Ulteriori informazioni

Windows Server 2012:
cloud significa sicurezza?
Di Chester Wisniewski, Senior Security Advisor
Microsoft sostiene che Windows Server 2012 sia stato concepito per
diventare il primo "sistema operativo in-the-cloud". Se da un lato i
risparmi in termini di costi ed energia promessi dal cloud possono essere
il motivo principale per cui le aziende desiderino adottare Server 2012,
è anche vero che con il cloud vengono introdotti anche altri rischi. I
miglioramenti apportati da Microsoft stanno tenendo il passo con il loro
impeto verso il virtuale?
Windows Server 2012: cloud significa sicurezza?
Nuova funzionalità di sicurezza: il controllo dinamico degli accessi
La novità di Windows Server 2012 è il controllo dinamico
degli accessi (Dynamic Access Control, DAC). Le tradizionali
autorizzazioni di condivisione si basano sull'appartenenza ai gruppi
di Active Directory (AD), ma non possono estrarre informazioni sul
contenuto dei file aperti, né da dove ne venga effettuato l'accesso.
Dopo aver aggiornato AD per il supporto delle nuove funzionalità,
sarete in grado di creare autorizzazioni e tag di contesto per i
file. Questi tag ed elementi di contesto possono essere utilizzati
sia per il controllo dell'accesso, sia per auditing/reportistica.
Potete attribuire un tag PCI o HIPAA a un determinato file e
consentirne l'accesso solamente agli utenti che possiedano le
dovute autorizzazioni, anche nel caso in cui siano presenti altri
utenti nella stessa condivisione file. Potete anche prendere in
considerazione da dove venga effettuato l'accesso. Ad es. è possibile
permettere a un determinato utente di visualizzare informazioni
HIPAA di natura sensibile, ma non dal proprio smartphone o tablet.
DAC ha tutte le premesse per diventare una funzionalità
promettente, ma ancora non è sicuro come opererà nei moderni
ambienti multipiattaforma. Potrà anche andare tutto a gonfie
vele con Windows Phone, Windows RT e Windows 8, ma sarà
possibile effettuarne l'integrazione con iPad o Android?
Microsoft ha anche compiuto progressi per quanto riguarda il
protocollo di condivisione file SMB. SMB versione 3 supporta
ora l'autenticazione e la cifratura AES-CCM, in aggiunta alla
protezione contro gli attacchi man-in-the-middle. Molti processori
di ultima generazione supportano la cifratura accelerata AES, che
dovrebbe risolvere qualsiasi problema di performance. Se gli hacker
dovessero cercare di forzare un downgrade a SMB versione 2, meno
sicura della v. 3, è possibile registrare e bloccare tali tentativi.
Tweak e aggiornamenti
BitLocker è stato aggiornato; nonostante venga tipicamente
considerato una tecnologia desktop, contiene una nuova
funzionalità che richiede Server 2012. I PC Windows 8 cifrati con
BitLocker sono in grado di sbloccarsi automaticamente quando
vengono connessi a una rete dotata di controller di dominio
Windows Server 2012. Per usufruire di questa funzionalità, il PC
deve avere un UEFI BIOS con DHCP abilitato: una combinazione
al momento estremamente rara fra desktop aziendali e relativi
utenti. Eccezion fatta per le pochissime configurazioni dell'hardware
Le aziende che forniscono hosting di contenuti Web o che
svolgono transazioni sicure possono sfruttare il supporto dei nuovi
protocolli datagram transport layer security (DTLS) e server name
indication (SNI). DTLS supporta protocolli di cifratura basati sui
datagrammi, come UDP, in maniera dinamica, esattamente come
avviene per SSL/TLS con le connessioni TCP. Fra gli usi principali
di questa opzione sono incluse cifratura delle comunicazioni
VoIP e trasmissione video e audio sicura in streaming.
La cosa più importante è che l'introduzione di SNI consente
a nomi di dominio diversi di condividere un unico indirizzo IP
per le transazioni HTTPS. Uno dei fattori che ha contribuito
ad ostacolare una più vasta diffusione dei siti Web protetti con
SSL/TLS è stata l'impossibilità di condividere indirizzi IP negli
ambienti di cloud computing. SNI estende il concetto di nomi
intestazione host, includendo ora contenuti Web sicuri.
Evoluzione, non rivoluzione
Microsoft ha apportato piccole modifiche al tanto criticato
User Account Control (UAC). Le nuove policy di Server
2012 concedono agli utenti una maggiore libertà di
personalizzazione dei messaggi e dei controlli. È consigliabile
evitare di fornire agli utenti diritti di amministrazione di
qualsiasi tipo; ci si auspica quindi un'ulteriore diminuzione
dell'importanza di UAC per gli utenti generici di Windows.
Dal punto di vista dell'IT security, Windows Server 2012 è
un'evoluzione, non una rivoluzione. Gli elementi maggiormente
degni di nota sono sicuramente il controllo dinamico degli
accessi e il potenziamento delle funzionalità di sicurezza
SMB. Tuttavia, nessuno dei due costituisce un motivo
abbastanza convincente per sostituire i server 2008 R2.
Visitate sophos.it
North American Sales:
Toll Free: 1-866-866-2802
Email: [email protected]
Boston, USA | Oxford, UK
© Copyright 2012. Sophos Ltd. All rights reserved.
All trademarks are the property of their respective owners.
????.artna.??.??
In Windows Server 2008/2008 R2, la gestione delle password
e la maintenance delle applicazioni non interattive veniva di
gran lunga semplificata dagli account del servizio gestito.
Server 2012 introduce account del servizio gestito di gruppo,
riducendo ulteriormente i costi associati agli account di servizio.
Gli amministratori non saranno più costretti a creare istanze
con account indipendenti per ciascun servizio, bensì potranno
adoperare account in comune per le applicazioni più utilizzate,
esattamente come avverrebbe per una configurazione di cluster.
Altre News & Trends
di IT security
Mettetevi in
contatto con noi:
United Kingdom and Worldwide Sales:
Tel: +44 (0)8447 671131
Email: [email protected]
che supportano questa opzione, si tratta semplicemente di
una pessima idea. Si consiglia di esigere l'autenticazione degli
utenti all'avvio, tramite SmartCard/PIN oppure password.
Australia and New Zealand Sales:
Tel: +61 2 9409 9100
Email: [email protected]