Ricerca in FOLBlog

Vista e’ molto piu’ sicuro di Windows XP

 Scritto da alle 00:15 del 11/02/2008  Aggiungi commenti
Feb 112008
 
closeQuesto articolo è stato pubblicato 9 anni 9 mesi 9 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

image
Uno dei motivi principali per cui consiglio Windows Vista Busines o Vista Ultimate (non Home Basic, ne’ Home Premium) è la maggiore sicurezza rispetto a Windows XP, intendendo con sicurezza sia la protezione dei dati che la protezione da virus, spyware e malware in genere.

Le soluzioni di backup sono state migliorate ed arricchite con una soluzione di backup basata sulle immagini del disco fisso, chiamata Backup Complete PC.
Utilizzando Backup Complete PC viene creata una copia delle partizioni del disco selezionate in un file immagine del disco virtuale VHD che può essere ripristinata in caso di necessità, evitando la necessità di reinstallare le applicazioni.
Fino ad ora questo era possibile solo attraverso l’utilizzo di utility di terze parti (Acronis True Image, Ghost, ecc.).

Alla funzionalità di ripristino della configurazione di sistema basata sui punti di ripristino già presente in XP, Vista affianca la funzione Versioni Precedenti, attraverso la quale è possibile ripristinare singoli file o cartelle alle loro versioni precedenti, salvate automaticamente dal sistema.

Protezione risorse di Windows (WRP, Windows Resource Protection), protegge le impostazioni di sistema più importanti (registro di configurazione, cartelle e file) da sovrascritture accidentali o modifiche tentate da qualsiasi risorsa diversa da programmi do installazione trusted. Ciò ostacola oltre che la sovrascrittura di librerie con versioni precedenti delle stesse, anche la possibilità per il malware di modificare risorse del sistema.

Vista, come XP, implementa un sistema di crittografia (EFS, Enctypting File System) che consente all’utente di crittografare singoli file o cartelle in modo che, in caso di furto dei dati, restino illeggibili per l’utente non autorizzato.
EFS non è in grado però di proteggere i file di sistema di Windows.
A questo scopo, nelle versioni Enterprise e Ultimate di Vista, è presente il sistema di crittografia BitLocker Drive Encryption in grado di crittografare l’intero volume di sistema, proteggendo così tutti i dati registrati (compresi appunto i file di sistema).
In caso di furto dei dati o dell’intero computer (come sempre più spesso accade con i portatili), i dati in esso contenuti restano illeggibili per chi non conoscere la password con cui il contenuto del disco è protetto.
BitLocker può essere impostato in modo da memorizzare la chiave di crittografia su supporti removibili (pen drive USB ad esempio) oppure in modo che richieda all’utente la chiave al riavvio di Windows.

Sempre in tema di sicurezza dei dati, alcune organizzazioni hanno necessità di proteggere i propri dati dal furto da parte di utenti con diritto di accesso.
A nulla valgono in questo caso i sistemi di protezione basati su crittografia, dato che l’utente da cui ci si vuole difendere, ha diritti d’accesso ai dati, perciò conosce tutte le password o le chiavi necessarie per accedervi.
Se in passato sarebbe stato sufficiente evitare di installare sul computer unità floppy , ora con le ampliate possibilità di connessione (USB; bluethooth, cellulari, PDS, ecc.) occorrono sistemi di protezione più sofisticati.
Vista consente di limitare i rischi connessi all’utilizzo di supporti rimovibili attraverso le impostazioni dei Criteri di Gruppo, con i quali è possibile, ad esempio, impedire l’installazione di periferiche non autorizzate e di qualsiasi periferica di archiviazione rimovibile.

Veniamo ai sistemi di protezione dai virus, worm, trojans e spyware implementati da Vista.
Il successo della diffusione dei malware su sistemi Windows del passato è da imputare soprattutto al fatto che la stragrande maggioranza degli utenti utilizzava il proprio sistema con diritti di amministrazione, che consentono qualsiasi modifica al sistema.
SU Windows XP un malware, ereditando i diritti dell’utente che inconsapevolmente lo esegue, è in grado di apportare al sistema tutte le modifiche consentite all’utente stesso, senza che sia necessaria nessuna conferma da parte dell’utente.
Da ciò deriva l’importanza di utilizzare il computer accedendovi come utenti standard, con diritti limitati.
In XP, però, utilizzare un utente standard, è spesso un inferno, in quanto le eccessiva restrizioni impediscono a volte un uso “normale” del PC.
Inoltre, molte applicazioni per XP, mal progettate, richiedono diritti amministrativi per poter essere eseguite.

Windows Vista, con UAC (User Account Control, Controllo account utente) risolve finalmente questo annoso problema di Windows.
UAC è un insieme di funzionalità che offre i vantaggi di protezione degli account utente standard, senza imporre le stesse limitazioni.
Quando un’operazione, per essere eseguita dall’utente standard, richiede privilegi di ordine superiore, l’utente viene avvisato e viene chiesta una password di amministratore per proseguire (esattamente come avviene nei sistemi Unix/Linux).
Ma una delle più grandi novità di Vista è che anche gli amministratori del sistema (gli utenti che fanno parte del gruppo administrators) possiedono, di default, privilegi limitati.
Accedendo come amministratore, molte applicazioni continueranno ad essere eseguite con privilegi utente standard.
Ciò significa che, con UAC attivato, anche all’utente che fa parte del gruppo administrators, viene notificato quando un’applicazione tenta di effettuare modifiche al sistema che richiede diritti amministrativi.
Ciò è dovuto alla nuova modalità Admin Approval Mode con cui in Vista vengono eseguiti gli utenti amministratori.
In sostanza quando un amministratore accede a Vista, viene dotato di una sorta di “doppia personalità” (=Admin Approval Mode crea due token di accesso separati): una personalità (=token d’accesso) da amministratore completo ed una personalità (=un altro token d’accesso) da utente standard.
Quando un’operazione per essere eseguita necessità dell’intervento della personalità di amministratore completo, l’utente viene avvisato e deve dare il suo esplicito consenso per la prosecuzione.
In sostanza al di sopra degli amministratori di sistema è posto un super-administrator nascosto.

Windows Defender è uno strumento di Windows Vista che ha il compito di proteggere da spyware ed altro software potenzialmente pericoloso, in tempo reale.
Riceve regolarmente nuovi aggiornamenti messi a disposizione gratuitamente da Microsoft e che vengono scaricati ed installati attraverso Windows Update, lo strumento che ha il compito di tenere aggiornato il software Microsoft installato nel computer.
E’ possibile utilizzare Defender anche per effettuare scansioni del computer, sia manualmente, su richiesta dell’utente, che pianificate in modo automatico; di default è impostata una scansione giornaliera pianificata alle 2:00 di notte che può (ovviamente) essere modificata in base alle preferenza dell’utente. Nei miei PC, ad esempio, l’ho impostata perché si avvii durante l’ora dedicata alla pausa pranzo.
Defender comprende Software Explorer, che fornisce agli utenti un controllo su diversi tipi di applicazioni (quelle autoinstallanti del browser o quelle che si avviano automaticamente, ad esemio). I software vengono analizzati e si può decidere se consentirne l’avvio o meno.

Windows Firewall di Vista è una versione molto migliorata del firewall presente in XP, in base alle segnalazioni e le critiche degli utenti.
Ora combina funzionalità di un firewalle bidirezionale (in grado di controllare sia il traffico in ingresso che quello in uscita) alla protezione IPSec .
Il suo compito è proteggere ciascun PC a livello locale da attacchi che potrebbero provenire anche dall’interno della LAN.
E’ un firewall stateful che analizza e filtra tutto il traffico TCP/IP (sia versione IPv4 che IPv6) eliminando il traffico in entrata che non sia esplicitamente consentito (ad esempio attraverso la gestione di eccezioni o di regole impostate dall’utente) o che non sia la risposta ad una richiesta dell’host (traffico provocato).
E’ infatti possibile specificare regole relative al traffico sia in ingresso che in uscita basate sul nome dell’applicazione, sul nome del server, sul numero di porta, sulla rete di destinazione, sull’appartenenza ad un dominio e di altri criteri, che possono essere configurati attraverso l’opzione Windows Firewall con protezione avanzata.
Le impostazioni del firewall di Windows sono separate in due sezioni, una riservata all’utente comune, l’altra all’utente esperto.
Per accedere alla configurazione del firewall con protezione avanzata:
Start
=>Strumenti di amministrazione
=>Windows Firewall con protezione avanzata
. image

Internet Explorer 7 Plus
compreso in Windows Vista è probabilmente diventato il browser attualmente più sicuro, grazie sia a modifiche architettoniche che alla esecuzione in Modalità protetta possibile in Vista.
Questa modalità, disponibile solo quando UAC è attivato (ulteriore motivo per cui è importante abilitare UAC!), non disponibile per Windows XP (da cui il “Plus” nel nome che lo differenzia dalla versione di IE7 per XP) , impone a IE7 Plus l’esecuzione con autorizzazioni ridotte (a prescindere dalle autorizzazioni dell’utente), in modo da evitare la possibilità che utenti, file e impostazioni di sistema subiscano modifiche senza l’autorizzazione esplicita dell’utente.
Questa nuova modalità di difesa impedisce che azioni incluse in script o processi automatici effettuino download di dati al di fuori di cartelle con diritti minimi, come ad esempio la cartella dei file temporanei di IE7,la cartella Cronologia, Cookies o Preferiti.
Ciò riduce drasticamente la capacità di un pirata di scrivere, modificare o distruggere dati sul computer o di installarvi codice dannoso (come ad esempio i temutissimi keylogger, che registrano le sequenze di tasti premuti dall’utente).
Quando sono necessari privilegi superori a quelli forniti in modalità protetta, all’utente è chiesto di confermare l’azione, con le modalità previste da UAC.

Per dettagli tecnici ed approfondimenti, vedere Mandatory Integrity Control (MIC), Integrity Level (IL) ,User Interface Privilege Isolation (UIPI) e l’ottimo post di Vik.

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: