelle nuove versioni dei sistemi operativi di Microsoft il sistema UAC è configurabile secondo quattro differenti livelli, portando ad una vertiginosa riduzione degli avvisi mostrati durante l’uso del computer: in questo modo l’utente viene avvertito solamente nei casi in cui l’applicazione in uso stia per modificare solo risorse identificate come critiche, mentre le modifiche che hanno origine dall’utenza stessa non vengono bloccate e non vengono quindi notificate come pericolose.
A proposito di browser, notevoli miglioramenti sono stati introdotti in Internet Explorer nel passaggio dalla versione 7 all’attuale versione 8. Infatti, nell’ultima versione del noto applicativo per navigare in Rete sono stati implementati differenti livelli di sicurezza avanzata, tali da garantire ai server ed ai PC una configurazione che riduce l’esposizione a potenziali attacchi basati sulla visualizzazione di contenuti Web e sull’esecuzione di script applicativi. Le fasce di sicurezza possono essere distinte in alta, medio-alta e bassa.
Il noto browser presenta una struttura molto evoluta dal punto di vista della sicurezza e implementata con il sistema SmartScreen Filter , che una volta abilitato sottopone a verifica le pagine Internet aperte per vagliare eventuali rischi di Phishing o di Cross-Site Scripting oppure per segnalare eventuali pericoli durante l’apertura di pagine o l’attivazione di download su siti a rischio, garantendo comunque la privacy dell’utente.
Oltre a migliorare componenti di sistema già esistenti, Microsoft si è occupata di garantire la protezione dei sistemi client e server attraverso Forefront Client Security , un antivirus in grado di proteggere i computer da codice malevolo come virus, worm, trojan e rootkit contenuti nei file scaricati da Internet, nei documenti condivisi, nei dispositivi di memorizzazione rimovibili e nei programmi di installazione originali o piratati. Forefront integra un motore di scansione efficiente e pluri-premiato, che garantisce le migliori funzionalità di monitoring dello stato di sicurezza della macchina e di reportistica centralizzata, permettendo agli amministratori di rete di di avere sempre una panoramica di cosa stia avvenendo nei server e nei client aziendali e quali software malevoli stiano mettendo a rischio la sicurezza dei sistemi, della rete, degli utenti e dei dati. I prodotti della famiglia ForeFront sono inoltre in grado di garantire la sicurezza del traffico email, dei documenti memorizzati all’interno di SharePoint Server e dei sistemi di istant messaging.
La sicurezza assume due differenti connotazioni a seconda che si lavori in maniera isolata o si faccia parte di una rete aziendale. In quest’ultimo caso, è fondamentale che tutto il network sia protetto, parallelamente a ciascuna macchina. Ogni computer inserito in LAN, infatti, se non configurato a dovere, può facilmente trasformarsi in una breccia preferenziale per i maleintenzionati, fornendo loro un ingresso privilegiato a tutta la rete e vanificando ogni sforzo teso alla salvaguardia dei dati.
A tal proposito, una serie di strumenti in grado di verificare la conformità e l’integrità delle configurazioni hardware, potrebbe rivelarsi senz’altro un valido aiuto. Soprattutto, per i reparti IT e per gli amministratori di rete.
Microsoft conosce bene queste esigenze ed ha realizzato tutta una serie di componenti e di strumenti in grado di coadiuvare gli amministratori di rete nella configurazione e nel controllo centralizzato dei computer aziendali.
Tali sistemi sono stati progettati con lo specifico intento di fornire supporto ai reparti IT, mantenendo da un lato la semplicità d’uso e dall’altro la compliance alle leggi vigenti.
Per le aziende che possiedono sistemi basati su piattaforma Windows, il primo strumento di indubbia utilità per definire la configurazione dei client ed i privilegi degli utenti è il modulo di Group Policy .
Tale modulo, che fornisce all’utente un pannello di amministrazione user-friendly per la gestione dei criteri di gruppo, fa parte degli strumenti Active Directory e consiste in un insieme di regole per il controllo degli ambienti di lavoro e dei PC connessi alla rete aziendale.
Grazie a Group Policy, l’amministratore di rete è in grado di definire in modo particolareggiato che cosa un utente possa o non possa fare sul suo computer (quando è connesso alla rete di lavoro), e di garantire il mantenimento di una configurazione del PC adatta al networking.
Gli aspetti della sicurezza che possono essere garantiti con un uso ed una corretta configurazione del client Group Policy, sono molteplici: si va dal semplice divieto imposto all’utente di eseguire delle operazioni identificate come perciolose, all’imposizione di una configurazione personalizzata e sicura degli applicativi installati.
Con le regole di Group Policy, l’amministratore ha la possibilità di:
– Definire la lunghezza ed il tempo di validità delle password, richiedendo agli utenti di volta in volta l’inserimento di chiavi di autenticazione differenti dalla precedenti, che rispettino delle regole e dei criteri di composizione e che siano definiti nella complessità;
– Indicare quali siano i diritti che un utente possa esercitare sulle risorse software ed hardware del PC connesso alla rete ed i privilegi di utilizzo delle risorse condivise disponibili. Ad esempio, l’amministratore può permettere all’utente di spegnere il PC, di cambiare data e ora e time zone, di effettuare il backup, di salvare file, di aprire particolari estensioni, di modificare cartelle di sistema, di effettuare download di file eseguibili, di installare applicazioni non autorizzate o distribuite dall’amministratore stesso, di impedire l’accesso al Task Manager ed ad alcune cartelle definite vitali dal punto di vista della segretezza aziendale oppure della sicurezza;
– Impostare lo stato degli account Administrator e Guest locali , restringere l’accesso a particolari dispositivi esterni come supporti ottici (CD, DVD ecc), magnetici come i floppy, oppure configurare delle regole di utilizzo per le periferiche USB, regolamentando addirittura l’installazione di device driver, le configurazioni dei livelli di sicurezza minimi per i protocolli di rete ed eventualmente anche le restrizioni di navigabilità su Internet;
– Configurare Windows Firewall e le regole del protocollo IPSec ed impedire successive modifiche da parte degli utenti;
– Controllare e tracciare le modifiche sul registro, la sicurezza NTFS, l’installazione di software e gli script di logon e logoff.
Una delle tante qualità del client Group Policy è il suo modello applicativo, che funziona in modalità pull , ossia seguendo un ciclo di durata random (che va dai 90 ai 120 minuti, oppure impostabile direttamente dall’amministratore), il client è in grado di raccogliere in una lista tutte le regole di Group Policy definite per un determinato computer e per tutti i suoi eventuali utenti (se connessi), confrontare tale lista con le regole applicate al computer connesso alla rete aziendale e riapplicare le politiche definite dall’IT administrator affinchè queste siano sempre rispettate. In questo modo si garantisce di mantenere continuatamente la configurazione desiderata, influenzando, di conseguenza, tutti i componenti del sistema operativo che possono essere considerati policy-enabled .
Il sistema di Group Policy implementato da Microsoft è applicabile a due differenti livelli: all’ account utente , indipendentemente da quale sia il computer con cui ci si connette alla rete, oppure al computer stesso , senza considerare chi effettivamente utilizza quel determinato PC per collegarsi.
Per gli amministratori che si trovano a dover fronteggiare scenari più complessi del previsto, tali livelli di applicazione del Group Policy possono essere combinati, creando profili misti, nella cui configurazione dei criteri di gruppo si tenga conto, non solo dell’utente, ma anche dell’hardware utilizzato.
In molti casi, è di fondamentale importanza accertarsi che il computer possieda tutta una serie di configurazioni minime, come il firewall attivo, le virus signature aggiornate e via discorrendo.
Di seguito, una serie di video che approfondisce in modo formativo alcuni interessanti aspetti legati alla sicurezza dei client e della protezione dei network aziendali.
Microsoft fornisce agli amministratori di rete anche una soluzione concreta in tutte quelle occasioni in cui è necessario avere un controllo sui parametri di sicurezza di una macchina prima che questa abbia avuto effettivamente accesso alla rete aziendale. E lo fa grazie al modulo Network Access Protection , noto agli addetti ai lavori con l’acronimo di NAP . Questo è capace di dotare gli amministratori di rete di un completo sistema di definizione granulare di accesso alla rete.
Il funzionamento è di facile comprensione. Anche se, dietro l’apparente semplicità di questa soluzione, si cela un compendio di complesse infrastrutture tecnologiche, tutte appropriatamente configurate e coordinate per ottenere i migliori risultati a livello di sicurezza.
Attraverso dei componenti software installati sia lato client che server, NAP è in grado di verificare a priori, quindi prima del completo accesso alla rete aziendale, se la configurazione del client soddisfa e corrisponde a quei requisiti minimi di policy (la presenza di un firewall, l’aggiornamento di un antivirus, l’appartenenza a gruppi di sicurezza ecc.) impostati dall’amministratore. Così da garantire che l’accesso al network del PC non rappresenti una minaccia o una rottura nella configurazione di sicurezza dell’infrastruttura stessa.
NAP funziona sia su reti wired/wireless sia su reti remote protette e su qualunque tipo di connessione, individua a priori quale client non possieda i requisiti di accesso ed, in tal caso, è in grado di reindirizzare la connessione richiesta verso altre destinazioni, evitando, dunque, che il computer considerato non sicuro diventi parte integrate del network aziendale. Nello specifico, NAP è in grado di fornire un meccanismo con il quale il client viene riportato verso uno stato di compliance agli standard di accesso imposti, incrementando di conseguenza il suo livello di accesso al network, secondo differenti metodi:
-NAP può essere impostato affinché il client non protetto venga associato tramite DHCP ad un indirizzo di una rete appositamente creata per parcheggiare i computer non sicuri, tipo una rete di quarantena;
-NAP è anche in grado di escludere la porta di accesso alla connessione sull’apparato di rete, se quest’ultimo supporta nativamente l’architettura NAP;
-NAP può bloccare il rilascio del certificato IPSec, che garantisce l’autenticità e la sicurezza delle comunicazioni dei client non conformi con gli altri client e con i server aziendali;
-in caso di VPN, NAP è in grado di re-indirizzare la connessioni verso reti di quarantena oppure impedire il compimento della connessione stessa.
Qualora la configurazione di NAP preveda il re-indirizzamento della connessione, è possibile predisporre delle reti quarantena , supportate da server definiti “server dei rimedi”, dai quali ogni client non conforme ha la possibilità di scaricare update e software utili al raggiungimento dei criteri minimi impostati dall’amministratore IT per l’inclusione del computer nella rete aziendale.
Fra le soluzioni sopra citate per il reindirizzamento dei client non sicuri, un’implementazione di NAP più robusta, si ottiene implementando un’architettura di Server and Domain Isolation , basata sull’utilizzo del protocollo IPSec e dei corrispondenti certificati digitali.
Infine, è bene ricordare che per poter supportare ed implementare un’architettura NAP è necessario possedere alcuni pre-requisiti, come ad esempio l’uso di Windows Server 2008 (con NAP attivo), l’uso di OS client come Windows XP SP3, Windows Vista, Windows 7, l’attivazione di un firewall compatibile con NAP (come Windows Firewall), l’utilizzo di un antivirus/antimalware compatibile con NAP (come ForeFront Client Security), l’attivazione del servizio di Active Directory e l’implementazione di eventuali strutture di reti compatibili con NAP e con il protocollo 802.1x.