Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro. Questo in parte perché ad esso sono mirati i maggiori virus o attacchi. Proprio per offrire un esperienza di navigazione in internet e un utilizzo del pc maggiormente sicuro, con il prossimo sistema operativo Windows Vista, Microsoft introduce una serie di funzionalità innovative in grado di garantire un nuovo concetto di sicurezza. Quindi sia in ambito consumer che in ambito enterprise potremmo avere protezione da virus e malware innata nel sistema operativo. Windows Vista sarà rilasciato dalla fine del 2006. Vediamo quali sono le promesse di sicurezza: User account protection Attualmente, con Windows XP, gli utenti di queste macchine utilizzano il sistema godendo quasi sempre diprivilegi amministrativi. Questo garantisce il completo controllo del pc, ma offre la macchina ad eventuali problemi di sconfigurazione o inavvertita installazione di programmi pericolosi. L utilizzo del desktop senza privilegi amministrativi potrebbe evitare che il sistema diventi instabile. Con la tecnica User account protection, Microsoft consentirà agli utenti di effettuare tutte le operazioni di installazione di software, stampanti o altro, senza possedere i diritti amministrativi.
Per definizione Windows Vista esegue tutti i software in un ambiente privato dei privilegi di amministratore, anche se si è effettuato l accesso alla macchina come amministratore. Nel caso ci fosse la necessità dei privilegi di amministrazione, Windows Vista informerà l utente richiedendo una password apposita. Autenticazione più sicura Windows Vista possiede un supporto integrato per password e per accesso tramite smart-card. Molti utenti cominciano a richiedere sistemi di autenticazione alternativa rispetto alla classica password. Vista semplifica
l utilizzo di soluzioni proprietarie di autenticazione. Grazie al rilascio di interfacce API (Application Programming Interface) specificiche per le smart-card, questo diventa più semplice. Viene introdotto il concetto di autenticazione multi-fattore; ovvero di versi tipi di autenticazione combinati tra loro in sostituzione delle classiche password. Anti-malware Oltre a User account protection e all introduzione di nuove caratteristiche di sicurezza nel browser Explorer, Windows Vista integra nel sistema operativo un sistema di rimozione per malware, worms o spyware. Va sottolineato che questa funzionalità anti-malware è integrata della singola macchina e non offre opzioni di amministrazione di tipo enterprise. In questa maniera i costi di mantenimento di macchine molto rallentate da malware o compromesse, vengono ridotti. Network access protection Altra funzionalità degna di nota impedisce a quei sistemi basati su Windows Vista, che non hanno installato le ultime patch o release di sicurezza, di collegarsi alla propria rete privata. Questo avviene grazie ad un server denominato Network Access Protection Infrastructure, basato sul prossimo Longhorn Server. Questo server verifica lo stato di salute di ogni pc che tenta di connettersi alla LAN, negando l accesso a quelle macchine ritenute meno sicure. Questo perché è frequente, magari per utenti molto mobili, che non venga effettuata la connessione ad internet per lunghi periodi di tempo; in questa maniera l utente non ha la possibilità di scaricare gli ultimi aggiornamenti del sistema operativo, presentandosi come una minaccia nel caso di connessione alla rete aziendale. La piattaforma Network Access Protection Infrastructure previene a queste macchine di entrare in LAN e offre istruzioni agli utenti su come aggiornare i propri computer. Firewall Il firewall incluso in Windows Vista, basato sul firewall introdotto con Windows XP Service Pack 2, aggiunge una importante funzionalità di filtro in uscita per le applicazioni. Molti rischi alcune volte provengono da applicazioni installate sulla macchina, che sono in grado di bypassare quei firewall che includono esclusivamente filtri in grado di bloccare il traffico in entrata. Con il rinnovato firewall integrato in Windows Vista gli amministratori potranno bloccare applicazioni critiche (come software peerto-peer) dal contattare altre macchine poco sicure esterne alla rete. Windows service hardening Questa nuova tecnologia restringe e controlla quei servizi attivi sulla macchine, che potrebbero effettuare attività anomale sul registro o sui file di sistema. I servizi presenti in Windows offrono un ampia superficie di attacco da parte di soggetti malintenzionati. Windows Vista limita il numero di servizi attivi sulla macchine.
Windows Vista introduce la possibilità di creare delle liste di controllo sui servizi che possono girare sulla macchina, gestendo in maniera opportuna quelli critici. Questi servizi critici vengono eseguiti con privilegi amministrativi ristretti, in maniera da limitare pericoli derivanti. Windows service hardening aggiunge un livello di protezione al sistema operativo, anche se non può evitare che servizi vulnerabili possano essere compromessi. Combinando questa opzione con le altre caratteristiche di sicurezza, questa situazione diventa remota. Miglioramenti di Internet Explorer Grazie a User account protection, Windows Vista riesce a limitare i privilegi assegnati ad Explorer durante la navigazione sul web. In questa maniera in caso di codice pericoloso o di malware, vengono a mancare i privilegi che ne possano consentire l esecuzione sulla macchine. Inoltre la protezione delle informazioni personali è posta in primo piano grazie ad un filtro che limita le possibilità di pishing e quindi di aprire siti web compromessi. Altra carateerisitca risiede in un apposita icona in caso di apertura di siti protetti con Secure Socket Layer e cancellazione facilitata di tutti i dati presenti in cache. In questa maniera le tanto discusse falle di vulnerabilità di Internet Explorer dovrebbero essere rimosse. Data protection Windows Vista introduce un nuovo concetto di protezione dei dati, dei files e delle directory. Il client di gestione dei diritti (Rights Management) consente di impostare delle policy di sicurezza ad-hoc. Altra novità risiedono nell Encrypting File System, che offre la possibilità di crittografia completa dei volumi, con chiavi di protezione e utilizzo di smart-card. Su un computer con hardware specifico è possibile crittografare la totalità dei dati, inclusi file di sistema e file di ibernazione. Lo sviluppo di un chip apposito chiamato Trusted Platform Module (TPM) consente di memorizzare in modo sicuro le chiavi di crittografia su un supporto di memoria dedicato. Il supporto del chip TPM evita l eventualità di accessi indesiderati alla macchina; oppure evita accessi al disco rigido, nel caso che questo venga rimosso e montato su una altra macchina; evita anche l avvio con un sistema operativo diverso, che consentirebbe la lettura dei dati contenuti nel disco. Anche il sistema di recovery dei dati è sottomesso ad una serie di chiavi di autenticazione generate durante il processo di creazione del punto di ripristino.
Risorse Utili: http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx