windows server 2003 sp1 security configuration wizard piergiorgio malusardi it pro evangelist...
TRANSCRIPT
![Page 1: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/1.jpg)
Windows Server 2003 SP1Security Configuration Wizard
PierGiorgio MalusardiIT Pro EvangelistMicrosoft
![Page 2: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/2.jpg)
Agenda
Introduzione a SCW Dimostrazione Approfondimenti Buone pratiche Informazioni sul rilascio
![Page 3: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/3.jpg)
Introduzione a SCWCos’è
Un tool di creazione di Politiche di Sicurezza Focalizzato sulla riduzione della superficie di attacco
Disabilita servizi non necessari Disabilita estensioni web non necessarie Blocca porte non necessarie Restringe l’accesso alle porte aperte solo ai corretti utilizzatori Riduce l’esposizione dei protocolli
• Firma digitale di SMB e LDAP• Compatibilità LanManager e LMHASH
Configura le SACL degli Audit Consente l’import di Security Template
Infrastruttura operativa Rilascio client / server Supporto alla distribuzione via Group Policy Analisi della compatibilità Supporto al rollback
![Page 4: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/4.jpg)
Perché SCW?
Lo stato dell’arte attuale è basato su guide cartacee Migliaia di pagine Sorgenti multiple con inconsistenze Non provate dai gruppi di sviluppo dei
prodotti Difficile mantenere aggiornati i documenti
Il risultato sono molti sistemi insicuri
![Page 5: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/5.jpg)
Creazione delle policy
Un wizard guida passo passo alla creazione delle policy
Il risultato dell’operazione è un file XML
![Page 6: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/6.jpg)
Distribuzione delle policySingolo server
Le policy sono applicabili al server locale o ad un remoto da GUI
L’applicazione di una policy SCW (file XML) ad un server richiede che SCW sia installato sul sistema
![Page 7: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/7.jpg)
Distribuzione delle policyServer multipli via Command Line
Tool CLI scwcmd.exe File MachineList.xml con
elenco delle macchine a cui applicare le policy (mappatura policy-macchina)
Scwcmd.exe consuma MachineList.xml e applica l’appropriato file di configurazione all’appropriata macchina (multi thread)
SCW deve essere installato sui server bersaglio
Metodo analogo usato per l’analisi di compatibilità
Policy1.xml Policy2.xml
MachineList.xml
Scwcmd.exe
![Page 8: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/8.jpg)
Distribuzione delle policyServer multipli via GPO
Scwcmd.exe trasforma i file delle policy in file che possono essere distribuiti nativamente via GPO
Un file .INF per le impostazioni di sicurezza
Un file .POL per la configurazione di Windows Firewall
Un IPSec blob per la configurazione di IPSec
Le impostazioni di IIS non sono gestite in questa modalità
I file generati sono contenuti in una GPO
La GPO deve essere collegata alla corretta OU
SCW non è richiesto sui computer bersaglio
Scwcmd.exe
Sce.inf Firewall.pol Filters.ipsec
![Page 9: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/9.jpg)
Demo:Creazione di una policy con SCW
![Page 10: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/10.jpg)
Approfondimenti
Estensioni Knowledge base aziendale
![Page 11: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/11.jpg)
SCW e IPSec SCW non è pensato per creare policy IPSec
sofisticate come: Comunicazione DC – DC Segmentazione di rete Quarantena
SCW è pensato per fornire sicurezza semplice a livello di porta Principalmente sulla rete aziendale Per chi non ha attualmente policy IPSec attive Default è “Accetta comunicazioni insicure ma cerca di
rispondere sempre in IPSec Assume che i client usino la default response rule
![Page 12: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/12.jpg)
Estensione con la KB aziendale
Possibile modificare i file .xml che definisco la KB mostrata nel wizard
Le modifiche saranno mostrate nell’interfaccia del wizard
I file .xml della KB risiedono in%windir%\security\msscw\kbs
![Page 13: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/13.jpg)
Estensione con la KB aziendale
W2K3.xml
Sql.xml
Exchange.xml
SMS.xml
Knowledge base
…
![Page 14: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/14.jpg)
Estensione con la KB aziendale
W2K3.xml
Sql.xml
Exchange.xml
SMS.xml
Knowledge base
…
<KBS> <Root> <Name>W2K3</Name> </Root> <Extensions> <Name>SQL.xml</Name> <Name>Exchange.xml</Name> <Name>sms.xml</Name> </Extensions></KBS>
KBReg.xml
![Page 15: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/15.jpg)
Estensione con la KB aziendale
W2K3.xml
Sql.xml
Exchange.xml
SMS.xml
Knowledge base
… <KBS> <Root> <Name>W2K3</Name> </Root> <Extensions> <Name>SQL.xml</Name> <Name>Exchange.xml</Name> <Name>sms.xml</Name> <Name>MyApp.xml</Name> </Extensions></KBS>
KBReg.xmlMyApp.xml
![Page 16: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/16.jpg)
Estensioni incluse in SP1 SQL Server Exchange Server System Management Server (SMS) Microsoft Operations Manager (MOM) Small Business Server ISA Server 2004 Windows Sharepoint Services Sharepoint Portal Server Microsoft Identity Integration Server Biztalk Commerce Server Microsoft Audit Collection Server Host Integration Server (ancora in sviluppo)
![Page 17: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/17.jpg)
Buone pratiche per SCW
![Page 18: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/18.jpg)
Centralizzazione della KB
\\KBServer\KB
Responsabile Sicurezza
R/W
![Page 19: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/19.jpg)
Centralizzazione della KB
\\KBServer\KB
Responsabile Sicurezza
Amministratore locale
R
![Page 20: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/20.jpg)
Centralizzazione della KB
\\KBServer\KB
Responsabile Sicurezza
Amministratore locale esegueScw.exe /kb \\KBServer\KB
\\ServerBersaglio
R
![Page 21: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/21.jpg)
Il rilascio di SCW SCW è parte di Windows Server 2003 SP1
Sicurezza, Test approfonditi e grande usabilità sono i motivi che hanno indotto ad introdurre questo prodotto in un SP
È un componente aggiuntivo e deve essere installato da Control Panel | Add\Remove program | Add\Remove Windows Components
Non ci sono piani per portare questo strumento su versioni del sistema operativo precedenti a SP1
![Page 22: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/22.jpg)
Maggiori informazioni
http://www.microsoft.com/windowsserver2003 http://www.microsoft.com/security http://www.microsoft.com/security/guidance
![Page 23: Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081602/5542eb4b497959361e8b79bb/html5/thumbnails/23.jpg)
© 2003-2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.