Protezione desktop: L’approccio di 'difesa totale’

L’approccio di “difesa totale” rappresenta una filosofia di sicurezza completa che consente di proteggere l’ambiente informatico da numerosi vettori di attacco.

Joshua Hoffman

Una delle poche costanti dei computer desktop è il fatto che nulla è veramente costante. Nella maggior parte dei casi, si tratta di un aspetto positivo. Il panorama in costante mutamento dell’ambiente informatico è il risultato dell’innovazione e della creatività, in quanto ci offre nuovi modi per interagire, collaborare e metterci in contatto con il mondo.

Tuttavia, con il mutare del panorama dei computer desktop, muta anche la prospettiva della protezione desktop. Con il cambiamento delle tipologie di piattaforme e dati, emergono nuove minacce. I professionisti IT devono rimanere sempre vigili e attenti alle procedure e agli strumenti disponibili per rispondere a tali minacce.

La prospettiva di “Difesa totale” della protezione desktop rappresenta una filosofia di sicurezza. Si tratta di un approccio che consente di proteggere l’ambiente informatico dal maggior numero di diversi potenziali vettori di attacco possibili. Esamineremo i modi per proteggere l’ambiente desktop da software indesiderato e dannoso, le nuove tecnologie per proteggere gli utenti e i dati in qualsiasi momento e gli strumenti che consentano ai professionisti IT di gestire un ambiente informatico eterogeneo.

Software dannoso

I criminali tecnologicamente esperti sono implacabili nei propri attacchi ai computer desktop. Sfortunatamente, ciò comporta un numero sempre maggiore di tentativi creativi di ingannare e costringere gli utenti finali a installare software dannoso sulle proprie macchine. Fortunatamente, sono disponibili una vasta gamma di strumenti per consentire di proteggere gli utenti, nonché l’infrastruttura a cui sono connessi.

Controllo dell'account utente è una funzionalità per la prima volta introdotta in Windows Vista che consente agli utenti e agli amministratori di proteggere l’accesso ai diritti amministrativi all’interno dell’ambiente del computer desktop. Gli utenti possono facilmente operare con privilegi utente standard, pertanto le funzioni amministrative delle macchine sono isolate dal software dannoso che potrebbe tentare di accedere ai dati o eseguire attività all'insaputa dell'utente.

In Windows 7 sono stati apportati significativi migliorativi al Controllo dell’account utente. L’esperienza utente è stata migliorata mediante la riduzione del numero di funzioni amministrative che richiedono l’elevazione dei privilegi.  In Windows 7 è stata inoltre introdotta la modalità di elevazione automatica per gli eseguibili Windows con firma digitale e nuove modalità operative per garantire un controllo più granulare degli eventi che richiedono un’elevazione esplicita dei privilegi. Per informazioni più dettagliate sul funzionamento del Controllo dell'account utente per garantire la protezione dell’ambiente desktop, leggere l’articolo pubblicato nel luglio del 2009 da Mark Russinovich intitolato “Approfondimento del controllo dell'account utente di Windows 7.”

AppLocker è un’altra nuova funzionalità di Windows 7 che consente agli amministratori di specificare esattamente quali programmi è possibile eseguire nel proprio ambiente. AppLocker si fonda sulle basi introdotte dai Criteri restrizione software di Windows XP e Windows Vista. Gli amministratori possono permettere o negare l’installazione di specifiche applicazioni sui propri desktop.

AppLocker migliora l’esperienza ulteriormente rispetto ai Criteri restrizione software mediante l’introduzione di regole basate sulle firme digitali delle applicazioni. Ciò consente agli amministratori di identificare le applicazioni che desiderano proibire all’interno dell’organizzazione, senza dover aggiornare le regole ogniqualvolta viene modificato un attributo di uno specifico programma (ad esempio, un indicatore di data o un numero di versione). Anche il motore regole integrato in AppLocker offre un livello di granularità elevato (vedere la Figura 1), che consente agli amministratori di creare facilmente regole generali in grado di consentire eccezioni in caso di necessità.

Figura 1 Configurazione di AppLocker in Windows 7

Inoltre, le regole di AppLocker possono essere associate a un utente o gruppo specifico all’interno di un’organizzazione. Ciò consente l’utilizzo di controlli specifici che permettono di soddisfare i requisiti di conformità e sicurezza mediante la capacità di convalidare e stabilire quali utenti possono eseguire applicazioni specifiche.

Controllo dell’account utente e AppLocker forniscono dei meccanismi affidabili per il controllo delle applicazioni che è possibile installare e utilizzare su qualsiasi macchina. Forefront Client Security consente di fare un ulteriore passo avanti, poiché fornisce un motore antivirus e anti-spyware potente e la protezione dei file in tempo reale. Nel caso in cui un elemento dannoso dovesse entrare nell'ambiente desktop, i filtri costantemente aggiornati inclusi in ForeFront Client Security consentono non solo di rilevare, ma anche neutralizzare la minaccia.

Dati mobili

Uno dei cambiamenti più significativi a cui abbiamo assistito negli ultimi dieci anni è quanto si siano ridotte le attività di un utente su un desktop vero e proprio. I computer portatili, i netbook e il vasto assortimento di dispositivi mobili rappresentano la maggioranza delle piattaforme informatiche. Gli utenti utilizzano le proprie piattaforme e i propri dati molto di più quando si trovano in viaggio. Questo certamente ha i suoi vantaggi, ma introduce anche maggiori rischi. I computer portatili e altri dispositivi portatili hanno maggiori probabilità di essere smarriti, dimenticati o rubati, con il conseguente potenziale consegna di informazioni riservate a individui non autorizzati.

Esistono diverse possibilità per consentire di proteggere gli utenti dalla perdita di dati o un furto. Crittografia unità BitLocker (abbreviato in BitLocker) consente di impedire l’accesso non autorizzato al proprio computer portatile o netbook. I file archiviati nell’unità crittografata (vedere la Figura 2) sono protetti e inaccessibili per gli utenti non autorizzati. Grazie alla crittografia dei dati completa dei volumi, alla convalida dell'integrità dei componenti avviati prima del sistema operativo e alla possibilità di richiedere un PIN o un dispositivo flash USB con materiale importante all’avvio, gli utenti e gli amministratori possono confidare maggiormente nell’integrità dei propri dati, qualora dovessero subire la perdita o il furto del proprio dispositivo mobile.

Figura 2 Crittografia unità BitLocker blocca i dati a livello di unità

La perdita di computer portatili e netbook rappresenta solo parte del problema. Anche lo smarrimento di dispositivi di archiviazione portatili, come unità flash USB, è piuttosto comune. Nelle unità flash USB è possibile archiviare grosse quantità di dati a fronte di costi bassissimi, facendone un’opzione di archiviazione piuttosto interessanti. Tuttavia, diventano anche pericolosi quando vengono utilizzati per archiviare informazioni sensibili. BitLocker To Go consente di ovviare al problema, estendendo la funzionalità BitLocker ai dispositivi di archiviazione rimovibili.

A causa della maggiore mobilità degli utenti, è importante proteggere i dati non solo quando sono archiviati in dispositivi fisici, ma anche quando vengono trasferiti attraverso reti pubbliche. DirectAccessè una nuova funzionalità introdotta in Windows 7 che aumenta la protezione durante la connessione a reti aziendali mentre si è in viaggio.

Sfruttando tecnologie basate su standard come IPsec (Internet Protocol Security) e IPv6 (Internet Protocol version 6), DirectAccess consente agli utenti di rimanere connessi senza interruzioni da postazioni remote alle reti aziendali, senza la necessità di una connessione VPN separata. DirectAccess utilizza inoltre i metodi di crittografia IPsec, come 3DES (Triple Data Encryption Standard) e AES (Advanced Encryption Standard) per garantire la protezione dei dati durante la trasmissione. Ulteriori informazioni su DirectAccess e sui modi per migliorare l’utilizzo di Protezione accesso alla rete nell’articolo di giugno 2010 “The Cable Guy” di Joseph Davies.

Infine, man mano che sempre più attività applicative e line-of-business vengono trasferite nella cloud, è ancora più importante che i browser Web offrano un ambiente il più protetto possibile per le attività elaborazione in linea. L’imminente Internet Explorer 9 sarà basato su una serie di funzionalità di protezione Internet complesse, oltre a offrire diverse migliorie strutturali.

Ad esempio, Internet Explorer 9 includerà un filtro XSS che consente di rilevare questo tipo di attacco sempre più comune. Gli attacchi XSS mirano a compromettere i siti Web attendibili con codice dannoso.

Se il filtro XSS di Internet Explorer 9 scopre una qualsiasi vulnerabilità, disabilita gli script dannosi. Internet Explorer 9 fornisce inoltre un filtro SmartScreen avanzato per consentire agli utenti di identificare ed evitare i siti Web dannosi che possono includere attacchi di phishing, malware e così via. Ulteriori informazioni su Internet Explorer 9 e download della versione beta.

Gestione semplificata

In qualità di professionisti IT, è importante che la distribuzione, la gestione e la manutenzione delle tecnologie e dei criteri di protezione rimangano più semplici ed efficienti possibili. Windows 7 offre una vasta gamma di strumenti che consentono di semplificare la gestione dell'infrastruttura di protezione desktop.

Ad esempio, i cmdlet di Windows PowerShell sono ora disponibili per la funzionalità Criteri di gruppo. Utilizzando questo potente linguaggio di script e shell da riga di comando, oggi è possibile automatizzare e gestire in modo più semplice le attività di Criteri di gruppo. È possibile creare Oggetti Criteri di gruppo, definirne l’associazione ai contenitori Active Directory, configurare le impostazioni dei criteri basate sul Registro di sistema e molto altro ancora. In questo modo, si garantisce che ciascun desktop presente nell’ambiente soddisfi i criteri di configurazione della protezione stabiliti dagli amministratori.

La capacità di controllo della modalità con cui viene distribuito il software all’interno di un’organizzazione per impedire l’introduzione di software potenzialmente dannoso rappresenta un fattore essenziale. Il Servizio ActiveX Installer consente di gestire la distribuzione di controlli ActiveX utilizzando Criteri di gruppo. In questo modo, si garantisce la possibilità di installare e gestire questi controlli avanzati in grado di migliorare l’esperienza Web dell’utente finale senza compromettere l’integrità dei controlli di protezione desktop, quali Controllo dell’account utente.

Gli attacchi dannosi continueranno ad adattarsi alle innovazioni introdotte negli ambienti desktop. Tuttavia, un approccio di “difesa totale” completa alla protezione consentirà di garantire la protezione degli utenti, nonché dei dati aziendali critici.

Joshua Hoffman* è l’ex caporedattore di TechNet Magazine. Oggi è un autore e consulente indipendente che offre consulenze ai clienti sulla tecnologia e sul marketing rivolto a destinatari specifici. Hoffman è inoltre caporedattore di ResearchAccess.com, un sito dedicato alla crescita e all’arricchimento della community coinvolta nella ricerca di mercato. Vive a New York.*

Contenuto correlato

• Microsoft Security Essentials
• AppLocker: La protezione primaria è una panacea?
• Approfondimento del controllo dell'account utente di Windows 7