Esporta (0) Stampa
Espandi tutto
6 di 8 hanno valutato il contenuto utile: - Valuta questo argomento

Miglioramenti della protezione in Windows 7

http://technet.microsoft.com/windows/dd361745.aspx?ITPID=article

La sicurezza è ancora una delle principali problematiche per i professionisti IT; ora che è disponibile Windows® 7 Beta, le domande sul sistema operativo Windows 7 sono numerose. È un argomento molto vasto, difficile da riassumere in un breve articolo, ma è possibile individuare tre principali aree.

  • Windows 7 è progettato sulle stesse basi di sicurezza del sistema operativo Windows Vista® e offre funzioni migliorate di controllo e di controllo dell'account utente.
  • Grazie alle funzionalità di AppLocker™, Windows 7 consente ai responsabili IT di controllare quali software possono essere eseguiti nell'ambiente di lavoro.
  • Windows 7 migliora le funzioni principali di Crittografia unità BitLocker™ grazie all'introduzione di BitLocker To Go™ per i dispositivi di archiviazione rimovibili.

Esaminiamo con maggiore attenzione queste aree.

Un ambiente fondamentalmente sicuro

Windows 7 si basa sulla solida derivazione di sicurezza di Windows Vista e sulla conservazione e l'approfondimento dei processi e delle tecnologie di sviluppo che hanno reso Windows Vista la versione finora più sicura tra i client Windows. Le funzioni di sicurezza basilari, come la protezione contro l'applicazione di patch al kernel, la protezione avanzata, la protezione esecuzione programmi, la sequenza casuale di disposizione dello spazio degli indirizzi e i livelli di integrità obbligatori, continuano a garantire un'elevata protezione da malware e attacchi. Windows 7 è stato progettato e sviluppato tramite il Security Development Lifecycle (SDL) di Microsoft ed è stato ideato per supportare i requisiti dei Common Criteria al fine di ottenere la certificazione Evaluation Assurance Level 4 e rispettare lo standard FIPS (Federal Information Processing Standard) 140-2.

Controlli migliorati

Le funzioni di controllo sono state migliorate con Windows 7 per aiutare le organizzazioni a rispettare i requisiti aziendali e di conformità alle normative. I miglioramenti del controllo partono da un approccio gestionale semplificato alle configurazioni di controllo e terminano con maggiore visibilità di ciò che accade nell'organizzazione. Windows 7 offre, ad esempio, maggiore trasparenza sui motivi per cui agli utenti viene negato o consentito l'accesso a informazioni specifiche e fornisce visibilità sulle modifiche apportate da utenti o gruppi specifici.

Controllo dell'account utente semplificato

In Windows Vista è stata introdotta la funzione di controllo dell'account utente per consentire l'esecuzione di applicazioni legacy con i diritti utente standard e per aiutare gli ISV ad adattare i loro software al fine di ottimizzarne il funzionamento con i diritti utente standard. In Windows 7 viene approfondito l'investimento nel controllo dell'account utente con modifiche specifiche volte a migliorare l'esperienza utente. Tali modifiche comprendono la riduzione del numero di applicazioni e attività del sistema operativo che richiedono privilegi amministrativi e consentono un comportamento flessibile della richiesta di autorizzazione agli utenti che continuano ad utilizzare privilegi amministrativi. Ne consegue che gli utenti standard possono svolgere più funzioni e che tutti gli utenti ricevono meno richieste.

AppLocker

I criteri di controllo delle applicazioni sono stati intensificati in Windows 7 tramite AppLocker, un meccanismo flessibile di facile gestione che consente ai responsabili IT di specificare con precisione quali applicazioni è possibile eseguire nell'infrastruttura desktop e che permette agli utenti di eseguire le applicazioni, gli script e i programmi di installazione necessari per garantire la produttività. Di conseguenza, i responsabili IT possono standardizzare le applicazioni nell'organizzazione senza rinunciare ai vantaggi di sicurezza, operatività e conformità.

AppLocker offre una struttura semplice ed efficace basata su tre tipi di regole: “consenti”, “nega” ed “eccezione”. Le regole di autorizzazione limitano l'esecuzione delle applicazioni alle applicazioni innocue conosciute, bloccando tutto il resto. Le regole di negazione si basano invece sull'approccio inverso e consentono l'esecuzione di tutte le applicazioni, ad eccezione di quelle riportate in un elenco di applicazioni dannose conosciute. Sebbene molte aziende probabilmente sceglieranno una combinazione di regole di autorizzazione e di negazione, la distribuzione ideale di AppLocker prevede l'applicazione di regole di autorizzazione con alcune eccezioni incorporate. Le regole di eccezione escludono i file dalla regola di autorizzazione/negazione che verrebbe normalmente applicata. Tramite le eccezioni, ad esempio, è possibile creare una regola per consentire l'esecuzione di tutte le applicazioni nel sistema operativo Windows, ad eccezione dei giochi incorporati. L'applicazione di eccezioni alle regole di autorizzazione rappresenta un metodo efficace per generare un elenco di applicazioni innocue conosciute senza creare un numero esagerato di regole.

In AppLocker sono state introdotte le regole dell'entità di pubblicazione basate sulle firme digitali delle applicazioni. Le regole dell'entità di pubblicazione permettono di generare regole resistenti agli aggiornamenti delle applicazioni, in quanto è possibile specificare attributi come la versione dell'applicazione. Un'organizzazione, ad esempio, può creare una regola per consentire l'esecuzione di tutte le versioni di Acrobat Reader superiori alla 9.0 se sono firmate dall'autore di software Adobe. Quando Acrobat viene aggiornato, è possibile installare l'aggiornamento dell'applicazione senza generare altre regole per la nuova versione dell'applicazione.

È possibile inoltre associare le regole di AppLocker a un utente o a un gruppo specifico in un'organizzazione. Questa funzione consente un controllo capillare per soddisfare i requisiti di conformità tramite la convalida e l'autorizzazione agli utenti ad eseguire applicazioni specifiche. È possibile ad esempio creare una regola per consentire agli utenti del reparto amministrativo di eseguire applicazioni di tipo finanziario. Questa regola impedisce a tutti gli utenti non appartenenti al reparto amministrativo di eseguire applicazioni finanziarie (compresi gli amministratori), ma consente comunque l'accesso agli utenti che devono eseguire le applicazioni per esigenze di lavoro.

AppLocker offre un'esperienza stabile agli amministratori IT grazie a nuovi strumenti e procedure guidate per la creazione di regole. Seguendo un approccio graduale e la guida completamente integrata, la creazione di nuove regole, la generazione automatica di regole e l'importazione ed esportazione di regole sono attività intuitive, e la manutenzione è semplice. Gli amministratori IT, ad esempio, possono generare automaticamente regole con un computer di riferimento, quindi importarle nell'ambiente di produzione e distribuirle. Gli amministratori IT possono anche esportare i criteri per eseguire il backup della configurazione del sistema di produzione oppure per fornire la documentazione ai fini della conformità.

BitLocker e BitLocker To Go

Ogni anno, centinaia di migliaia di computer non adeguatamente protetti vengono smarriti, rubati o dismessi. La perdita o il furto dei dati, però, non è soltanto un problema informatico. Unità flash USB, posta elettronica, documentazione smarrita e così via, comportano il rischio che i dati finiscano nelle mani sbagliate. Windows 7 affronta la minaccia costante della perdita dei dati con gli aggiornamenti della gestibilità e della distribuzione a Crittografia unità BitLocker e l'introduzione di BitLocker To Go, che offrono maggiore protezione dall'esposizione e dal furto dei dati estendendo il supporto BitLocker ai dispositivi di archiviazione rimovibili.

Crittografia unità BitLocker (in breve BitLocker) consente di impedire a un intruso che avvia un sistema operativo parallelo o utilizza un software di intrusione di compromettere la protezione dei file e del sistema Windows 7 o di eseguire la visualizzazione non in linea dei file memorizzati nell'unità protetta. Windows 7 BitLocker presenta gli stessi vantaggi principali di Windows Vista BitLocker; tuttavia, le funzionalità principali di Windows 7 BitLocker sono state migliorate per offrire un'esperienza migliore a professionisti IT e utenti finali. Per i clienti che non hanno distribuito Windows Vista con la configurazione del disco in due partizioni richiesta da BitLocker, il partizionamento dell'unità per attivare BitLocker era complesso. Windows 7 crea automaticamente le partizioni del disco necessarie in fase di installazione, per semplificare sensibilmente la distribuzione di BitLocker. Un'altra novità di Windows 7 BitLocker è la possibilità di fare clic su un'unità con il pulsante destro del mouse per attivare la protezione BitLocker.

Windows 7 BitLocker aggiunge il supporto di Agente recupero dati (DRA) a tutti i volumi protetti. Come fortemente voluto dai clienti, i responsabili IT possono richiedere tramite DRA che tutti i volumi protetti da BitLocker (sistema operativo, volumi fissi e i nuovi volumi portatili) siano crittografati tramite un DRA appropriato. DRA è una nuova funzione di protezione con chiave che viene scritta in ogni volume dati, in modo che gli amministratori IT autorizzati abbiano sempre accesso ai volumi protetti da BitLocker.

BitLocker To Go estende il supporto di BitLocker ai dispositivi di archiviazione rimovibili, comprese le unità flash USB e le unità disco portatili. BitLocker To Go consente inoltre agli amministratori di controllare l'utilizzo dei dispositivi di archiviazione rimovibili nel loro ambiente ed offre la capacità di protezione necessaria. Gli amministratori possono richiedere la protezione dei dati per i dispositivi di archiviazione rimovibili sui quali gli utenti intendono scrivere i dati, consentendo allo stesso tempo che i dispositivi di archiviazione non protetti vengano utilizzati in modalità di sola lettura.  Esistono anche criteri che prevedono l'inserimento di password, smart card o credenziali dell'utente di dominio per l'utilizzo di un dispositivo di archiviazione rimovibile protetto.

BitLocker To Go può essere utilizzato da solo, senza che la partizione di sistema sia protetta tramite la funzionalità tradizionale di BitLocker. Infine, BitLocker To Go supporta in sola lettura i dispositivi rimovibili sulle versioni precedenti del sistema operativo Windows, consentendo la condivisione più sicura di file con utenti che utilizzano ancora Windows Vista e Windows XP con il lettore BitLocker To Go.  

Quando si viaggia con il portatile, si condividono file di grandi dimensioni con un partner fidato o si lavora da casa, BitLocker e BitLocker To Go consentono di garantire che soltanto gli utenti autorizzati possano leggere i dati, anche in caso di smarrimento, furto o utilizzo illecito del supporto.

Conclusioni

In Windows 7, basato sulle stesse funzioni di sicurezza di Windows Vista, sono stati introdotti diversi miglioramenti della sicurezza, a testimonianza del fatto che Microsoft continua a trovare modi migliori per proteggere i dati e gli investimenti nell'IT degli utenti. Le aziende beneficeranno dei vantaggi derivanti dai miglioramenti che consentono di proteggere le informazioni aziendali riservate, di intensificare la protezione dai malware e di garantire l'accesso sicuro alle risorse e ai dati aziendali. Gli utenti finali potranno utilizzare il computer e Internet nella consapevolezza che le nuove funzioni e tecnologie di Windows 7 proteggono la loro privacy e le informazioni personali. Infine, tutti gli utenti beneficeranno delle opzioni flessibili di configurazione della sicurezza di Windows 7, che consentono di raggiungere uno straordinario equilibrio tra sicurezza e usabilità in base ad ogni specifica esigenza.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2014 Microsoft. Tutti i diritti riservati.