In Windows Server 2003 Service Pack 1 le richieste di conferma utilizzate per
il download dei file, gli allegati di posta elettronica, l’esecuzione di processi nella shell e l’installazione di programmi sono stati modificate in modo da garantire una maggiore chiarezza e coerenza rispetto alle versioni precedenti di Windows Server. Le informazioni sull’autore vengono inoltre visualizzate prima dell’apertura di un tipo di file che può essere dotato di firma ed è potenzialmente in grado di danneggiare il computer dell’utente. Esempi comuni di file di questo tipo sono rappresentati dai file con estensione exe, dll, ocx, msi e cab.
 

Il filtro per Installazione applicazioni consente di selezionare se visualizzare o meno nell’elenco Programmi attualmente installati gli aggiornamenti,ad esempio quelli per la protezione scaricati dal sito Web Microsoft.

La funzionalità Gestione componenti aggiuntivi di Internet Explorer permette
agli utenti di visualizzare e controllare in modo molto più dettagliato l’elenco
dei componenti aggiuntivi che possono essere caricati da Internet Explorer, elencandone anche alcuni che in precedenza erano molto difficili da rilevare.

La funzionalità di rilevamento errori critici per i componenti aggiuntivi consente invece di individuare i problemi di arresto anomalo di Internet Explorer legati
a un componente aggiuntivo. L’utente viene informato quando il componente aggiuntivo viene identificato. È possibile disattivare i componenti aggiuntivi per diagnosticare gli errori critici e migliorare la stabilità generale di Internet Explorer.

Internet Explorer contiene comportamenti binari dinamici, ovvero componenti che includono funzionalità specifiche per gli elementi HTML ai quali sono stati associati. In passato questi componenti non erano controllati dalle impostazioni di sicurezza di Internet Explorer, pertanto potevano funzionare su pagine Web dell’area Siti con restrizioni. Nel Service Pack 1 è disponibile una nuova impostazione di sicurezza di Internet Explorer per i comportamenti binari, che consente di disattivarne il funzionamento nell’area Siti con restrizioni per impostazione predefinita. La nuova opzione di sicurezza offre una protezione generale contro le vulnerabilità dei comportamenti binari di Internet Explorer.
 

Nel Service Pack 1 sono disponibili nuovi valori e chiavi del Registro di sistema, denominati FeatureControl, per le funzionalità di sicurezza di Internet Explorer, introdotti per la prima volta in Windows XP Service Pack 2. Le nuove impostazioni FeatureControl sono contenute sotto forma di criteri in un file Inetres.adm modificato. Gli amministratori possono gestire tali criteri tramite gli oggetti Criteri di gruppo (GPO, Group Policy Object). Quando Internet Explorer viene installato, le impostazioni relative alle preferenze predefinite per questi controlli delle funzionalità vengono registrate nel computer in HKEY_LOCAL_MACHINE. In Criteri di gruppo l’amministratore può impostarle in HKEY_LOCAL_MACHINE (Configurazione computer) o in HKEY_CURRENT_USER (Configurazione utente).

Quando si apre una pagina Web in Internet Explorer, alla pagina vengono applicate le restrizioni impostate, in base alla relativa area di sicurezza di Internet Explorer. Le pagine presenti su Internet si trovano in genere nell’area
di sicurezza Internet che presenta le restrizioni più severe e pertanto potrebbe non essere possibile eseguire determinate operazioni, ad esempio accedere all’unità disco rigido locale. Al contrario, le pagine situate sulla rete aziendale sono assegnate di norma all’area Intranet locale e sono soggette a meno restrizioni. Con il Service Pack 1 Internet Explorer protegge ulteriormente
gli utenti bloccando per impostazione predefinita l’area Computer locale.
Il contenuto HTML locale presente in altre applicazioni verrà eseguito in base alle impostazioni meno restrittive dell’area Computer locale utilizzate nella precedente versione di Internet Explorer, a meno che nell’applicazione non venga utilizzata la funzionalità di blocco di tale area.

Internet Explorer utilizza le informazioni di tipo MIME (Multipurpose Internet Mail Extensions) per decidere come gestire i file inviati da un server Web. Ad esempio, in caso di richiesta HTTP (Hypertext Transfer Protocol) di file jpg, dopo la ricezione dei file, questi vengono in genere visualizzati in una finestra
di Internet Explorer. Se viene ricevuto un file eseguibile, in genere Internet Explorer chiede all’utente di specificare come gestire il file.

Con il Service Pack 1 le regole relative all’utilizzo di Internet sono più rigorose rispetto alla versione precedente di Windows Server 2003, allo scopo di proteggere gli utenti dal download o dall’esecuzione accidentale di file dannosi a causa di informazioni MIME o estensioni di file ingannevoli.
 

Ad esempio, un amministratore può configurare Internet Explorer in modo
da bloccare il contenuto HTML proveniente dal protocollo Shell: nel caso in cui si trovi nell’area Internet. Poiché tale protocollo viene solitamente utilizzato per il contenuto locale anziché per quello su Internet, questo accorgimento può consentire la riduzione dell’area di esposizione agli attacchi del browser rispetto a problemi potenziali derivanti da protocolli di utilizzo meno frequente di HTTP.

Gli utenti finali e gli amministratori IT possono impostare l’apertura delle finestre popup per domini specifici. Gli sviluppatori potranno utilizzare o estendere la funzionalità popup in Internet Explorer per le applicazioni che utilizzano
il programma.

Un file Inetres.adm aggiornato contiene lo stesso elenco di impostazioni URLAction sotto forma di criteri che, nell’interfaccia utente di Internet Explorer, sono disponibili come preferenze. Gli amministratori possono gestire i nuovi criteri di controllo delle funzionalità tramite gli oggetti Criteri di gruppo.
Quando si installa Internet Explorer, le impostazioni delle preferenze di HKEY_CURRENT_USER predefinite per queste impostazioni URLAction vengono registrate nel computer come nelle versioni precedenti. L’amministratore deve utilizzare la console Gestione Criteri di gruppo per aggiungere le azioni URL sotto forma di criteri.
 

L’utilizzo delle impostazioni delle aree di sicurezza per una funzionalità consente di controllare con maggiore precisione le caratteristiche di sicurezza in Internet Explorer e di gestire la compatibilità tra le applicazioni Intranet aziendali.
 

In Internet Explorer è possibile aprire finestre aggiuntive di vari tipi a livello
di programmazione tramite script e ridimensionare e riposizionare le finestre esistenti. La funzionalità di sicurezza Restrizioni finestre, in precedenza definita opzione di riduzione dei rischi di spoofing dell’interfaccia utente, limita due tipi
di finestre inizializzate da script generalmente utilizzate dai pirati informatici
per ingannare gli utenti: le finestre popup, che non includono componenti come la barra degli indirizzi, la barra del titolo, la barra di stato e le barre degli strumenti, e le finestre con la barra del titolo e la barra di stato.

Limitazione del download di contenuto HTML esterno. Questa funzionalità contribuisce a evitare la ricezione ripetuta di messaggi indesiderati, impedendo all’utente di convalidare inconsapevolmente il proprio indirizzo di posta elettronica nell’elenco di distribuzione del mittente della posta indesiderata. Attivando la funzione di blocco del contenuto HTML esterno si modifica il comportamento predefinito di Outlook Express, in modo da evitare di contattare automaticamente il server Web per il download di contenuto esterno, impedendo in tal modo la verifica dell’indirizzo di posta elettronica del destinatario da parte del mittente dei messaggi indesiderati.

Integrazione API Gestione allegati. In Outlook Express è ora incluso un nuovo insieme di API (Application Programming Interface), denominato Gestione allegati, per la verifica degli allegati di posta elettronica. Ciò evita di dover inserire nelle applicazioni codice personalizzato per svolgere controlli di sicurezza analoghi, utilizzando invece questo insieme di API gestito in maniera centralizzata. L’utilizzo di Gestione allegati garantisce un’esperienza utente coerente in tutte le applicazioni in cui viene effettuato il controllo degli allegati di posta elettronica.
 

Nello snap-in Gruppo di criteri risultante (RsoP, Resultant Set of Policy) di
Criteri di gruppo vengono riepilogate le impostazioni di Criteri di gruppo applicate a un utente o a un computer. Lo strumento Risultati criterio di gruppo nella console Gestione Criteri di gruppo richiede i dati RsoP da un computer di destinazione per presentarli all’interno di un report in formato HTML.

Con il Service Pack 1, l’installazione di Windows Firewall in un computer impedisce l’accesso remoto ai dati di Gruppo di criteri risultante da tale computer di destinazione. Inoltre, se Windows Firewall è attivato, quando si esegue la console Gestione Criteri di gruppo per utilizzare Risultati criterio di gruppo o gli strumenti di modellazione di Criteri di gruppo per il recupero dei dati RsoP, non sarà possibile recuperare tali informazioni. È possibile utilizzare le eccezioni di Windows Firewall per consentire il recupero dei dati in entrambi questi casi.

Con Windows Server 2003 Service Pack 1 il servizio RPC (Remote Procedure Call) subisce una modifica sostanziale grazie all’introduzione della chiave
del Registro di sistema RestrictRemoteClients, che consente agli utenti di modificare il comportamento di tutte le interfacce RPC nel sistema e può essere utilizzata per impedire l’accesso anonimo remoto a tali interfacce, con alcune eccezioni. Ulteriori modifiche comprendono la chiave del Registro di sistema EnableAuthEpResolution e tre nuovi flag di registrazione dell’interfaccia.

Questa procedura guidata, che consente di ridurre l’esposizione ai rischi di attacco del sistema operativo Windows Server 2003, guida l’utente nell’identificazione dei requisiti funzionali dei server da utilizzare e si avvale di un sistema basato sui ruoli e su una knowledge base XML estensibile che definisce servizi, porte e altri requisiti funzionali per oltre 50 diversi ruoli dei server, inclusi i ruoli per applicazioni Windows Server System quali Microsoft Exchange Server e SQL Server. Qualsiasi funzionalità non essenziale per un determinato server viene quindi disattivata.

(TCP/IP)

Riparazione automatica di Winsock. Winsock, la funzione di Windows per la gestione dei socket di rete per le applicazioni, può essere esteso tramite un meccanismo noto come Layered Service Provider (LSP). Sono disponibili provider LSP Winsock per una vasta gamma di funzionalità utili, tra cui il controllo parentale in Internet e l’applicazione di filtri al contenuto Web. Nelle precedenti versioni di Windows Server 2003, la rimozione
di un provider LSP in formato errato (o difettoso) poteva causare il danneggiamento del catalogo Winsock nel Registro di sistema, con il rischio di una perdita della connettività di rete. Con il Service Pack 1, Winsock dispone di una funzionalità di riparazione automatica dopo la disinstallazione di un LSP di questo tipo.

Nuovi comandi Netsh Winsock. In Windows Server 2003 Service Pack 1 sono disponibili due nuovi comandi Netsh.

netsh winsock reset catalog

Questo comando consente di ripristinare la configurazione predefinita del catalogo Winsock e può essere utilizzato in caso di installazione di un provider LSP in formato non corretto, con una conseguente perdita della connettività di rete. Benché questo comando sia in grado di ripristinare la connettività di rete, deve essere utilizzato con particolare attenzione perché necessità la reinstallazione degli eventuali LSP corretti installati in precedenza.

netsh winsock show catalog

Questo comando consente di visualizzare l’elenco dei provider LSP Winsock installati nel computer.

Protezione predefinita contro gli attacchi SYN. Per attenuare l’impatto di un attacco SYN a un host, il protocollo TCP/IP riduce al minimo il numero di risorse destinate alle connessioni TCP incomplete e il tempo che deve trascorrere prima di chiudere le connessioni in stato semi-aperto.
Quando viene individuato un attacco SYN, il protocollo TCP/IP in Windows Server 2003 e Windows XP riduce il numero di ritrasmissioni del segmento SYN-ACK e non alloca risorse di memoria o di voci della tabella per la connessione finché l’handshake a tre vie TCP non è stato completato.

Nuove API helper IP per la notifica di attacchi SYN. Per consentire a un’applicazione di notificare agli amministratori di rete che si sta verificando un attacco SYN, sono supportate nuove API per la notifica di tali attacchi denominate NotifySecurityHealthChange e CancelSecurityHealthChangeNotify.

Allocazione intelligente delle porte TCP. Per impedire che un’applicazione crei una connessione con lo stesso set di indirizzi socket di una connessione in stato di TIME WAIT, in Windows Server 2003 SP1 è stato implementato
un algoritmo avanzato per l’allocazione delle porte TCP. Quando un’applicazione richiede una porta TCP disponibile, per prima cosa il protocollo TCP/IP tenta di trovarne una che non corrisponda a una connessione nello stato di TIME WAIT. In caso di risposta negativa, viene selezionata una qualsiasi delle porte disponibili. Grazie a questa nuova funzionalità, è estremamente improbabile che a un’applicazione venga assegnata una porta TCP nello stato di TIME WAIT durante la connessione alla stessa destinazione.
 

Windows Media Player 10, installato per impostazione predefinita insieme a Windows Server 2003 Service Pack 1, include correzioni rapide per la sicurezza e nuove funzionalità.
 

I servizi di provisioning per reti wireless (WPS, Wireless Provisioning Services) offrono agli utenti wireless funzionalità coerenti e semplici per l’attivazione della connettività a punti di accesso pubblici Wi-Fi tramite il provisioning automatico del client e funzionalità di roaming automatiche. I servizi WPS consentono ai provider di servizi Internet per reti wireless (WISP, Wireless Internet Service Provider) di utilizzare una piattaforma integrata e basata su standard per offrire punti di accesso Wi-Fi con sicurezza avanzata, semplici da utilizzare e gestire. Inoltre, i servizi WPS permettono alle aziende di offrire l’accesso guest con sicurezza avanzata alle reti wireless private.

In Windows Server 2003 Service Pack 1, i driver del firewall IPv4 e IPv6 includono una regola statica per l’esecuzione di operazioni di filtro basate sullo stato. Questa regola statica viene denominata criterio della fase di avvio e consente al computer di eseguire operazioni di rete di base, come l’utilizzo di DHCP per ottenere la configurazione di un indirizzo e di DNS e dei protocolli associati per comunicare con un controller di dominio per il recupero delle impostazioni dei criteri. Quando il servizio Windows Firewall è in esecuzione, carica e applica le impostazioni dei criteri di run-time e rimuove i filtri della fase di avvio. Il criterio della fase di avvio non può essere configurato.

Estendendo la protezione del firewall host alla fase di avvio, i server sono meno esposti a eventuali attacchi al momento dell’avvio.
 

Con la configurazione globale, ogni volta che si modifica una configurazione, la modifica viene applicata automaticamente a tutte le connessioni di rete presenti nella cartella Connessioni di rete, incluse eventuali connessioni telefoniche non Microsoft. La configurazione viene inoltre applicata anche a tutte le nuove connessioni create.
È ancora possibile impostare configurazioni specifiche per singole interfacce. Alle connessioni di rete non standard verrà invece applicata solo la configurazione globale. Le modifiche di configurazione vengono inoltre applicate sia a IPv4 che a IPv6.

La possibilità di definire criteri globali consente agli utenti di gestire in modo più semplice i criteri del firewall per tutte le connessioni di rete e di eseguire le operazioni di configurazione tramite Criteri di gruppo. È inoltre possibile consentire l’utilizzo di qualsiasi interfaccia da parte delle applicazioni con una sola opzione di configurazione.
 

Quando le porte per la condivisione di file vengono aperte tramite l’API (Application Programming Interface) NetShare, l’Installazione guidata rete
o l’interfaccia utente di Windows Firewall, viene applicata la restrizione dell’ambito relativa agli indirizzi direttamente raggiungibili.

Per i computer in un gruppo di lavoro, alcune porte sono limitate agli indirizzi localmente raggiungibili per impostazione predefinita. Tali porte sono quelle necessarie per la condivisione di file e stampanti e per l’infrastruttura Universal Plug and Play (UPnP™). Inoltre, quando queste porte vengono aperte per gli indirizzi localmente raggiungibili su un host Condivisione connessione Internet (ICS), le porte non saranno aperte sull’interfaccia pubblica di ICS. Se le porte vengono aperte con un ambito globale, risulteranno aperte anche sull’interfaccia pubblica di ICS, situazione non raccomandabile.

Alcune applicazioni devono disporre solo di un canale di comunicazione con gli altri host della rete locale e non hanno necessità di comunicare con altri host su Internet. Consentendo la ricezione di traffico soltanto da indirizzi direttamente raggiungibili è possibile limitare il numero di utenti in grado di accedere a una porta. Viene così ridotto il rischio di attacchi causati dall’apertura delle porte a computer connessi da qualsiasi percorso.

Windows Server 2003 Service Pack 1 include l’helper Netsh di Windows Firewall,
che consente di eseguire configurazioni complete di Windows Firewall dalla riga
di comando, incluse le operazioni seguenti:

• Configurazione dello stato predefinito di Windows Firewall (Disattivato, Attivato, Attivato senza eccezioni)

• Configurazione delle eccezioni attivabili, incluso l’ambito di ciascuna eccezione (globale, indirizzi direttamente raggiungibili, indirizzi IPv4 specifici o intervalli di indirizzi) e l’applicazione a tutte o solo ad alcune interfacce

• Configurazione delle opzioni di registrazione

• Configurazione delle opzioni di gestione del protocollo ICMP (Internet Control Message Protocol)

• Aggiunta o rimozione di eccezioni dal relativo elenco

La disponibilità di un’interfaccia della riga di comando offre agli amministratori uno strumento per configurare Windows Firewall senza dover utilizzare l’interfaccia utente grafica. L’interfaccia della riga di comando può essere utilizzata per gli script.
 

Quando è attiva questa modalità, tutte le porte statiche e le connessioni esistenti vengono chiuse. Verrà consentita qualsiasi chiamata API indirizzata a Windows Firewall per aprire una porta statica e la configurazione del firewall richiesta sarà memorizzata, ma non applicata finché non si ritornerà alla normale modalità operativa. Tutte le richieste di ascolto delle applicazioni verranno inoltre ignorate.

Virus, worm e pirati informatici cercano servizi da poter sfruttare. In questa modalità operativa, Windows Firewall consente di impedire questi tipi di attacchi.
 

Nelle precedenti versioni di Windows, un’applicazione doveva chiamare le API del firewall per consentire l’apertura delle porte in ascolto necessarie. Questa operazione risultava complessa nelle situazioni peer-to-peer in cui non era possibile conoscere
la porta in anticipo. L’applicazione doveva inoltre chiudere nuovamente la porta al termine delle comunicazioni. In caso contrario, sarebbero rimaste aperture superflue nel firewall in caso di interruzioni impreviste dell’applicazione.

Queste porte potevano inoltre essere aperte soltanto se le applicazioni venivano eseguite nel contesto di protezione di un amministratore locale. Questa situazione rappresentava una violazione del principio di assegnazione dei privilegi minimi, in quanto richiedeva l’esecuzione dei programmi in un contesto amministrativo anziché solo con il livello minimo di privilegi necessario.

In Windows Server 2003 Service Pack 1, è possibile aggiungere un programma (un’applicazione o un servizio) che deve restare in ascolto sulla rete all’elenco di eccezioni di Windows Firewall. Se un programma è incluso nell’elenco delle eccezioni di Windows Firewall, Windows apre e chiude automaticamente le porte di ascolto necessarie, indipendentemente dal contesto di protezione dell’applicazione.

Nell’elenco delle eccezioni di Windows Firewall non è necessario inserire i programmi che utilizzano meccanismi di filtro basati sullo stato. Soltanto gli amministratori possono aggiungere un programma a questo elenco.

Quando un programma è incluso nell’elenco delle eccezioni di Windows Firewall, vengono aperte soltanto le porte necessarie e solo per il periodo di tempo in cui il programma resta in ascolto su tali porte. Un programma non può aprire una porta
che non utilizza, esponendo deliberatamente o inavvertitamente un’altra applicazione o servizio al traffico di rete in ingresso da tale porta.

In questo modo, inoltre, i programmi in ascolto sulla rete possono essere eseguiti
con un account con privilegi minori. Nelle precedenti versioni di Windows, questo tipo di programmi doveva essere eseguito con diritti di amministratore.
 

Nel caso dei computer portatili, è preferibile disporre di più configurazioni per il firewall. Spesso, una configurazione appropriata per una rete privata risulta esposta ad attacchi su Internet. Per questo motivo, è fondamentale avere la possibilità di aprire determinate porte nella rete privata e non in altre reti, per assicurarsi di esporre solo le porte necessarie in ogni situazione.
 

Molte applicazioni e componenti utilizzati in ambito aziendale non funzionano
se non sono consentite le comunicazioni RPC sulla rete. Tra gli esempi sono inclusi:

• Amministrazione remota, ad esempio la funzionalità Gestione computer e la finestra di dialogo Seleziona utenti, computer e gruppi utilizzata in numerose applicazioni.

• Configurazione remota di Strumentazione gestione Windows (WMI, Windows Management Instrumentation).

• Script per la gestione di client e server remoti

RPC determina l’apertura di numerose porte, su cui vengono quindi esposti più server diversi. Dato l’elevato numero di server RPC inclusi in Windows XP e Windows Server 2003, Windows Firewall adotta un approccio diverso per i servizi di sistema che utilizzano RPC. Windows Firewall accetterà le richieste solo se il chiamante viene eseguito nel contesto di protezione del sistema locale, del servizio di rete o del servizio locale.

Per consentire vari utilizzi delle funzionalità di amministrazione remota, in molti sistemi aziendali è necessario che i servizi di sistema che utilizzano RPC interagiscano con Windows Firewall per impostazione predefinita. È possibile controllare con maggiore precisione i servizi RPC esposti in rete.
 

L’opzione per il ripristino della configurazione predefinita consente all’utente di ripristinare le impostazioni predefinite originali di Windows Firewall. È inoltre possibile che le impostazioni predefinite di Windows Firewall vengano modificate dai produttori OEM (Original Equipment Manufacturer) e dalle aziende per offrire opzioni di configurazione personalizzate.
 

• Modalità operativa

• Eccezioni in base ai programmi

• Eccezioni in base alle porte

• Opzioni ICMP

• Opzioni di registrazione

La possibilità di preconfigurare Windows Firewall offre ai rivenditori Windows
e alle grandi aziende maggiore flessibilità e opportunità di personalizzazione per Windows Firewall.

Per consentire questi scenari di utilizzo, Windows Firewall consentirà una risposta unicast per tre secondi da qualsiasi indirizzo di origine sulla stessa porta da cui è stato originato il traffico multicast o broadcast.

Le applicazioni e i servizi che utilizzano la comunicazione multicast e broadcast potranno essere utilizzati senza che sia necessaria la modifica dei criteri del firewall da parte dell’utente oppure dell’applicazione o del servizio. Si tratta di una novità importante,
ad esempio per le trasmissioni NETBIOS su TCP/IP, perché in questo modo non vengono esposte porte critiche, come la porta 135.

Questa opzione può essere configurata attraverso le impostazioni di Criteri di gruppo
per Windows Firewall.

Windows Firewall non supporta la configurazione di indirizzi o intervalli di indirizzi
IPv6 specifici durante la configurazione di un ambito personalizzato per un’eccezione.
 

Il punto di accesso principale all’interfaccia utente è ora il componente Windows Firewall del Pannello di controllo. È comunque ancora disponibile un collegamento dalla precedente posizione. Inoltre, in Windows Server 2003 Service Pack 1 viene creato un collegamento dalla cartella Connessioni di rete.
 

• Definisci eccezioni programmi
• Consenti eccezioni programmi locali
• Definisci eccezioni porte
• Consenti eccezioni porte locali
• Consenti eccezioni ICMP
• Proibisci notifiche
• Consenti eccezione per condivisione file e stampanti
• Consenti registrazione

  Ognuno di questi oggetti può essere impostato sia per un profilo di dominio (quando il computer è connesso a una rete aziendale gestita) che per un profilo standard (quando il computer non è connesso a una rete aziendale gestita).