Saturday, November 19, 2005
CLI325 - WIndows Vista Security
En aquesta sessió se'ns van comentar quines millores de seguretat portava Windows Vista respecte els windows anteriors... al igual que cada detergent renta més blanc que l'anterior, que per cert havia afirmat que era una blancor insuperable, amb windows i la seguretat passa el mateix: cada nova versió de windows és la més segura i supera a l'anterior.
Abans que res el conferenciant ens va vendre una mica el nou model de seguretat de Vista, afirmant que aplicacions com ara spyware o malware ho tindran molt més complicat que no pas ara, i va afegir (com qui no vol la cosa) que IE7 és un navegador molt més segur que IE6 (cosa que de pas tampoc costa gaire...).
Aquest cop Microsoft (per fiiiii!!!) s'ha donat compte d'un dels talons d'aquiles de la seguretat: per poder ser mínimament productiu amb windows o bé ets administrador de la teva màquina o bé estàs continuament amb el runas. Ok, en una xarxa corporativa, si que es pot gestionar amb certa facilitat que els usuaris no siguin administadors, però en una petita xarxa o bé en un windows domèstic... és més complicat. I el mateix passa en una xarxa corporativa si es vol donar un cert grau de llibertat als usuaris.
Atacant precisament aquest punt, una de les grans novetats de Vista és el UAP (User Access Protection). La idea s'assembla una mica al que tenim en sistemes Unix: les comptes d'usuari no son administratives per defecte i quan cal fer alguna tasca administrativa es poden obtenir permisos amb sa. Doncs la idea és la mateixa (però una mica ampliada): En concret hi haurà tres tipus de comptes en Vista: l'usuari administrador built-in (el per defecte de sempre), altres usuaris que poden ser administradors i usuaris limitats. Els usuaris que poden ser administradors, no ho seran per defecte, però quan vulguin realitzar una tasca que requereix drets administratius el sistema els hi requerirà confirmació. La idea és que mai es pugui realitzar una tasca que requereixi drets administratius sense que l'usuari ho sàpiga. Aquesta confirmació es configura vía polítiques del sistema i pot consistir en simplement "acceptar" la conformitat de realitzar la tasca o bé el sistema pot demanar de nou les credencials (major seguretat). Dos notes sobre això: pot desactivar-se si es vol (cosa que crec no és molt bona idea) i llavors els usuaris que poden ser administradors, obtenen drets administratius de forma automàtica quan és necessari i l'usuari administrador built-in no és afectat per UAP (sempre té drets administratius).
Un segon tema que es va tractar va ser el tema de criptografia i seguretat en autenticació per xarxa i altres mecanismes. D'aquí per resumir diré que Windows Vista té el certificat conforme compleix amb la "suite B" de la NSA, cosa que dona un bon nivell de seguretat: "suite B" és el conjunt de protocols i algoritmes d'encriptació que s'usen per a encriptar els documents classificats de "top secret" pel govern d'estats units (excepte, segons ens va dir, documents relatius a seguretat nacional que s'usa "suite A" que la seva especificació és desconeix). També ens va comentar que Vista portava un gran suport per al log-on amb altres mecanismes que no fossin login-password (smart cards, mecanismes biomètrics, ...).
Per últim el 3er punt que ens va explicar sobre seguretat, anava més destinat al control del sistema, sobretot per part dels pares (els administradors de sistemes també tenen fills i per tant està bé ensenyar alguna cosa així, no?): un millorat parental user control, permet deshabilitar l'accés no només a webs si no a programes instal·lats en local segons certs filtres.
I bàsicament aquesta seria un resum de la conferència, que va ser força entretinguda i penso que molt ben exposada per part del confereciant...
Abans que res el conferenciant ens va vendre una mica el nou model de seguretat de Vista, afirmant que aplicacions com ara spyware o malware ho tindran molt més complicat que no pas ara, i va afegir (com qui no vol la cosa) que IE7 és un navegador molt més segur que IE6 (cosa que de pas tampoc costa gaire...).
Aquest cop Microsoft (per fiiiii!!!) s'ha donat compte d'un dels talons d'aquiles de la seguretat: per poder ser mínimament productiu amb windows o bé ets administrador de la teva màquina o bé estàs continuament amb el runas. Ok, en una xarxa corporativa, si que es pot gestionar amb certa facilitat que els usuaris no siguin administadors, però en una petita xarxa o bé en un windows domèstic... és més complicat. I el mateix passa en una xarxa corporativa si es vol donar un cert grau de llibertat als usuaris.
Atacant precisament aquest punt, una de les grans novetats de Vista és el UAP (User Access Protection). La idea s'assembla una mica al que tenim en sistemes Unix: les comptes d'usuari no son administratives per defecte i quan cal fer alguna tasca administrativa es poden obtenir permisos amb sa. Doncs la idea és la mateixa (però una mica ampliada): En concret hi haurà tres tipus de comptes en Vista: l'usuari administrador built-in (el per defecte de sempre), altres usuaris que poden ser administradors i usuaris limitats. Els usuaris que poden ser administradors, no ho seran per defecte, però quan vulguin realitzar una tasca que requereix drets administratius el sistema els hi requerirà confirmació. La idea és que mai es pugui realitzar una tasca que requereixi drets administratius sense que l'usuari ho sàpiga. Aquesta confirmació es configura vía polítiques del sistema i pot consistir en simplement "acceptar" la conformitat de realitzar la tasca o bé el sistema pot demanar de nou les credencials (major seguretat). Dos notes sobre això: pot desactivar-se si es vol (cosa que crec no és molt bona idea) i llavors els usuaris que poden ser administradors, obtenen drets administratius de forma automàtica quan és necessari i l'usuari administrador built-in no és afectat per UAP (sempre té drets administratius).
Un segon tema que es va tractar va ser el tema de criptografia i seguretat en autenticació per xarxa i altres mecanismes. D'aquí per resumir diré que Windows Vista té el certificat conforme compleix amb la "suite B" de la NSA, cosa que dona un bon nivell de seguretat: "suite B" és el conjunt de protocols i algoritmes d'encriptació que s'usen per a encriptar els documents classificats de "top secret" pel govern d'estats units (excepte, segons ens va dir, documents relatius a seguretat nacional que s'usa "suite A" que la seva especificació és desconeix). També ens va comentar que Vista portava un gran suport per al log-on amb altres mecanismes que no fossin login-password (smart cards, mecanismes biomètrics, ...).
Per últim el 3er punt que ens va explicar sobre seguretat, anava més destinat al control del sistema, sobretot per part dels pares (els administradors de sistemes també tenen fills i per tant està bé ensenyar alguna cosa així, no?): un millorat parental user control, permet deshabilitar l'accés no només a webs si no a programes instal·lats en local segons certs filtres.
I bàsicament aquesta seria un resum de la conferència, que va ser força entretinguda i penso que molt ben exposada per part del confereciant...
# posted by eiximenis @ 2:53 AM 
