Guida alla protezione di Windows Vista
Panoramica
Benvenuti nella Guida alla protezione diWindowsVista. In questa guida vengono fornite istruzioni e suggerimenti per rafforzare la sicurezza di computer desktop e portatili su cui è in esecuzione Windows Vista in un dominio con servizio directory Active Directory.
Oltre alle soluzioni, nella Guida alla protezione di Windows Vista è possibile trovare strumenti, procedure dettagliate, suggerimenti e processi che semplificano significativamente il processo di distribuzione. Nella guida, non solo è possibile trovare indicazioni per l'impostazione di una protezione efficace, ma anche un metodo riproducibile che può essere utilizzato per applicare le indicazioni sia nell'ambiente di produzione che nell'ambiente di test.
Lo strumento chiave fornito nella Guida alla protezione di Windows Vista è lo script GPOAccelerator.wsf. Questo strumento consente di eseguire uno script che crea automaticamente tutti gli Oggetti Criteri di gruppo (GPO) necessari per applicare le indicazioni per la protezione. Il file Windows Vista Security Guide Settings.xls contenuto in questa guida costituisce un'ulteriore risorsa da poter utilizzare per confrontare i valori delle impostazioni.
Questa guida è stata revisionata e approvata da team di progettazione, consulenti, personale del supporto tecnico, clienti e partner Microsoft per renderla:
- Affidabile. in quanto basata sulle esperienze effettuate sul campo.
- Autorevole. in virtù delle valide informazioni disponibili.
- Accurata. in quanto sottoposta a convalida e verifica tecnica.
- Operativa. poiché illustra le procedure corrette da utilizzare.
- Specifica. perché consente di risolvere problemi di protezione effettivi.
I consulenti e gli ingegneri di sistema sviluppano le procedure consigliate per l'implementazione di Windows Vista, Windows XP Professional, Windows Server 2003 e Windows 2000 in diversi ambienti. Se si sta prendendo in considerazione Windows Vista per il proprio ambiente, Windows Vista Hardware Assessment solution accelerator consente alle aziende di stabilire l'idoneità dei computer per l'esecuzione del sistema operativo Windows Vista. Questo strumento esegue rapidamente l'inventario dei computer, identifica le funzionalità supportate di Windows Vista e suggerisce specifici aggiornamenti hardware e dei driver del dispositivo in base alle necessità.
Microsoft ha pubblicato le guide per Windows XP con Service Pack 1 (SP1) e Windows XP con SP2. In questa guida vengono trattati miglioramenti significativi per la protezione in Windows Vista. È stata sviluppata e testata con computer su cui è in esecuzione Windows Vista collegati a un dominio che utilizza Active Directory, nonché con computer autonomi.
Nota: tutti i riferimenti a Windows XP presenti in questa guida si intendono rivolti a Windows XP con SP2, salvo diverse indicazioni.
In questa pagina
.gif){kind=icon}
Sintesi
Destinatari della guida
Riepilogo dei capitoli
Indicazioni e strumenti
Convenzioni di stile
Ulteriori informazioni
Ringraziamenti
Sintesi
In qualsiasi ambiente di lavoro, la protezione è un argomento che va considerato seriamente. Molte organizzazioni sottovalutano il valore dell'information technology (IT). Se si verifica un attacco abbastanza grave ai server, l'intera organizzazione potrebbe riportare danni ingenti. Ad esempio, se un malware infetta i computer client presenti nella rete, l'organizzazione potrebbe perdere dati riservati e affrontare costi notevoli generali per riportare tali dati a uno stato protetto. Un attacco che rende inutilizzabile il sito Web potrebbe causare anche grosse perdite di denaro o diminuire la fiducia dei clienti.
L'esecuzione di analisi per ricercare eventuali vulnerabilità, rischi ed esposizioni relativi alla protezione può rendere più chiari i compromessi tra protezione e funzionalità che si impongono per tutti i computer collegati in un ambiente di rete. In questa guida vengono documentate le principali contromisure correlate alla sicurezza disponibili in Windows Vista, le vulnerabilità che tali contromisure consentono di risolvere e le potenziali conseguenze negative (se presenti) correlate all'implementazione di ciascuna contromisura.
Questa guida si basa sulla Guida alla protezione di Windows XP in cui vengono forniti suggerimenti specifici per potenziare i computer su cui è in esecuzione Windows XP con SP2. NellaGuida alla protezione di Windows Vista è possibile trovare suggerimenti su come aumentare la protezione dei computer che utilizzano determinati criteri di base per la protezione nei due ambienti che seguono:
Enterprise Client (EC). I computer client in questo ambiente fanno parte di un dominio che utilizza Active Directory e comunicano solo con sistemi che eseguono Windows Server 2003. Tali computer realizzano un'architettura mista: su alcuni di essi è in esecuzione Windows Vista mentre su altri è in esecuzione Windows XP. Per istruzioni relative al test e alla distribuzione dell'ambiente EC, vedere il Capitolo 1, "Implementazione dei criteri di base di protezione". Per informazioni sulle impostazioni della protezione utilizzate in questo ambiente, vedere l'Appendice A, "Impostazioni di Criteri di gruppo per la protezione".
Specialized Security – Limited Functionality (SSLF). L'attenzione riservata alla protezione è così elevata in questo ambiente che una perdita anche significativa di funzionalità e di facilità di gestione è da considerarsi accettabile. In questo tipo di ambiente sono inclusi, ad esempio, i computer dei servizi segreti e degli apparati militari. I computer client presenti in questo ambiente eseguono solo Windows Vista. Per istruzioni relative al test e alla distribuzione dell'ambiente SSLF, vedere il Capitolo 5, "Specialized Security – Limited Functionality". Per informazioni sulle impostazioni SSLF utilizzate in questo ambiente, vedere l'Appendice A, "Impostazioni di Criteri di gruppo per la protezione".
.gif "Avviso")
AvvisoLe impostazioni di protezione SSLF non sono destinate alla maggior parte delle organizzazioni aziendali. La configurazione di queste impostazioni è stata sviluppata per le organizzazioni in cui la protezione ha la priorità sulla funzionalità.
La guida è organizzata in modo da consentire all'utente di accedere facilmente alle informazioni necessarie. Grazie alla guida e agli strumenti associati è possibile:
- Distribuire e attivare uno dei criteri di base di protezione nell'ambiente di rete.
- Identificare e utilizzare le funzionalità di protezione di Windows Vista in scenari di protezione comuni.
- Identificare lo scopo di ogni singola impostazione dei criteri di base e comprenderne il significato.
Sebbene la guida sia concepita per le grandi aziende, molte indicazioni sono appropriate per aziende di qualsiasi dimensione. Per utilizzare in modo ottimale il materiale, è necessario leggere l'intera guida. Tuttavia, è possibile leggere parti singole della guida per ottenere informazioni specifiche. La sezione "Riepilogo dei capitoli" in questa panoramica introduce brevemente le informazioni contenute in tutta la guida. Per ulteriori informazioni su argomenti e impostazioni della protezione correlate a Windows XP, vedere la Guida alla protezione di Windows XP e la guida complementare, Threats and Countermeasures.
.gif "Inizio pagina"){kind=icon}
Inizio pagina
Destinatari della guida
La Guida alla protezione di Windows Vista è rivolta principalmente a personale IT, addetti alla protezione, architetti di rete e altri professionisti e consulenti IT che progettano lo sviluppo e la distribuzione dell'applicazione o dell'infrastruttura di Windows Vista per i computer client desktop e laptop in un ambiente aziendale. La guida non è destinata a utenti privati, ma è rivolta a persone che svolgono le seguenti mansioni:
- Personale IT. Gli utenti con questa mansione gestiscono la protezione a tutti i livelli dell'organizzazione, da 50 a 500 computer client. Il personale IT si interessa della protezione semplice e veloce dei computer che gestisce.
- Specialista della protezione. Gli utenti con questa mansione si occupano di come fornire protezione alle piattaforme informatiche all'interno di un'organizzazione. Gli specialisti della protezione richiedono una guida di riferimento affidabile che soddisfi le esigenze di protezione di ogni livello dell'organizzazione e che offra anche metodi collaudati per implementare le contromisure di protezione. Essi identificano le funzionalità e le impostazioni di protezione, quindi forniscono suggerimenti su come i clienti possono utilizzarle in modo più efficace in un ambiente a rischio elevato.
- Operazioni IT, supporto tecnico e personale addetto alla distribuzione. Gli utenti impegnati in operazioni IT concentrano la loro attenzione sull'integrazione della protezione e sul controllo delle modifiche nel processo di distribuzione, mentre gli addetti alla distribuzione si occupano della rapida gestione degli aggiornamenti per la protezione. Il personale impegnato in queste mansioni risolve anche i problemi relativi alla protezione correlati alle applicazioni che comprendono come installare, configurare e migliorare la facilità di utilizzo e di gestione del software. Il suddetto personale controlla questi tipi di problemi per definire aggiornamenti misurabili della protezione e un impatto minimo sulle applicazioni aziendali critiche.
- Architetto e pianificatore di rete. Gli utenti con queste mansioni definiscono l'architettura di rete per i computer presenti nella loro organizzazione.
- Consulente. I consulenti lavorano in organizzazioni che utilizzano da 50 a 5.000 o più computer client. Essi sono informati sui vari tipi di scenari di protezione che si estendono a tutti i livelli di un'organizzazione. I consulenti IT di Microsoft Services e partner sfruttano gli strumenti di trasferimento delle conoscenze per i clienti e i partner aziendali.
- Analista di sistema e dirigente aziendale (BDM). Gli utenti che ricoprono questi ruoli hanno obiettivi e requisiti aziendali importanti che necessitano del supporto IT per desktop o laptop.
Nota: gli utenti che desiderano applicare le indicazioni prescrittive presenti in questa guida devono, come minimo, leggere e completare le operazioni per definire l'ambiente EC nel Capitolo 1, "Implementazione dei criteri di base di protezione".
Competenze e idoneità
Le seguenti conoscenze e competenze sono necessarie per i destinatari di questa guida, i quali sviluppano, distribuiscono e proteggono i computer client protetti su cui è in esecuzione Windows Vista nelle organizzazioni aziendali:
- MCSE su Windows Server 2003 o una certificazione successiva e due o più anni di esperienza in materia di protezione o conoscenza equivalente.
- Conoscenza approfondita del dominio aziendale e di ambienti Active Directory.
- Esperienza con la Console Gestione Criteri di gruppo (GPMC).
- Esperienza nell'amministrazione di Criteri di gruppo mediante la Console Gestione Criteri di gruppo, che fornisce un'unica soluzione per la gestione di tutte le attività correlate a Criteri di gruppo.
- Esperienza nell'utilizzo di strumenti di gestione che includono Microsoft Management Console (MMC), Gpupdate e Gpresult.
- Esperienza nella distribuzione delle applicazioni e dei computer client in ambienti aziendali.
Obiettivi della guida
Gli obiettivi principali della guida mirano a consentire all'utente di:
- Utilizzare le indicazioni sulla soluzione per creare e applicare efficacemente le configurazioni di base verificate di protezione utilizzando Criteri di gruppo.
- Comprendere lo scopo dei suggerimenti di impostazione di protezione nelle configurazioni di base inclusi nella guida e le relative implicazioni.
- Identificare e considerare i comuni scenari di protezione e la modalità di utilizzo delle funzionalità specifiche di protezione in Windows Vista per consentirne la gestione nel proprio ambiente.
La guida è stata ideata per consentire l'utilizzo esclusivo di alcune parti rilevanti al fine di soddisfare i requisiti di protezione dell'organizzazione. Tuttavia, i lettori trarranno il massimo vantaggio leggendo la guida per intero.
Scopo della guida
In questa guida viene illustrato come creare e gestire un ambiente protetto per computer desktop e laptop su cui è in esecuzione Windows Vista. Vengono mostrate le diverse fasi della procedura di protezione di due diversi ambienti e l'effetto di ogni impostazione per computer desktop e laptop distribuiti in ciascuno di questi ambienti. Vengono fornite, inoltre, informazioni prescrittive e suggerimenti per la protezione.
Sui computer client nell'ambiente EC può essere eseguito Windows XP o Windows Vista. Tuttavia, sui computer che gestiscono questi computer client sulla rete deve essere in esecuzione Windows Server 2003 R2 o Windows Server 2003 con SP1. Sui computer client nell'ambiente SSLF può essere eseguito esclusivamente Windows Vista.
La guida contiene solo le impostazioni di protezione disponibili nel sistema operativo consigliato. Per una descrizione dettagliata di tutte le impostazioni di protezione in Windows Vista, vedere la guida complementare, Threats and Countermeasures.
Inizio pagina
Riepilogo dei capitoli
La Guida alla protezione di Windows Vista è composta da cinque capitoli e un'appendice da utilizzare come riferimento per descrizioni, considerazioni e valori delle impostazioni. Il file Windows Vista Security Guide Settings.xls contenuto in questa guida costituisce un'ulteriore risorsa da poter utilizzare per confrontare i valori delle impostazioni. Nella figura seguente viene mostrata la struttura della guida che fornisce informazioni sulle modalità di implementazione e distribuzione delle indicazioni prescrittive.
.gif "Guida alla protezione di Windows Vista")
.gif){kind=link}
Panoramica
Nella panoramica vengono dichiarati lo scopo e l'ambito della guida, vengono definiti i destinatari della stessa e viene indicata l'organizzazione della guida per semplificare l'individuazione delle informazioni di cui si necessita. Vengono inoltre descritti gli strumenti e i modelli forniti con la guida, nonché i prerequisiti per l'indicazione. Seguono brevi descrizioni per ciascun capitolo e l'appendice della guida.
Capitolo 1: implementazione dei criteri di base di protezione
In questo capitolo vengono identificati i vantaggi per un'azienda di creare e distribuire un criterio di base di protezione. Il capitolo contiene istruzioni e processi per implementare le impostazioni di base dell'ambiente EC e le indicazioni per la protezione.
A tale scopo, il capitolo include le istruzioni che spiegano come utilizzare lo script GPOAccelerator.wsf in combinazione con la GPMC per creare, testare e distribuire le unità organizzative (OU) e gli Oggetti Criteri di gruppo per definire questo ambiente. Il file Windows Vista Security Guide Settings.xls contenuto in questa guida costituisce un'ulteriore risorsa da poter utilizzare per confrontare i valori delle impostazioni.
Capitolo 2: come difendersi dal malware
In questo capitolo vengono riportate indicazioni utili per sfruttare le funzionalità nuove ed esistenti in Windows Vista al fine di consentire la protezione dei computer client e dei beni aziendali dai programmi malware, tra cui virus, worm e trojan horse. È possibile trovarvi informazioni su come utilizzare più efficacemente le seguenti tecnologie nel sistema operativo:
- Controllo dell'account utente (UAC)
- Windows Defender
- Windows Firewall
- Centro sicurezza PC Windows
- Strumento di rimozione malware
- Criteri restrizione software
Inoltre, nel capitolo sono incluse le seguenti informazioni sulle tecnologie di protezione di Internet Explorer 7:
- Modalità protetta di Internet Explorer
- Consenso esplicito ActiveX
- Protezione da attacchi di Cross-Domain Scripting
- Barra di stato di protezione
- Filtro anti-phishing
- Ulteriori funzionalità di protezione
Capitolo 3: protezione dei dati riservati
In questo capitolo vengono forniti suggerimenti e procedure consigliate su come proteggere i dati utilizzando le tecnologie di crittografia e controllo degli accessi in Windows Vista. Tali tecnologie sono particolarmente rilevanti per gli ambienti di lavoro in cui operano gli utenti che lavorano fuori dall'ufficio laddove la probabilità che un dispositivo su cui è in esecuzione Windows Vista venga perso o rubato è molto elevata.
Il capitolo contiene informazioni su come utilizzare più efficacemente le seguenti tecnologie in Windows Vista:
- Crittografia unità BitLocker™
- Crittografia file system (EFS)
- Rights Management Services (RMS)
- Controllo dispositivo
Capitolo 4: compatibilità delle applicazioni
In questo capitolo vengono forniti suggerimenti su come utilizzare le funzionalità e le impostazioni di protezione nuove e avanzate in Windows Vista senza compromettere la funzionalità delle applicazioni esistenti nell'ambiente. In questo capitolo:
- Vengono evidenziati i potenziali problemi di compatibilità tra le applicazioni.
- Vengono fornite due procedure semplici da utilizzare per testare la compatibilità dell'applicazione con Windows Vista.
- Vengono riportate potenziali strategie, configurazioni e istruzioni per la riduzione dei rischi.
- Vengono suggerite altre risorse da utilizzare per determinare ulteriormente la compatibilità delle applicazioni con Windows Vista.
Capitolo 5: Specialized Security – Limited Functionality
Questo capitolo contiene una spiegazione dell'ambiente SSLF e le enormi differenze tra questo e l'ambiente EC. Vengono fornite istruzioni e processi per implementare le impostazioni di base dell'ambiente SSLF e le indicazioni per la protezione. Il capitolo include le istruzioni su come utilizzare uno script per sfruttare la GPMC per creare, testare e distribuire le unità organizzative e gli Oggetti Criteri di gruppo per definire questo ambiente.
Avviso
Le indicazioni presenti in questo capitolo consentono di definire l'ambiente SSLF, che è diverso dall'ambiente EC descritto nel Capitolo 1, "implementazione dei criteri di base di protezione". Le indicazioni sono rivolte solo ad ambienti che richiedono un elevato livello di protezione e non rappresentano un supplemento a quelle presenti nel Capitolo 1.
Appendice A: Impostazioni di Criteri di gruppo per la protezione
Nell'appendice vengono riportate descrizioni e tabelle che descrivono in dettaglio le impostazioni prescritte nei criteri di base di protezione dell'ambiente EC e SSLF per la guida. Viene descritta ciascuna impostazione e il motivo della relativa configurazione o valore. Vengono anche indicate le differenze di impostazione tra Windows Vista e Windows XP.
Inizio pagina
Indicazioni e strumenti
Questo solution accelerator include diversi file, ad esempio Windows Vista Security Guide.doc, Appendice A di Windows Vista Security Guide.doc, Windows Vista Security Guide Settings.xls e lo strumento GPOAccelerator che consente di implementare con facilità le istruzioni. Dopo aver scaricato il solution accelerator di Guida alla protezione di Windows Vista dall'Area download Microsoft, utilizzare il file (con estensione msi) di Microsoft Windows Installer per installare tali risorse sul computer nella posizione desiderata.
Nota: quando si inizia l'installazione della Guida alla protezione di Windows Vista lo strumento GPOAccelerator viene selezionato per impostazione predefinita per essere installato insieme al materiale supplementare con esso fornito. Per utilizzare questo strumento sono richiesti privilegi amministrativi. La posizione predefinita per l'installazione del solution accelerator è la cartella Documenti. L'installazione crea un collegamento alla guida che apre la cartella della Guida alla protezione di Windows Vista.
È possibile utilizzare la Console Gestione Criteri di gruppo (GPMC) per applicare gli strumenti e i modelli per i criteri di base di protezione definiti nella guida. Nei capitoli "Implementazione dei criteri di base di protezione" e "Specialized Security – Limited Functionality", vengono descritte le procedure da utilizzare per svolgere queste operazioni.
Inizio pagina
Convenzioni di stile
In questa guida vengono utilizzate le seguenti convenzioni di stile.
Tabella 1.1 Convenzioni di stile
| Elemento | Significato |
|
Testo in grassetto |
Caratteri digitati esattamente come indicato, inclusi comandi, switch e nomi di file. Anche gli elementi dell'interfaccia utente sono riportati in grassetto. |
|
Testo in corsivo |
I titoli dei libri e altre pubblicazioni essenziali sono riportati incorsivo. |
|
<Corsivo> |
I segnaposto in corsivo e le parentesi ad angolo <filename> rappresentano le variabili. |
|
Testo a spaziatura fissa |
Identifica gli esempi di codice e di script. |
|
Nota: |
Segnala la presenza di informazioni supplementari. |
|
Importante |
Una nota importante fornisce informazioni essenziali per il completamento di un'attività. |
 Avviso |
Richiama l'attenzione del lettore su essenziali informazioni supplementari che non possono essere ignorate. |
|
‡ |
Questo simbolo denota modifiche o suggerimenti sull'impostazione specifica di Criteri di gruppo. |
|
§ |
Questo simbolo indica le nuove impostazioni di Criteri di gruppo per Windows Vista. |
Ulteriori informazioni
I seguenti collegamenti forniscono ulteriori informazioni sugli argomenti relativi alla protezione, nonché informazioni dettagliate sui concetti e sulle indicazioni presenti in questa guida:
- Microsoft Windows Security Resource Kit sul sito Web Microsoft Learning.
- Resource Kit di Microsoft Windows Server 2003: Special Promotional Edition sul sito Web Microsoft Learning.
- La pagina Guida alla protezione su Microsoft TechNet®.
- Threats and Countermeasures su TechNet.
- Guida alla protezione di Windows Server 2003 su TechNet.
- Valutazione dell'hardware per Windows Vista su Microsoft.com.
- Resource Kit di Windows XP Professional su TechNet.
- Guida alla protezione di Windows XP su TechNet.
Supporto e commenti
Il team Solution Accelerator – Security and Compliance (SASC) è interessato a eventuali commenti e suggerimenti offerti su questo e altri solution accelerator.
Sono graditi commenti al newsgroup Discussions in Security sul sito Web della guida in linea e del supporto tecnico di Windows Vista.
È anche possibile inviare un messaggio di posta elettronica con i commenti all'indirizzo: secwish@microsoft.com.
Grazie per la collaborazione.
Inizio pagina
Ringraziamenti
Il team Solution Accelerator – Security and Compliance (SASC) desidera esprimere il proprio riconoscimento e ringraziamento al team che ha elaborato la Guida alla protezione di Windows Vista. Le persone seguenti sono state direttamente responsabili o hanno contribuito sostanzialmente alle fasi di scrittura, sviluppo e test di questa soluzione.
Team di sviluppo
Autori ed esperti
José Maldonado
Mike Danseglio
Michael Tan
Richard Harrison, Content Master Ltd
David Coombes, Content Master Ltd
Jim Captainino, Content Master Ltd
Richard Hicks, QinetiQ
Tester
Gaurav Bora
Vikrant Minhas, Infosys Technologies Ltd
Sumit Parikh, Infosys Technologies Ltd
Dharani Mohanam, Infosys Technologies Ltd
Swapna Jagannathan, Infosys Technologies Ltd
Prashant Japkar, Infosys Technologies Ltd
Editor
John Cobb, Wadeware LLC
Jennifer Kerns, Wadeware LLC
Steve Wacker, Wadeware LLC
Program Manager
Kelly Hengesteg
Audrey Centola, Volt Information Sciences
Neil Bufton, Content Master Ltd
Product Manager
Jim Stewart
Alain Meeus
Tony Bailey
Kevin Leo, Excell Data Corporation
Release Manager
Karina Larson
Gareth Jones
Collboratori e revisori
Microsoft
Charles Denny, Ross Carter,
Derick Campbell, Chase Carpenter
Karl Grunwald, Mike Smith-Lonergan
Don Armstrong, Bob Drake
Eric Fitzgerald, Emily Hill
George Roussos, David Abzarian
Darren Canavor, Nils Dussart
Peter Waxman, Russ Humphries
Sarah Wahlert, Tariq Sharif
Ned Pyle, Bomani Siwatu
Kiyoshi Watanabe, Eric Lawrence
David Abzarian, Chas Jeffries
Vijay Bharadwaj, Marc Silbey
Sean Lyndersay, Chris Corio
Matt Clapham, Tom Daemen
Sanjay Pandit, Jeff Williams
Alex Heaton, Mike Chan
Bill Sisk, Jason Joyce
Altre società
Mehul Mediwala, Infosys Technologies Ltd
Note
Su richiesta di Microsoft, National Security Agency Information Assurance Directorate ha preso parte alla revisione di questa guida alla protezione Microsoft e i commenti forniti sono stati incorporati nella versione pubblicata.
Il NIST (United States Department of Commerce National Institute of Standards and Technology) ha partecipato alla revisione di questa guida alla protezione Microsoft e i commenti forniti sono stati incorporati nella versione pubblicata.
Inizio pagina
In questo articolo
- Panoramica
- Capitolo 1: implementazione dei criteri di base di protezione
- Capitolo 2: come difendersi dal malware
- Capitolo 3: protezione dei dati riservati
- Capitolo 4: compatibilità delle applicazioni
- Capitolo 5: Specialized Security – Limited Functionality
- Appendice A: Impostazioni di Criteri di gruppo per la protezione
Download
Richiedi la Guida alla protezione di Windows Vista
Notifiche sul solution accelerator
Iscriviti per essere sempre aggiornato
Commenti