Telecommunication Manager Next Generation Network Azienda ospitante Telecom Italia IT Consulting - IT Security Telecom Italia Tesi di fine corso ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Telecommunication Manager
Next Generation Network
Azienda ospitante Telecom Italia
IT Consulting – IT Security Telecom Italia
Tesi di fine corso di : Aresu Marco
Tutor del corso : D’Aloisi Cristian
Tutor aziendale : Formicola Segio – Chiavoni
Danilo
1
Indice
Introduzione............................................................................4
Il corso..........................................................................................4
Azienda........................................................................................6
Attività
Attivazione Windows Firewall su PdL Windows XP SP2
Introduzione……………………………………………………………….. 7
Funzionalità…………………………………………………………………. 7
Problemi……………………………………………………………………….9
Conclusioni…………………………………………………………………..9
Password Policy
Introduzione………………………………………………………………… 9
Soluzioni………………………………………………………………………. 10
Problemi……………………………………………………………………….11
Conclusioni…………………………………………………………………..12
Windows Vista
Introduzione………………………………………………………………… 12
Novità…………………………………………………………………………… 13
Windows Defender……………………………………………………..29
2
BitLocker……………………………………………………………………….31
Impatto aziendale………………………………………………………..35
Conclusioni…………………………………………………………………..37
Web Filtering proxy Griffon
Introduzione………………………………………………………………..38
Soluzioni proposte………………………………………………………40
Impatto aziendale……………………………………………………….53
Conclusioni…………………………………………………………………..54
Trusted Computing Platform
Introduzione………………………………………………………………… 55
Impatto aziendale………………………………………………………..56
Soluzioni proposte……………………………………………………….57
Conclusioni……………………………………………………………………71
Controllo interface rete PC portatili
Introduzione…………………………………………………………………. 72
Piattaforme d’utilizzo…………………………………………………..73
Come funziona……………………………………………………………… 73
Requisiti………………………………………………………………………….74
Conclusioni…………………………………………………………………….74
Microsoft ForeFront
Introduzione…………………………………………………………………. 75
Come funziona……………………………………………………………… 76
Conclusioni…………………………………………………………………….80
Conclusioni.................................................................................80
3
Introduzione
Lo stage di cinque mesi svolto presso Telecom Italia mi ha trasmesso
molte competenze non solo tecniche ma anche personale. L’integrazione
e l’approccio con un’azienda di questo spessore è stato inizialmente un pò
complesso ma, essendo la prima esperienza, non mi ha preoccupato più di
tanto. All’interno di Telecom Italia ho collaborato, assieme al personale
interno Telecom Italia e ad alcuni consulenti, alla consulenza sulla parte
Security Solution del settore IT. Grazie al contributo di Danilo Chiavoni,
Sergio Formicola di Telecom Italia e alcuni consulenti di diverse aziende mi
è stato possibile seguire diversi progetti riguardanti il tema IT. Grazie alle
competenza tecniche acquisite durante l’anno e mezzo trascorso in aula
presso il centro Elis mi è stato possibile affrontare diversi aspetti
dell’ambito IT. Il progetto principale a cui ho fatto parte sin dall’inizio è
stato quello sul nuovo sistema operativo Microsoft, Windows Vista. Grazie
allo stretto legame esistente tra Telecom Italia e Microsoft è stato
possibile confrontarmi con del personale Microsoft per la discussione di
alcuni aspetti del nuovo sistema operativo e non solo.
Il corso
A partire dal 1° Ottobre 2005 ho avuto la fortuna di partecipare al corso
post-diploma Telecommunication Manager – Next Generation Network
presso il centro Elis. Un corso biennale che mi ha dato la possibilità di
acquisire delle competenze tecniche, ma soprattutto personali ottime.
4
Una dei principale aspetti del corso biennale è stato quello della
formazione a 360°. Oltre alle competenze tecniche, da non sottovalutare,
ci son state quelle trasversali riguardanti il lavoro di gruppo, l’auto-
aggiormento, il saper presentare e presentarsi davanti un gruppo di
persone. Questi sono aspetti che inizialmente non pensavo fossero cosi
importanti per un futuro lavoro, ma durante il periodo di stage mi sono
accorto che questi sono i principali aspetti che garantiscono un approccio
ed un inserimento all’interno dell’azienda molto positivo. Grazie alla
collaborazione di diverse persone abbastanza preparate e formate in
materia, è stato possibile acquisire queste conoscenze nel più breve
tempo possibile. Durante i primi mesi del corso abbiamo seguito dei corso
sulle basi dell’informatica, partendo dagli albori dell’informatica. Dopo un
breve periodo di introduzione abbiamo seguito dei corso più specializzati
al nostro ambito di Information Communication Tecnology. Partendo
dall’ambito sistemistico (Windows Server 2003, Sun Solaris e altri sistemi
operativi Unix-like), passando per i vari linguaggi di programmazione
(Java, Visual Basic, PHP, SQL) finendo con la parte di Networking e Mobile
(LAN, WAN, Wireless, VoIP, Security). Su tutti i corsi seguiti durante i due
anni c’è sempre stato l’aspetto Security, che è anche uno degli obbiettivi
che il corso prevedeva. Uno dei fattori che ha contribuito alla buona
riuscita del corso è stato quello dell’amicizia e dello spirito di gruppo. La
presenza di aziende dello spessore di Vodafone, RAI, Telecom Italia, Wind
etc., mi ha dato la possibilità di confrontarmi con persone di alto livello
che mi hanno fatto capire che per raggiungere degli obbiettivi è
necessario fare degli sforzi, anche se inizialmente molto difficile da
affrontare.
5
Azienda
Telecom Italia è una delle più grosse aziende in Italia. Il sapersi integrare e
muoversi all’interno dell’azienda non è dei più semplici, ma grazie al
personale tutto ciò non è risultato molto complicato. La struttura
aziendale è molto complessa; il seguire progetti in aziende di questo
spessore comporta dei vantaggi e degli svantaggi. I principali vantaggi
sono che si ha a che fare con persone molto qualificate, ma soprattutto si
ha un contatto diretto con le aziende fornitrici di prodotti. Uno svantaggio
può essere il periodo. Essendo una grossa azienda, i progetti son tanti e i
tempi di sviluppo sono abbastanza lunghi. Il fatto di svolgere uno stage di
5 mesi mi ha dato la possibilità si seguire progetti in corso d’opera e
progetti dall’inizio. In entrambe i casi non è stato possibile seguire la
conclusione di tali progetti. Per quanto riguarda la struttura aziendale,
Telecom presenta diverse sedi a Roma. Il settore su cui ho svolto lo stage
è quello di Security Solution di cui Giovanni Ciminari ne è a capo. Tale
settore si occupa dello studio e della progettazione di soluzioni di
sicurezza per la rete di gruppo interna di Telecom Italia. Essendo Telecom
Italia una grossa azienda molto ramificata, ci sono diversi settori che
implementano soluzioni di sicurezza. Il settore in qui ho svolto lo stage
non mi dava la possibilità di “mettere le mani sul pezzo” perchè tra i vari
settori di Telecom c’è quello che ha il compito di rendere operativo quello
che gli altri settori propongono.
6
Attivazione Firewall su PdL Windows XP SP2
Introduzione
Con la migrazione delle postazione di lavoro da Windows XP SP1 a SP2 è
nata la proposta di attivare una delle novità principali che il nuovo Service
Pack prevedeva, il Firewall. Per la prima volta, Microsoft Windows
prevedeva all’interno del proprio sistema operativo un Firewall che dava
la possibilità di rendere più sicuro e affidabile il proprio sistema operativo.
Funzionalità
Windows Firewall, precedentemente noto come Firewall connessione
Internet o ICF, rappresenta una barriera di protezione in grado di
monitorare e limitare le informazioni trasmesse tra il computer e una rete
o Internet. In questo modo, è possibile difendersi da tentativi di accesso al
computer dall'esterno di Windows Firewall effettuati senza
l'autorizzazione dell'utente. Quando qualcuno in Internet o in una rete
cerca di connettersi al computer dell'utente, tale tentativo viene definito
"richiesta indesiderata". Quando il computer riceve una richiesta
indesiderata, la connessione viene bloccata da Windows Firewall. Se si
esegue un programma, ad esempio un'applicazione di messaggistica
immediata o una partita in rete a più giocatori, che richiede la ricezione di
informazioni da Internet o da una rete, verrà chiesto se si desidera
bloccare o consentire la connessione. Se si decide di consentire la
connessione, verrà creata un'eccezione, in modo tale che, se tale
programma in futuro dovrà ricevere informazioni, il firewall non
interverrà.
7
Operazione eseguite Operazioni non eseguite
Supporto per il blocco di virus e Individuazione o disattivazione
worm affinché non accedano al di virus e worm qualora siano già
computer. presenti nel computer. Per
questo motivo, è necessario
installare anche un software
antivirus e mantenerlo
aggiornato, affinché virus, worm
e altre minacce alla protezione
non possano danneggiare il
computer o utilizzarlo per
diffondere virus in altri computer.
Richiesta di autorizzazione Blocco dell'apertura di messaggi
dell'utente per bloccare o di posta elettronica con allegati
consentire richieste di pericolosi. Non aprire gli allegati
connessione specifiche. di posta elettronica provenienti
da mittenti sconosciuti. Fare
attenzione anche nel caso in cui
si conosca l'origine del
messaggio. Se si riceve un
allegato di posta elettronica
proveniente da un mittente
conosciuto, osservare
attentamente la riga dell'oggetto
prima di aprirlo. Se l'oggetto è
incomprensibile o non ha senso,
rivolgersi al mittente prima di
aprire l'allegato.
Creazione di un registro di Blocco dello spamming o dei
protezione, se lo si desidera, in messaggi di posta indesiderati
cui vengono memorizzati tutti i affinché non vengano visualizzati
tentativi, riusciti o meno, di nella cartella Posta in arrivo. Tale
8
connessione al proprio computer. funzione è disponibile tuttavia in
Tale registro può costituire un alcuni programmi di posta
utile strumento per la risoluzione elettronica
dei problemi.
Problemi
L’attivazione del firewall su Windows XP SP2 può causare svariati problemi
all’interno di un’azienda cosi grande. All’interno dell’azienda ci sono
migliaia di postazioni di lavoro che svolgono funzioni diversi. Ogni
postazione presenta un sistema operativo customizzato chiamato
“Griffon”. L’attivazione del firewall potrebbe causare il disservizio di
alcune postazioni di lavoro. A causa del firewall molti software presenti
all’interno del pc potrebbero non funzionare correttamente e questo
porterebbe ad un disservizio generale che causa l’apertura di centinaia di
Ticket verso l’Help Desk di Telecom Italia. Il settore Security Solution, ha
giustamente proposto l’attivazione del firewall, in quanto non essendo un
prodotto esterno al sistema operativo, è uno dei principali servizi che
rendono un pc “sicuro”.
Conclusioni
Attualmente questo progetto è ancora in corso d’opera. Si spera che nel
più breve tempo possibile venga attuata una soluzione per la salvaguardia
del pc e della rete aziendale
9Password Policy
Introduzione
Il progetto di password consisteva nel porre delle politiche di sicurezza
all’interno del sistema di gestione delle password in Telecom Italia. Con le
nuove leggi sulla privacy, le aziende hanno dovuto mettersi in regola con
le nuove leggi. Telecom Italia, essendo un’azienda fornitrice di servizi, ma
nello stesso tempo con migliaia di dipendenti, è stata coinvolta in prima
linea con le nuove leggi. Principalmente, le politiche di gestione password
da regolarizzare all’interno di Telecom sono tre:
1. Password History
2. Blocco account
3. Numero caratteri modificabili
Soluzioni
1. La politica sul password history prevede che, per ogni utente deve
essere memorizzato un numero determinato di password, per fare in
modo che l’utente, al momento del cambio password (la policy in Telecom
prevede il cambio password ogni 3 mesi), non possa reinserire la stessa
password. La soluzione proposta da Security Solution è di almeno 4-5
password memorizzabili
2. La politica sul blocco utente prevede che, dopo un determinato
numero di combinazioni user-password errati, l’account venga bloccato.
La soluzione proposta da Security Solution era di 5 tentativi errati di
inserimento della combinazione user-password
3. La politica sul numero di caratteri modificabili prevede che, al
momento del cambio password, ogni utente debba modificare un
10determinato numero di caratteri. La soluzione pensata da Security
Solution è che, essendo 8 il numero di caratteri minimi per ogni password,
almeno 4 caratteri (50%) debbano essere modificati.
Problemi
1. Sulla politica del password history il problema principale stava sul
fatto dell’infrastruttura che dovrebbe memorizzare le password. Per poter
applicare questa soluzione è necessario effettuare uno studio
sull’infrastruttura di gestione password, che compete al settore
Infrastruttura di rete di Telecom
2. Il blocco utente è una soluzione molto critica. L’applicazione di
questa policy causerebbe molti problemi all’interno dell’azienda. Questo
perchè il nome matricola(user) di ogni dipendente è pubblico, o meglio, è
facilmente reperibile dall’esterno. Una volta reperita la matricola(user) di
un dipendente, basterebbe tentare di accedere alla webmail dell’utente
per causare un attacco di tipo DoS. Per questo tale soluzione è molto
difficile da implementare. Oltre al fatto del DoS, il blocco utente
causerebbe un’apertura di ticket verso l’Help Desk Telecom Italia sopra i
limiti aziendali. Per porre rimmedio alla riattivazione dell’account son
state pensate due soluzioni:
Creazione di una pagina web per la riattivazione personale
dell’account. Ciò prevede l’implementazione di un’infrastruttura non
semplicissima
11 Utilizzo di PIN da inviare sul telefono dell’utente con l’account
bloccato. Soluzione non semplicissima da implementare ma molto
affidabile
3. La soluzione sul numero di caratteri modificabili, come la prima, è
fortemente legata all’infrastruttura. A differenza della prima però, è quella
più facilmente implementabile in quanto basterebbe effettuare un
controllo sulla password precedente.
Conclusioni
Attualmente il progetto è in fase di stallo. Le pressioni maggiori sono
arrivate dal garante che chiedeva delle informazione sulla policy del
blocco utente
Windows Vista
Introduzione
Il progetto riguardante l’implementazione del nuovo sistema operativo
Microsoft all’interno di Telecom Italia, lo ritengo quello più interessante e
stimolante. Grazie al forte legame presente tra Telecom Italia e Microsoft,
mi è stato possibile acquisire delle buone competenze tecniche in ambito
sistemistico su Windows Vista. Telecom Italia è stata una delle aziende
pilota di Microsoft per il nuovo sistema operativo. Il progetto ha dei tempi
abbastanza lunghi, in quanto non è semplice implementare un nuovo
12sistema operativo all’interno di un’azienda di migliaia di dipendenti.
Personalmente ho assistito all’evolversi di Windows Vista, sia in ambito
tecnologico che all’interno dell’azienda. Inizialmente erano presenti
solamente poche macchine con Windows Vista installato e le policy
aziendali non erano ancora presenti. Attualmente sono presenti un
centinaio di macchine su cui è installato Windows Vista e su molti di questi
son presenti le nuove policy aziendali.
Novità
Windows Vista (noto precedentemente con il nome in codice Longhorn) è
la più recente versione dei sistemi operativi Windows della famiglia
Microsoft. E' un sistema operativo della famiglia Windows NT, ed è stato
sviluppato a partire dal codice di Windows 2003 Server e ne costituisce
una importante evoluzione dal punto di vista della tecnologia kernel.
Windows Vista viene indicato come Windows NT 6.0. È prevista anche una
versione server del nuovo sistema operativo, che ha nome in codice
"Longhorn Server" e sarà rilasciato sotto il nome di "Windows Server
2008". Windows Vista è un sistema operativo della famiglia Windows NT,
con architettura a kernel ibrido. Vista ha un'innovativa interfaccia utente
task-based (centrata sull'attività da compiere). È presente una versione di
esplora risorse (ora chiamato Windows Explorer) molto diversa da quella
precedente, probabilmente la maggiore evoluzione dai tempi di Windows
95. Un'altra caratteristica è l'evoluzione del sottosistema grafico, che
sfruttando le potenzialità tridimensionali delle moderne schede grafiche
pesa di meno sulla CPU. In alcune delle prime versioni "alpha" di Vista (a
grandi linee le Milestone 4, build 4xxx) l'interfaccia utente era
implementata utilizzando codice gestito .NET, in modo da garantire una
maggiore sicurezza e protezione, ma era percepibile un notevole
13peggioramento delle prestazioni. Dalla beta 1, invece, tutta l'interfaccia è
nuovamente scritta in codice nativo.
Componenti di base:
La libreria DirectX 10, precedentemente nota come Windows Graphic
Foundation (WGF), ha nuove DLL più veloci grazie anche all'abbandono
della retrocompatibilità con le versioni precedenti. Questa non viene
quindi gestita dalle DirectX 10, bensì dalle DirectX 9.0L che sono
parallelamente presenti nel sistema operativo. Supporto dei Shader
Model 4.0 e dei Geometry Shaders. Le DirectX 10 grazie al nuovo kernel di
Vista, permettono di renderizzare scene più complesse senza l'intervento
della CPU mediante una gestione del bilanciamento di carico fra la CPU e
la GPU, con ottimizzazione dei trasferimenti.
Transactional NTFS (NTFS 6.0) è la nuova versione di NTFS che in
Windows Vista diventa un file system completamente transazionale (NTFS
di Windows XP è transazionale solo per le operazioni su metadati -
cancella, rinomina ecc. - e non nei confronti dei dati veri e propri).
Registro di sistema migliorato ed anch'esso completamente
transazionale.
Windows Installer 4.0 (MSI 4.0) che sfrutta le nuove caratteristiche di
Vista: UAC (User Account Control), Restart Manager, Multiple User
Interface, ecc...
Funzionalità utente
14 Interfaccia utente task-based, chiamata Aero (acronimo di Authentic,
Energetic, Reflective and Open). Non è presente nella versione Home
Basic. A differenza delle precedenti versioni di Windows, è esterna al
kernel di Vista per migliorare la stabilità del sistema operativo, infatti
anche il DirectX Runtime esegue in user mode
Motore grafico tridimensionale di gestione delle finestre (basato su
Avalon) che è in grado di sfruttare le GPU delle moderne schede video
liberando quindi carico dalla CPU. Inoltre le finestre vengono memorizzate
direttamente nella memoria della scheda grafica. Se si muove il mouse su
una finestra presente sulla taskbar, viene mostrata in tempo reale
l'anteprima di quella finestra (live thumbnails).
Presenza di una "sidebar" opzionale, un pannello posto sul lato
destro dello schermo, nel quale l'utente può inserire collegamenti a
programmi, applet interattive e mini-applicazioni chiamate gadget. Con
questi gadget è possibile interagire in vario modo, per esempio
staccandoli dalla sidebar e riattaccandoveli a proprio piacimento. I gadget
possono essere implementati utilizzando una tecnologia in stile AJAX
oppure utilizzando le classi del .NET framework. La sidebar non occupa
spazio alle altre finestre aperte, poiché di default risulta sullo stesso piano
del desktop.
Ricerca istantanea di programmi, documenti, file, messaggi e-mail,
ecc. (basata anche sul contenuto) tramite casella di ricerca nel menù di
Start, in ogni finestra di esplora risorse, ecc. Di default indicizza solo il
menù di Start, i nomi dei file aperti in precedenza, la cartella Documenti e
le e-mail che vengono di volta in volta aperte e quindi è veloce e leggera.
Le opzioni avanzate consentono di specificare per ogni tipo di file, se
indicizzarne solo le proprietà o anche il contenuto, oltre a poter escludere
certi tipi di file. Per la ricerca istantanea è possibile usare operatori
15booleani, filtri e tag, parentesi, ecc. oppure configurarla per usare il
linguaggio naturale. E' anche possibile aggiungere tag personalizzati
(metadati) ai propri file in modo da classificarli e ritrovarli più in fretta.
Supporto nativo ai Feed RSS, con API programmabili.
Restart Manager consente, all'amministratore di sistema e ai
programmi che ne fanno uso, di chiudere e sostituire determinate DLL
senza necessariamente riavviare il computer.
Freeze Dry, che permette di salvare automaticamente lo stato delle
applicazioni e dei documenti aperti, prima di una richiesta di reboot e di
ripristinali una volta che il sistema riparte.
Link simbolici sono puntatori a file o cartelle e possono essere usati
da ogni applicazione. Gli attuali .lnk di Windows 2000/XP sono usati solo
dalla shell di Windows (explorer.exe) e quindi l'apertura di file .lnk da
un'applicazione non comporta l'apertura del file linkato, mentre con i link
simbolici sì (analogamente ai link simbolici implementati da tempo nei
sistemi di classe Unix).
Cartelle virtuali è possibile creare delle cartelle dinamiche che
catalogano documenti e file che soddisfano un determinato criterio di
ricerca (per la ricerca è possibile usare anche gli operatori booleani AND,
OR e NOT). Il vantaggio rispetto alla normale ricerca di Windows XP è che
non occorre tutte le volte ripetere la ricerca (poiché sono le cartelle
virtuali stesse che salvano il risultato della ricerca) e soprattutto che al
variare dei file e del contenuto dei documenti, le cartelle virtuali si
aggiornano automaticamente.
Previous Versions : permette a ogni singola cartella di poter essere
ripristinata a piacere dall'utente ad un qualsiasi stato precedente per
ripristinare documenti o file d'utente modificati da una nuova versione (le
copie vengono create con frequenza giornaliera automaticamente). È
16infatti presente un nuovo tab nelle proprietà delle cartelle in cui si vedono
le precedenti versioni dei file e documenti ed è possibile ripristinare una
versione o copiarla da un'altra parte.
Masterizzazione di file su CD e DVD integrata in Esplora risorse, con
supporto anche a Mount Rainier (packet writing). Masterizzazione dei CD
audio integrata in Windows Media Player 11. Masterizzazione di file
multimediali e DVD con Windows Media Center.
Pianificazione automatica dell'utilità di deframmentazione dischi.
Non interferisce con le altre attività in quanto il nuovo kernel di Vista
gestisce gli accessi al disco basandosi sulle priorità.
Settaggi audio indipendenti per ciascuna applicazione che si desidera
configurare. Introdotte nuove funzionalità quali Room Correction, Bass
Management, Speaker Fill e Headphone virtualization.
La Gestione disco di Vista presente in Gestione Computer permette di
creare o ridimensionare le partizioni (ingrandirle o rimpicciolirle) senza
perdere i dati esistenti.
Riconoscimento vocale permette di comandare le applicazioni con la
voce o dettare un documento o una e-mail. L'accuratezza migliora con
l'uso e si adatta allo stile di chi parla e al suo vocabolario, inoltre supporta
lingue multiple, ma non quella italiana.
Windows Boot Manager è il nuovo boot loader più flessibile, che
sostituisce il vecchio NTLDR. Inoltre attraverso il Windows Memory
Diagnostic, presente fra le opzioni di boot, è possibile testare in modo
approfondito i moduli hardware della memoria.
Documenti XPS - XPS è un nuovo formato nato con .NET Framework
3.0 e che permette di memorizzare documenti in maniera indipendente
dall'applicazione (si tratta di un salvataggio dei pixel dell'immagine del
documento originale nel formato vettoriale XPS), cioè da ogni applicazione
17di Vista è possibile salvare il documento corrente nel formato XPS,
selezionando la stampante virtuale Microsoft XPS Document Writer
attraverso le opzioni di stampa. È anche possibile aggiungere permessi e
firme digitali ai documenti XPS. I documenti XPS vengono aperti in IE7 che
ha un lettore integrato dotato di ricerca per ricercare parole all'interno del
documento.
Migliorato Task manager: ha una nuova scheda che mostra i Servizi di
sistema e consente di fermarli. La scheda Processi permette di:
visualizzare le proprietà dei file, la linea di comando e il path completo dei
processi in esecuzione, lo stato di DEP dei processi, attivare o disabilitare
la Virtualizzazione dei file e del registro dello UAC per un dato processo.
Migliorata Utilità di Pianificazione offre nuove possibilità di
configurazione per pianificare attività da eseguire automaticamente,
grazie all'aggiunta di molti nuovi filtri e condizioni.
Nuovo strumento Panoramica delle risorse in Gestione Computer,
che permette di controllare le attività della CPU, Disco, Rete e Memoria.
Per esempio vengono mostrati i singoli file che vengono usati in quel dato
istante con tutti i dettagli sulle operazioni che stanno avvenendo, la
velocità di trasferimento; l'elenco delle connessioni aperte per ogni
processo con tutti i dettagli sugli indirizzi, ecc.
Nuovo strumento Monitoraggio affidabilità in Gestione Computer,
che mostra un rapporto dettagliato sulla stabilità del sistema, anche sotto
forma di grafico e un indice numerico che riassume la stabilità
complessiva attuale: Disinstallazioni software, Errori applicazione, Errori
hardware, Errori Windows e Altri errori.
Migliorata e semplificata la funzione per Riparare una installazione di
Windows. Infatti è sufficiente avviare il computer con il DVD di Vista
inserito (verificare la sequenza di boot nel bios) e tramite la finestra
18grafica che compare, selezionare "Repair your Computer" (Ripara il tuo
computer) e poi scegliere una di queste funzioni: correggere
automaticamente i problemi che impediscono a Windows di avviarsi,
ripristinare Windows a un punto precedente, ripristinare completamente
da un backup o aprire un prompt di comandi.
Migliorata la procedura d'installazione del sistema operativo che
permette di scaricare tutti gli aggiornamenti, prima ancora di installare il
sistema operativo stesso. Inoltre cliccando sulle opzioni avanzate di
installazione è possibile creare, estendere, cancellare e formattare
partizioni dell'hard disk.
Ricerca automatica dei driver: quando si è nella fase di installazione
di una periferica, si può lasciare a Vista la ricerca e l'installazione del driver
migliore per la periferica. Il driver viene scaricato da Windows Update in
automatico e anche quando è disponibile una nuova versione di quel
driver, verrà automaticamente scaricato e installato. Inoltre i driver delle
periferiche di Windows e quelli pre-approvati dall'amministratore
vengono installati anche se si è utenti Standard (in Windows XP invece
occorreva essere amministratori).
Migliorato Esplora risorse: permette di visualizzare un Riquadro di
anteprima per guardare i file senza doverli aprire, in maniera simile a
quando si visualizza l'anteprima di una e-mail. Barra di navigazione mostra
l'intero percorso ed è clickabile in ogni suo punto, permettendo di
muoversi più velocemente fra le cartelle. Il layout è personalizzabile ed
inoltre è possibile aggiungere nei Collegamenti preferiti le cartelle che si
usano più frequentemente. Nuovi comodi pulsanti sulla barra strumenti
permettono di: Masterizzare su CD, Condividere con altri utenti, Inviare
per posta elettronica, Stampare, i file selezionati.
19 Migliorata la funzionalità di Backup: permette di eseguire il backup
dei file d'utente oppure dell'intero PC con file immagine, pianificare ed
eseguire i backup automaticamente ad intervalli regolari di tempo e
backup incrementali. È possibile ripristinare il PC utilizzando le immagini
del backup, anche facendo il boot dal DVD di Windows Vista, utile nel caso
in cui il PC non si avvii più.
Funzionalità MUI (Multi-lingual User Interface) - permette agli utenti
di Windows Vista Enterprise e Ultimate di cambiare la lingua dell'intero
sistema operativo e passare da una lingua ad un'altra ogni volta che lo
desiderano (sono disponibili 36 lingue diverse). Questo è possibile grazie
al fatto che in Windows Vista le stringhe delle risorse dell'interfaccia
utente sono separate dagli eseguibili.
Security
UAC (User Account Control) è una nuova modalità di gestione degli
account e dei permessi che permette a tutti i processi di avere il minimo
indispensabile dei privilegi (l'account principale è uno speciale tipo di
utente limitato che, se necessario, è in grado di eseguire tutte le
operazioni che richiedono privilegi superiori grazie ad una gestione
dinamica che consente ad un processo di passare temporaneamente e
automaticamente ad un livello di privilegio superiore: il passaggio avviene
basandosi sui permessi che l'utente dà o che Windows ha preimpostati ed
in assenza di tali permessi viene richiesta automaticamente una
password). Lo UAC chiede il permesso in una speciale modalità chiamata
Secure Desktop in cui l'intero schermo viene parzialmente oscurato,
20tranne la finestra di permesso; inoltre il Secure Desktop isola questa
finestra di permesso da tutte le altre applicazioni proteggendola dallo
spoofing e dai cosiddetti Shatter attacks. Lo UAC viene anche usato dalla
modalità protetta di IE7.
File virtuali sono usati e gestiti dallo UAC quando un'applicazione non
espressamente progettata per gestire la multiutenza tenta di creare o
modificare file o chiavi di registro di cui non dispone i permessi. Essendo
copie di file private, non si va a intaccare la sicurezza dell'intero sistema
operativo e nello stesso tempo si permette di far funzionare le
applicazioni mal progettate per la multiutenza. In Esplora risorse se una
cartella contiene dei file virtuali dell'utente corrente, compare un pulsante
chiamato "File compatibilità" che se premuto permette di accedere a quei
file in maniera semplice e intuitiva.
User Interface Privilege Isolation (UIPI) evita che i processi possano
inviare i cosiddetti window messages, hook, attach o effettuare DLL-
injection, a processi che hanno un livello d'integrità superiore.
Windows Service Hardening impedisce che i servizi di Windows critici
possano fare dei cambiamenti non autorizzati sul file system, nel registro,
accedere alla rete o altre risorse. Inoltre questi permessi sono settabili
dagli amministratori e dagli sviluppatori anche per tutti gli altri servizi di
terze parti.
Versione migliorata del Windows Firewall con funzionalità di
application firewalling con anche la possibilità di controllare le connessioni
in uscita, gestione diretta dei servizi di Windows, e packet filtering
avanzato.
Windows Defender previene l'installazione indesiderata di malware,
spyware e rootkit. È integrato nel Centro Sicurezza PC e aggiornabile
21tramite gli aggiornamenti automatici di Windows. Si integra con Internet
Explorer per scansionare automaticamente i file scaricati.
Migliorata la funzione di "DEP" (Data Execution Prevention) rispetto a
quella presente in Windows XP SP2. DEP sfrutta la tecnologia "NX bit" (No-
Execute bit) che è disponibile da diversi anni nei recenti microprocessori
Intel e AMD, per prevenire attacchi di tipo buffer overflow e bloccare i
code execution.
ASLR (Address Space Layout Randomization) è una tecnologia di
sicurezza che permette di prevenire attacchi da buffer overflow di tipo
Return-to-libc
I servizi del sistema vengono eseguiti in una sessione separata
rispetto a quella dell'utente in modo da risultare completamente protetti
dagli agenti maligni che si nascondono nelle applicazioni dell'utente (in
Windows XP SP2 ed in Windows Server 2003 vengono invece eseguiti
all'interno della stessa sessione).
Il codice di molti componenti è stato revisionato al fine di diminuire
la "superficie d'attacco" del sistema operativo ed offrire quindi una
maggiore resistenza contro i Denial of Service (DoS) ed altri tipi d'attacco.
Kernel Patch Protection su sistemi x64, protegge l'integrità del kernel
da attacchi pericolosi per la sua sicurezza e stabilità.
BitLocker Drive Encryption è una tecnologia che consente di criptare,
con un algoritmo di crittografia simmetrica, l'intero contenuto dell'hard
disk. La chiave di cifratura viene memorizzata in un chip TPM (Trusted
Platform Module) presente sulle nuove schede madri oppure su chiavetta
USB. Tale tecnologia garantisce che i dati siano accessibili solo se il sistema
operativo è 'fidato', cioè non è stato manomesso. Il vantaggio di tale
tecnologia è che l'intero disco rigido sarà inaccessibile nel caso in cui dei
22malintenzionati provassero a sottrarre i vostri dati facendo il boot da un
altro sistema operativo o nel caso di furto del PC o dell'hard disk.
Vista include un sistema di Digital rights management secondo le
specifiche TCG, che consente ai produttori di proteggere file multimediali
e applicazioni coperte da Copyright sfruttando questa tecnologia. I file
Mp3, i DivX e i programmi open source freeware ecc., essendo creati dagli
utenti, non sono firmati digitalmente con questa tecnologia e quindi
continueranno a funzionare come prima.
System Protection è la nuova versione transazionale del System
Restore. Migliorata la gestione dei punti di ripristino (con risparmio
notevole sui dati delle immagini del sistema da salvare) e del backup
grazie anche al nuovo metodo di memorizzazione più efficiente basato
sulle shadow copies (lo stesso metodo usato anche dalla funzionalità di
"Previuous versions").
Deadlock Detection Technology è in grado di rilevare condizioni di
deadlock di un'applicazione. Inoltre si ha una maggiore affidabilità grazie
alla possibilità di correggere le più comuni situazioni di blocco e crash e
una nuova tecnologia che è in grado di prevenire le cause che portano a
questi blocchi e crash.
Nuovi stack Audio e stack Stampanti completamente riscritti con
nuove API ed eseguono a livello utente anziché al livello del kernel,
sempre per garantire la massima stabilità del sistema operativo. Lo stack
audio PUMA (protected user-mode audio) integra inoltre funzionalita
DRM per assicurarsi che software non fidati non possano rubare del
contenuto protetto.
Credential Security Service Provider (CredSSP) e Security Support
Provider Interface (SSPI) sostituiscono i vecchi sottosistemi GINA e CAPI.
Aggiunti anche i metodi di cifratura AES, ECC e SHA-2 (Windows 2000 e
23Windows Server 2003 invece non supportano AES). Windows Vista può
accettare Smart Card o Smart Card+Password per autenticare gli utenti.
Aggiunte tantissime Nuove group policy in Windows Vista. Coprono
molti aspetti delle nuove funzionalità presenti in Vista, una maggiore
configurabilità delle reti wireless, policy sui dispositivi rimuovibili, ecc.
Code Integrity check-sum verification: Windows Vista controlla
l'integrità di tutti i file che lo compongono (dll e file di sistema) per
verificare che il sistema non sia stato compromesso. Il sistema controlla
anche l'integrità (ovverosia, la presenza di una firma valida) di tutti i driver
che vengono caricati in kernel mode.
Windows Update di Windows Vista non utilizza più il browser
Internet per scaricare gli aggiornamenti, ma è un'applicazione a sé e
inoltre gli aggiornamenti automatici sfruttano il nuovo Transactional-NTFS
di Vista per garantire una maggiore affidabilità degli aggiornamenti anche
in caso di caduta della corrente elettrica.
Gestione avanzata dei permessi sui file e cartelle in maniera simile a
Windows XP Professional, anche in Vista Home Basic (Controllo completo,
Modifica, Lettura ed esecuzione, Visualizzazione contenuti cartella,
Lettura, Scrittura, Autorizzazioni speciali, ecc.). Windows XP Home invece
permetteva solo la Condivisione file semplice e non si potevano
modificare questi permessi avanzati da esplora risorse.
Prestazioni
Tempi di risposta migliorati grazie ai nuovi algoritmi di scheduling,
alla gestione migliorata della memoria e dell'Input/Output (il nuovo kernel
di Windows Vista infatti supporta la cancellazione sincrona delle richieste
di I/O permettendo alle applicazioni di riprendersi quando una risorsa
richiesta è in uso da un'altra applicazione). Gli accessi al disco e in
24generale all'I/O hanno priorità diversa, stabilita di default dalla priorità del
processo/thread (in Windows XP invece tutti i processi accedono all'I/O
con la stessa priorità).
Il tempo di avvio (a freddo) del sistema si è sensibilmente ridotto
rispetto a quello di Windows XP.
Modalità Sleep (Sospensione) e avvio rapido permette al PC di
avviarsi in 2 o 3 secondi grazie alla combinazione delle modalità di stand-
by e ibernazione in un unico stato di Sleep. La sessione corrente di lavoro
viene salvata sia in memoria centrale che sull'hard disk e il PC entra in una
modalità a bassissimo consumo energetico.
SuperFetch è la nuova funzione di prefetch che consente di
precaricare in memoria le applicazioni utilizzate più frequentemente e di
renderle prioritarie rispetto alle applicazioni che lavorano in background,
al contrario di quanto accadeva con il prefetch di Windows XP, che gestiva
ogni applicazione indistintamente. Inoltre è persino in grado di capire a
quale ora del giorno o della settimana una data applicazione verrà
eseguita, e quindi la precarica in anticipo durante i tempi morti.
ReadyBoost consente di utilizzare la memoria di periferiche esterne
(chiavette USB 2.0 o altre..) per estendere la quantità di memoria di
sistema da usare per il SuperFetch e l'avvio più veloce di Windows (le
memorie flash esterne non sono veloci quanto la RAM, ma possono
comunque offrire prestazioni superiori a quelle dei dischi rigidi magnetici).
È possibile rimuovere un'unità EMD (External Memory Devices) in
qualsiasi momento senza perdite di dati. Una periferica USB può essere
utilizzata come unità EMD per diversi anni anche se viene utilizzata
intensivamente, grazie all'uso di un algoritmo di ottimizzazione. Infine, i
dati contenuti nell'unità EMD sono crittografati per impedire l'accesso non
autorizzato ai dati quando viene rimossa l'unità.
25 ReadyDrive consente ai PC equipaggiati con dischi rigidi ibridi (cioè
dotati di memoria flash aggiuntiva) di effettuare il boot più velocemente, il
ripristino dall'ibernazione in meno tempo e soprattutto di risparmiare
energia.
Possibilità di fermare i servizi e le applicazioni in background
(congelandoli nella memoria virtuale) prima di eseguire un gioco o
un'applicazione in full screen, in modo da dedicare tutte le risorse al
processo che è correntemente in esecuzione.
L'installazione del sistema operativo è molto più veloce rispetto a
Windows XP e dura circa 20 minuti su un Vista Capable PC, grazie anche al
fatto che il DVD di Vista è una immagine .WIM e quindi praticamente una
copia esatta del file system
Enable advanced performance è una impostazione, presente anche in
Windows 2003 server, che migliora notevolmente le prestazioni degli Hard
Disk (si consiglia di abilitarla solo se si ha un gruppo di continuità oppure
su un computer portatile alimentato a batterie). Quando questa
impostazione è abilitata l'HDD opera nella modalità di write-back cache, in
cui tutti i dati vengono prima scritti nella cache e poi in un secondo
momento su disco. Se disabilitata l'HDD opera nella modalità write-
through cache come su Windows XP, in cui tutti i dati sono scritti
immediatamente su disco e anche nella cache, cioè in questo caso le
scritture non sono gestite dalla cache, ma solo le letture.
Avvio ritardato dei servizi è una nuova modalità di avvio dei servizi
che permette di posticiparne l'avvio in modo da snellire la fase di boot e
permetterne il caricamento in background
26Network
Windows Internet Explorer 7 è la nuova versione del web browser di
Microsoft che in Windows Vista viene eseguito in modalità protetta in una
specie di sandbox che blocca l'accesso in scrittura al di fuori delle cartelle
dei file temporanei Internet.
Windows Mail è il nuovo client di posta elettronica (che sostituisce
Outlook Express): ha un nuovo motore che utilizza un database
transazionale per portare una maggiore stabilità ai dati e permettere
ricerche istantanee sia dentro il programma che dalla shell di Windows
Vista, filtro anti-spam che viene aggiornato tramite aggiornamenti
automatici di Windows, filtro anti-phishing come in IE7, newsgroup con
supporto ad icone che individuano domanda e risposta e voto ecc.).
Centro connessione di rete e condivisione mostra la mappa della
topologia della rete, permette di visualizzare lo stato della rete, attivare o
disattivare l'individuazione della rete, la condivisione dei file, condivisione
cartella pubblica, condivisione stampanti, condivisione protetta da
password, condivisione file multimediali, permette di visualizzare tutti i
file e le cartelle condivise e visualizzare tutte le cartelle di rete condivise.
Centro sincronizzazione consente di mantenere sincronizzate le
informazioni tra il computer e dispositivi mobili che vengono collegati al
computer o ai quali ci si collega in modalità wireless (lettori musicali
mobili, fotocamere digitali e cellulari), file archiviati in cartelle di server di
rete e programmi che supportano Centro sincronizzazione.
Remote Differential Compression (RDC) permette ai dati di essere
sincronizzati con una fonte remota usando tecniche di compressione
27differenziale per minimizzare il quantitativo di dati da inviare attraverso la
rete.
Microsoft Peer Name Resolution Protocol (PNRP) è il nuovo
sottosistema di P2P di Microsoft che viene usato per collegare macchine
nella stessa maniera in cui le applicazioni come eDonkey/eMule,
BitTorrent o programmi di messaggistica immediata fanno già, senza
richiedere l'utilizzo di server.
Next Generation TCP/IP stack è la nuova implementazione di TCP/IP,
completamente riprogettata con una nuova architettura a doppio layer IP
(IPv6 e IPv4) con condivisione dei livelli di trasporto e di framing. Lo stack
Next Generation TCP/IP permette l'inserimento e la rimozione dinamica di
componenti modulari. Ha inoltre capacità di autosensing per configurarsi
automaticamente (ad esempio per determinare dinamicamente la
dimensione della finestra TCP di ricezione). Il nuovo stack TCP/IP supporta
ECN (Explicit Congestion Notification) e Compound TCP (CTCP) che
migliora le performance TCP nei collegamenti con maggior latenza e minor
ampiezza di banda tipici degli ambienti Wan.
Supporto a IEEE 802.11i o Wpa2 che è lo standard di autenticazione
alle risorse wireless che consente la protezione del traffico dati con
algoritmi AES.
Internet Information Services (IIS) 7.0 è la nuova versione del server
Web, incluso anche in Vista Home Premium, ma non installato di default.
IIS 7.0 è un server Web modulare composto da un server di base leggero a
cui è possibile aggiungere più di 40 moduli funzionali che possono essere
connessi al server di base su necessità.
Server Message Block 2.0 è la nuova versione del protocollo SMB che
supporta i link simbolici e con prestazioni migliorate (invio di comandi
SMB multipli in un unico pacchetto, buffer di dimensioni maggiori, ecc.).
28 Link Layer Topology Discovery (LLTD) è un nuovo protocollo che
permette ai dispositivi di essere mostrati con una icona in una mappa che
mostra la topologia della rete
Network Access Protection (NAP) fa sì che ogni client di un dominio
possa accedere alla rete locale solo se risulta conforme alle policy
aziendali in termini di configurazione del firewall, dell'antivirus, di
aggiornamenti sulla sicurezza, ecc.
supporto del protocollo Juniper Infranet Controller (Juniper Networks
Unified Access Control)
Windows Defender
Windows Defender rileva ed elimina gli spyware noti dal computer,
contribuendo così a rendere più sicura l'esplorazione del Web. Il software
utilizza gli aggiornamenti automatici delle definizioni forniti dagli analisti
Microsoft per rilevare e rimuovere le nuove minacce non appena vengono
identificate.
Miglioramenti in Windows Defender
• Prestazioni ottimizzate grazie a un nuovo motore di scansione.
• Interfaccia utente e avvisi semplificati e ottimizzati.
• Controllo migliorato sui programmi del computer con Gestione software
ottimizzato.
• Supporto multilingue con funzioni di globalizzazione e localizzazione.
• Funzioni di protezione per tutti gli utenti, con o senza diritti di
amministratore sul computer.
29• Tecnologie per l'accesso facilitato per gli utenti con difficoltà fisiche o
cognitive, problemi o disabilità.
• Supporto per Microsoft Windows XP Professional x64 Edition.
• Pulizia automatica in base alle impostazioni dell'utente durante
scansioni periodiche pianificate.
Vantaggi di Windows Defender
Rilevamento e rimozione degli spyware
• Rilevamento degli spyware. Individua in modo facile e veloce gli
spyware e altri programmi indesiderati in grado di rallentare il computer,
visualizzare fastidiosi popup pubblicitari, modificare le impostazioni
Internet o utilizzare le informazioni personali all'insaputa dell'utente.
• Funzionamento semplificato e tecnologia di rimozione completa.
Elimina facilmente gli spyware rilevati quando l'utente lo richiede. Se
alcuni programmi sono stati rimossi per errore, è possibile ripristinarli in
modo semplice.
• Scansione e rimozione pianificata. Esegue le operazioni di scansione e
rimozione secondo i tempi stabiliti dall'utente, sia su richiesta che in
modalità pianificata.
Maggiore protezione durante l'esplorazione del Web
30• Blocco degli spyware prima che vengano installati nel computer. Offre
una difesa continua contro tutti i possibili tentativi di infiltrazione di
spyware nel computer.
• Funzionamento senza distrazioni per l'utente. Il programma viene
eseguito in background e gestisce automaticamente gli spyware in base
alle preferenze impostate dall'utente. Utilizzo del computer quasi senza
interruzioni.
Blocco delle minacce più recenti
• Competenza e affidabilità. Un team dedicato di ricercatori Microsoft
analizza costantemente Internet per scoprire nuovi spyware e sviluppare
le necessarie contromisure.
• Blocca velocemente le nuove minacce. Una rete globale e volontaria di
utenti di Windows Defender collabora con Microsoft per determinare
quali programmi sospetti classificare come spyware. La partecipazione
degli utenti consente di scoprire e notificare rapidamente le nuove
minacce agli analisti Microsoft che lavorano per garantire una migliore
protezione a tutti i clienti. A questa rete possono partecipare tutti gli
utenti di Windows Defender che desiderano segnalare potenziali spyware
a Microsoft.
• Aggiornamento automatico. Per proteggere il computer dalle ultime
minacce, è possibile attivare il download automatico degli aggiornamenti
in grado di contrastare i nuovi spyware.
31BitLocker
BitLocker garantisce tre modalità operative. Le prime due modalità
richiedono un dispositivo hardware per la cifratura, ovvero un Trusted
Platform Module (versione 1.2 o successivo) e un BIOS compatibile:
Modo operativo trasparente: questa modalità sfrutta le capacità
dell'hardware TPM 1.2 per garantire una esperienza di utilizzo
trasparente; l'utente effettua il login al sistema operativo normalmente.
La chiave usata per la criptazione del disco rigido viene memorizzata (in
forma sempre crittografata) all'interno del chip TPM che viene restituita al
loader dell'OS solo se i file di avvio appaiono non manomessi. I
componenti pre-OS di BitLocker sfruttano la endorsement key.
Modo autenticazione utente: questa modalità richiede che l'utente
inserisca una chiave di autenticazione nell'ambiente pre-boot in modo da
poter avviare l'OS. Due diversi modi di autenticazione sono supportati: un
PIN inserito dall'utente oppure un dispositivo USB che contiene la chiave
di avvio necessaria.
La terza modalità non richiede un chip TPM:
Chiave USB: l'utente deve inserire un dispositivo USB che contiene la
chiave di avvio nel computer per poter avviare il sistema operativo
protetto. È da notare che questa modalità richiede che il BIOS sulla
macchina protetta supporti la lettura dei dispositivi USB nell'ambiente
pre-OS. Per permettere il funzionamento di BitLocker, l'hard disk ha
bisogno di essere formattato in almeno due volumi NTFS: un "volume di
32Puoi anche leggere
