Your SlideShare is downloading. ×
0
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
FDCC – Federal Desktop Core Configuration   1.1
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

FDCC – Federal Desktop Core Configuration 1.1

309

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
309
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. FDCC - Federal Desktop Core Configuration Overview Luca Mella - lucam.ko@gmail.com - v1.1 1
  • 2. FDCC Overview 1/2 Che cos’è FDCC? Perché? Come?• Non un ”Standard Desktop” ma una bensì “Standard Security Configuration”• Configurazioni per sistemi general-purpose collegati direttamente alla rete.• Basate su “Principe of Least Privilege”• Lista vera e propria di security setting raccomandate dal NIST [National Institute of Standards and Technologies]• Oltre 400 raccomandazioni: • Impostazioni rete, IE. • Robustezza password • Minor accesso ad account “Administrator” • [..] Luca Mella - lucam.ko@gmail.com - v1.1 2
  • 3. FDCC Overview 2/2 Che cos’è FDCC? Perché? Come?• Configurazioni orientate alle Agenzie Governative, che necessitano di elevati standard di sicurezza e di valutazioni attendibili. • Dal 4 febbraio 2008, conformità FDCC è richiesta in tutte le agenzie governative US.• Applicabili solo a sistemi Microsoft Windows XP/Vista.• Adesione e documentazione verificabile via SCAP tools.• Deployment via Group Policy. Luca Mella - lucam.ko@gmail.com - v1.1 3
  • 4. FDCC Target Machines A quali macchine sono destinate tali configurazioni?• Destinate a XP/Vista Desktop e Laptop computer.• Non applicabili a: • macchine Windows collegate a dispositivi scentifici/biomedicali. • Non applicabili a versioni server di Windows XP/Vista [Windows server 2003/2008 xx]• Non applicabili a Macintosh e Linux • Questi sistemi sono comunque in stato di revisione per una futura inclusione.. Luca Mella - lucam.ko@gmail.com - v1.1 4
  • 5. Un po’di storia.. 1/2 Come è nata FDCC?• 20 marzo 2007 • OMB [Office of Management and Budget] rilascia una nota istruttoria riguardante i piani di utilizzo e le configurazioni di sicurezza per sistemi Windows Xp/Vista • Proposte le configurazioni di sicurezza adottate da USAF come modello preliminare.• NIST sviluppa (e mantiene) la linea guida di FDCC, in collaborazione con OMB, NSA, USAF DHS, DISA e Microsoft. Luca Mella - lucam.ko@gmail.com - v1.1 5
  • 6. Un po’di storia.. 2/2 Come è nata FDCC?• Windows Vista FDCC • personalizzazione della guida “Security Guides for both Windows Vista and Internet Explorer 7.0” effettuata dal DoD [Department of Defense]• Windows XP FDCC • personalizzazione di SSLF [Specialized Security-Limited Functionality] del NIST: • Frutto della modifica alla guida Microsoft “Security Guide for Internet Explorer 7.0” Luca Mella - lucam.ko@gmail.com - v1.1 6
  • 7. Solo Windows Xp e Vista? Come è nata FDCC?• NIST non impone il deployment di soli sistemi Windows XP/Vista• Non decide prerequisiti e condizioni per le forniture.• Numerose “security guidance” sono disponibili per il resto dei sistemi.• Documentazione dettagliata frutto di NCP [National Checklist Program] è reperibili qui : http://checklists.nist.gov • Guidance Mac http://web.nvd.nist.gov/view/ncp/repository/checklist/download?id=275 Luca Mella - lucam.ko@gmail.com - v1.1 7
  • 8. Ma come si può capire su rispettiamo Prima di scendere nel dettaglio.. FDCC?• Esiste qualche tool per capire lo stato della nostra macchina?• Come funziona?• Perché?• [..] Luca Mella - lucam.ko@gmail.com - v1.1 8
  • 9. SCAP [Security Content Automation Protocol] Overview [Pronuncia: S-CAP] Luca Mella - lucam.ko@gmail.com - v1.1 9
  • 10. SCAP Overview 1/2 Overview• SCAP è un set di standard atti ad alla gestione delle vulnerabilità. • http://scap.nist.gov/• Automazione, Misurazione, valutazione di conformità FDCC.• NVD [National Vulnerability Database], repository di contenuti per SCAP. • security checklist, difetti del sw, errori di configurazione, nomi di prodotti e metriche d’impatto. • http://nvd.nist.gov/ Luca Mella - lucam.ko@gmail.com - v1.1 10
  • 11. SCAP Overview 2/2 Overview• Standard aperti per: • Enumerare difetti di software. • Configuration issues. • Nomi di prodotti. • Individuazione e misura di vulnerabilità. • Report per valutare l’impatto di un attacco e la possibilità di un attacco. Luca Mella - lucam.ko@gmail.com - v1.1 11
  • 12. SCAP Componenti 1/2 Standard aperti• Enumerazioni • Common Vulnerabilities and Exposures (CVE) • Common Configuration Enumeration (CCE) • Common Platform Enumeration (CPE)• Metriche • Common Vulnerability Scoring System (CVSS)• Linguaggi • Extensible Configuration Checklist Description Format (XCCDF) • Open Vulnerability and Assessment Language (OVAL) Luca Mella - lucam.ko@gmail.com - v1.1 12
  • 13. SCAP Componenti 2/2 Interpolazione Software Flaw Management CVE OVAL CVSS Asset ConfigurationManagement Management CPE SCAP CCE XCCDF Luca Mella - lucam.ko@gmail.com - v1.1 13 Compliance Management
  • 14. Common Vulnerabilities and Exposures Dictionary of security related software flaws (CVE)• Dizionario di informazioni riguardo a vulnerabilità ed esposizione a vulnerabilità.• UN nome standard.• UNA descrizione standard.• Database e tool eterogenei devono “parlare” la stessa lingua.• Nato nel 1999 • tool differenti chiamavano diverse vulnerabilità con stesso nome.• “CVE-Compatibility” rilasciata ai sw dopo opportune valutazioni.• Sito ufficiale: http://cve.mitre.org/ Luca Mella - lucam.ko@gmail.com - v1.1 14
  • 15. Common Configuration Enumeration Dictionary of software misconfigurations (CCE)• Identificatori univoci per problemi di configurazione.• “CCE-Id” per associare esiti di controlli con istruzioni pubblicate in documenti “best-pratice”.• Maggiore interpolabilità • Facilita la raccolta di metriche nei processi di security audit. • Agile correlazione dei dati.• CCE-Id sono utilizzati nelle impostazioni specificate in FDCC.• Sito ufficiale: http://cce.mitre.org/about/index.html Luca Mella - lucam.ko@gmail.com - v1.1 15
  • 16. Common Platform Enumeration (CPE) Standard nomenclature and dictionary for product naming 1/2• Naming-scheme strutturato per sistemi informatici, piattaforme e pacchetti. • Formalizzazione, consistenza, uniformità.• Sintassi URI [Uniform Resource Identifier] • cpe:/<part>:<vendor>:<product>:<version> :<update>:<edition>:<language>• Sito ufficiale http://cpe.mitre.org/about/index.html• Specifiche http://cpe.mitre.org/specification/index.html Luca Mella - lucam.ko@gmail.com - v1.1 16
  • 17. Common Platform Enumeration (CPE) Struttura 2/2 Luca Mella - lucam.ko@gmail.com - v1.1 17
  • 18. Common Vulnerability Scoring System (CVSS) 1/3 Standard for scoring the impact of vulnerabilities• Open Framework per comunicare caratteristiche ed impatti delle vulnerabilità.• Definire priorità e coordinare risposte alle vulnerabilità.• 3 gruppi di metriche per le vulnerabilità: • proprietà di base • proprietà temporali • proprietà ambientali• Ogni gruppo consiste in un set di metriche.• Sito ufficiale: http://www.first.org/cvss/cvss-guide.html Luca Mella - lucam.ko@gmail.com - v1.1 18
  • 19. Common Vulnerability Scoring System Metrics (CVSS) 2/3 Luca Mella - lucam.ko@gmail.com - v1.1 19
  • 20. Common Vulnerability Scoring System How does it works? (CVSS) 3/3• Vengono calcolati punteggi base da 0 a 10.• Il vettore dei punteggi base può essere raffinato attraverso altre metriche.• Base e temporal scores sono specificati da bollettini dei produttori o di analisti, Enviromental scores sono definiti dall’utente.• Score calculator : http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2 Luca Mella - lucam.ko@gmail.com - v1.1 20
  • 21. Extensible Configuration Checklist Description Format (XCCDF) 1/2 Standard XML for specifying checklists• Linguaggio XML-based • scrittura di checklist di configurazioni e patch.• Documenti XCCDF rappresentano: • Insieme strutturato di regole. • Configurazioni per sistemi.• Automatizzazione test di conformità.• Progettato per supportare l’integrazione di più checking engines. Luca Mella - lucam.ko@gmail.com - v1.1 21
  • 22. Extensible Configuration Checklist Description Format (XCCDF) 2/2• Report: human-readable, riguardo conformità. Include punteggio e Pass/Fail dei benchmark.• Result: machine-readable, riguardo a conformità, per long term tracking• FixScript: machine-readable , script per rimediare alle inconformità. Luca Mella - lucam.ko@gmail.com - v1.1 22
  • 23. Open Vulnerability and Assessment Language (OVAL) 1/2 Standard XML for checking machine state• Standardizza il modo di valutare e riferire sullo stato di un sistema.• 3 principali fasi del processo di valutazione: • Rappresentazione delle informazioni. • Analisi del sistema per la presenza di stati macchina specificati (vulnerabilità, configurazioni, stato patch ..) • Reporting.• 3 schemi XML-based fungono da dizionario e da framework: • System Characteristics schema, per informazioni di sistema. • Definitions schema, per esprimere uno specifico stato macchina. • Results schema, per reporting.• Repository mantenuti dalla comunità. Luca Mella - lucam.ko@gmail.com - v1.1 23
  • 24. Open Vulnerability and Assessment Language (OVAL) 2/2 Example “Hello World”<registry_test id="oval:tutorial:tst:1" check="all"> La struttura del Test in OVAL semplicemente<object object_ref="oval:tutorial:obj:1"/><state state_ref="oval:tutorial:ste:1"/> combina riferimenti a oggetti di sistema</registry_test> (registry key qui) agli stati che vogliamo verificare. <registry_object id="oval:tutorial:obj:1"> <hive>HKEY_LOCAL_MACHINE</hive> <key>SOFTWAREoval</key> <name>example</name> </registry_object><registry_state id="oval:tutorial:ste:1"><value>Hello World</value></registry_state><definition id="oval:tutorial:def:1"> Le definizioni sono il cuore del linguaggio, il loro<metadata>...</metadata><criteria>...</criteria> scopo è permettere di combinare vari test con</definition> operandi logici AND /OR<metadata> <title>Hello World Example</title> Descrizione testuale di cosa si sta controllando<description>[..]</description> </metadata><criteria> Contiene tutti i test da svolgere collegati tra<criterion test_ref="oval:tutorial:tst:1"comment="the value of the registry key equals Hello loro da operandi AND/ORWorld"/> Luca Mella - lucam.ko@gmail.com - v1.1 24</criteria>
  • 25. OVAL e XCCDF Chiarimento - Scope dei linguaggi Supporto alla personalizzazione delle “security guidance”indipendent Platform Colleziona, struttura, organizza “security guidance” Valuta la conformità Definizione di test per verificare conformitàdependent Platform Test “system-specific” dello stato del sistema Caratterizzazione stati di sistema (low-level). Luca Mella - lucam.ko@gmail.com - v1.1 25
  • 26. SCAP Capabilities Principali utilizzi di SCAP• Federal Desktop Core Configuration (FDCC) Scanner• Authenticated Configuration Scanner• Authenticated Vulnerability [and Patch] Scanner• Unauthenticated Vulnerability Scanner• Intrusion Detection and Prevention• Patch Remediation• Mis-configuration Remediation• [..] Luca Mella - lucam.ko@gmail.com - v1.1 26
  • 27. SCAP Products Implementazione di SCAP• SCAP è destinato ad effettuare misurazioni e monitoraggio delle configurazioni di sicurezza• Le versioni future punteranno a standardizzare ed automatizzare il deployment e la modifica delle security settings.• Lista dei prodotti validati : http://nvd.nist.gov/scapproducts.cfm (sono presenti anche FDCC scanner) Luca Mella - lucam.ko@gmail.com - v1.1 27
  • 28. FDCC - Federal Desktop Core Configuration Configurazioni Principali Luca Mella - lucam.ko@gmail.com - v1.1 28
  • 29. FDCC – Login Login• CTRL+ALT+DEL richiesto.• Lock della postazione in caso di rimozione smart card.• Ultimo username non più salvato nella schermata di logon.• Caching in locale di massimo 2 profili utente.• Disabilitazione Account “Administrator” [Vista] e “Guest”. • Renaming di “Administrator” e “Guest”.• Account lockout threshold: 5 tentativi – Profilo bloccato per 15 minuti – Default: 0• Disabilitazione di “run once list”. – HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce – Non vengono eseguite applicazioni specificate dall’utente in tale lista, ignorate dal sistema. Luca Mella - lucam.ko@gmail.com - v1.1 29
  • 30. FDCC - ActiveX ActiveX• Impedita installazione di controlli con firma non valida. • Amministratore può firmare i controlli (AD)• Impossibilità di scaricare controlli ActiveX (firmati e non) da fuori dall’intranet.• Blocco delle installazioni di controlli ActiveX direttamente da IE [XP] • Vista utilizza ActiveX Installer Service [AxIS], che permette il download e l’installazione di controlli da siti fidati impostati via Group Policy. Luca Mella - lucam.ko@gmail.com - v1.1 30
  • 31. FDCC – Password Rafforzamento password• Cambio Password ogni 60 giorni• Complexity Requirements • Lunghezza minima: 12 caratteri. • Non deve contenere il nome utente. • Deve contenere [A-Z],[a-z],[0-9] e caratteri speciali. • Differenza da vecchie password.• Password history • Ricordate 24 old password.• Occorre password non vuota perché un account possa essere utilizzato per autenticazione in servizi di rete (TS,Telnet,FTP..) Luca Mella - lucam.ko@gmail.com - v1.1 31
  • 32. FDCC - AD Domain member• Encrypt or sign secure channel data (always) – Comunicazioni con Domain Controller sempre crittate o firmate.• Require strong (Windows 2000 or later) session key – Non collegarti a DC che non possono offrire crittografia forte (min 128bit). Luca Mella - lucam.ko@gmail.com - v1.1 32
  • 33. FDCC – Networking 1/7 Level 3 – Source Routing• Disable IP Source Routing. • IP source routing è un meccanismo che permette al mittente di determinare il percorso del datagramma IP che assumerà attraverso la rete. • Instradamento non frequente nelle reti IP in quanto permette allutente di scegliere le rotte piuttosto che affidarsi al routing dinamico. • E’ possibile effettuare un attacco di “IP spoofing”, in cui si ricevono anche i pacchetti di risposta [man in the middle] Luca Mella - lucam.ko@gmail.com - v1.1 33
  • 34. FDCC – Networking 2/7 Level 3 – Source Routing - Scenario 10.27.1.7 Packet form 10.1.0.2 to 10.1.0.1 10.1.0.50 SR - list of intermediate ip 10.2.1.1 10.27.1.7 10.2.1.1 10.1.0.1 10.1.0.210.1.0.1 10.1.0.2 Luca Mella - lucam.ko@gmail.com - v1.1 34
  • 35. FDCC – Networking 3/7 Level 3 – ICMP redirects• Deny ICMP redirects to override OSPF generated routes. • The Redirect Message is an ICMP message (type 5) which informs a host to update its routing information (to send packets on an alternate route). • Properly constructed ICMP packet that passes all sanity checks (it must come from the default router for the destination its redirecting, new router should be on a directly connected network, etc.) it causes a host-route entry be added to the system routing table. • Default: Enabled [XP] Luca Mella - lucam.ko@gmail.com - v1.1 35
  • 36. 2) Pkt from A to B,after reciving the FDCC – Networking 4/7icmp_r pkt. Level 3 – ICMP redirects - Scenario [Gateway di User A]DoS 1) Spoofed icmp_r pkt: Passa da Router C (oppure D) per arrivare a User B Luca Mella - lucam.ko@gmail.com - v1.1 36
  • 37. FDCC – Networking 5/7 Level 3 - IRDP• Disallow IRDP [Internet Router Discovery Protocol] to detect and configure DefaultGateway addresses (could lead to DoS) • basically consists of 2 ICMP Message-Types: • 9 - Router Advertisement (in risposta) • 10 - Router Solicitation (inviato dal client) • When a client receives a message type 9, they are adding the router to their local routing-table. • By spoofing IRDP Router Advertisements, an attacker can remotely add default route entries. • Effetti possibili: • DoS by changing the default gateway to something invalid • Sniffing and/or MITM attacks if changing the gateway to a router under the attackers control. • http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-1999-0875 Luca Mella - lucam.ko@gmail.com - v1.1 37
  • 38. FDCC – Networking 6/7 Level 3 – SYN attack• Syn attack protection level (protects against DoS) • The connection responses time-out more quickly in the event of a connect request (SYN) attack. • SYN Flood Attack [DoS] • Using a spoofed IP address not in use on the Internet, an attacker sends multiple SYN packets to the target machine. • For each SYN packet received, the target machine allocates resources and sends (SYN-ACK) to the source IP address. • Because the target machine doesnt receive a response from the attacking machine, it attempts to resend the SYN-ACK five times, at 3-, 6-, 12-, 24-, and 48-second intervals before unallocating the resources.• Pacchetti dati ritrasmessi per 3 volte in mancanza di ACK [TCP] • Default 5 Luca Mella - lucam.ko@gmail.com - v1.1 38
  • 39. FDCC – Networking 7/7 LMHash• Do not store LAN Manager hash value. – LAN Manager is prevented from storing hash values for the new password. It is important to enable this setting since the LAN Manager Hash is a prime target of many hackers. » LM Hashes sono password cifrate in malomodo, senza salt ad esempio. » Rainbow tables ottimizzano tempi di cracking per hash non salted (space-time tradeoff). Luca Mella - lucam.ko@gmail.com - v1.1 39
  • 40. FDCC - Administration Administration• Disallow automatic administrative logon using Recovery Console.• Driver non firmati sono stati vietati. • Administrators can sign drivers.• User Account Control abilitato [Vista]  • Richiede credenziali, non più solo conferma.• Privilegi di amministrazione rimossi • installazioni sw solo da “Administrator”. • .. Luca Mella - lucam.ko@gmail.com - v1.1 40
  • 41. FDCC - ACLs Esecuzione revocata agli utenti..• at.exe • Pianifica l’esecuzione di comandi• Regedit.exe• arp.exe, debug.exe• route.exe • Per visualizzazione e modifica tabelle di routing• Net.exe • Will impact orgs that use logon scripts• [..] Luca Mella - lucam.ko@gmail.com - v1.1 41
  • 42. FDCC – Services 1/2 Alcuni servizi disabilitati• Disable Universal Plug and Play Device Host • UPnP != PnP • Set of networking protocol that aims to crate a p2p network between pc and network peripherals. • Many UPnP device implementations lack authentication mechanisms. • Flash programs are capable of generating a specific type of HTTP request. This allows a router implementing the UPnP protocol to be controlled by a malicious web site when someone with a UPnP- enabled router simply visits that web site.• Wireless Zero Configuration / WLAN AutoConfig • Dynamically selects a wireless network to connect to. Luca Mella - lucam.ko@gmail.com - v1.1 42
  • 43. FDCC – Services 2/2 Alcuni servizi disabilitati• Messenger • Servizio per l’invio/ricezione di messaggi ad host (solitamente in LAN) • Es: net send {IP address/computer name/* (broadcast)} {message}• NetMeeting Remote Desktop Sharing • Makes it possible for a remote user with NetMeeting to access your computer.• FTP Publishing Service• Indexing Service• SSDP Discovery Service • detection of Universal Plug and Play (UPnP) devices on network.• [..] Luca Mella - lucam.ko@gmail.com - v1.1 43
  • 44. FDCC – Configurazioni Ma.. solo queste?• Il resto delle configurazioni elencate in dettaglio sono reperibili qui :• http://nvd.nist.gov/fdcc/FDCC-Settings-major- version-1.2.x.0.xls Luca Mella - lucam.ko@gmail.com - v1.1 44
  • 45. FDCC - Federal Desktop Core Configuration Deployment Luca Mella - lucam.ko@gmail.com - v1.1 45
  • 46. FDCC – Deployment Come è possibile applicare FDCC?• Active Directory GPOs • Deployment centralizzato. • Rafforzamento delle policy di dominio. • http://www.microsoft.com/industry/government/f ederal/fdccdeployment.mspx • Soluzioni Commerciali per deployment e audit.• Local GPOs • Standalone workstation. • No domino AD. • Tool per deployment. Luca Mella - lucam.ko@gmail.com - v1.1 46
  • 47. GPOs – Cenni Group Policy Objects• Set of rules which control the working environment of user accounts and computer accounts.• Group Policy settings are enforced voluntarily by the targeted applications. • Attacker can modify or interfere with the application so that it cannot successfully read its Group Policy settings, thus enforcing potentially lower security defaults or even returning arbitrary values. • In many cases, this merely consists of disabling the user interface for a particular function, without disabling lower-level means of accessing it.• Group Policy client operates on a "pull" model (AD) • Every 90-120min it will collect the list of GPOs appropriate to the machine and logged on user. • then apply GPOs, this might change the behavior of policy-enabled os compoments.• Local Group Policy (LGP) • Can configure the Group Policy for a single local computer. • Can not make policies for individual users or groups (XP).• Multiple Local Group Policy objects (MLGPO) • allows setting local Group Policy for individual users (VISTA). Luca Mella - lucam.ko@gmail.com - v1.1 47
  • 48. FDCC – Deployment LGP 1/3 Installazione FDCC su macchina standalone• E’disponibile un comodo tool per deploy LGP. • Blog su MS technet: http://blogs.technet.com/fdcc/archive/tags/FDCC/ default.aspx • Eseguibili: http://blogs.technet.com/fdcc/attachment/30516 48.ashx • Sorgenti: http://blogs.technet.com/fdcc/attachment/33060 01.ashx Luca Mella - lucam.ko@gmail.com - v1.1 48
  • 49. FDCC – Deployment LGP 2/3 How to• Aprire la shell nella cartella dei tools• Lanciare il comando: • Set_FDCC_LGPO.exe [/log LogFile] [/error ErrorLogFile] [/boot] • Per settare le configurazioni registry-based. • Set_FDCC_LGPO.exe [/Sec] [/log LogFile] [/error ErrorLogFile] [/boot] • Per settare anche le security policy. Luca Mella - lucam.ko@gmail.com - v1.1 49
  • 50. FDCC – Deployment LGP 3/3 Deployng.. Luca Mella - lucam.ko@gmail.com - v1.1 50
  • 51. FDCC - Federal Desktop Core ConfigurationConfomity Assessment via SCAP Tools Luca Mella - lucam.ko@gmail.com - v1.1 51
  • 52. Assessment Tools Come verificare?• Numerosi prodotti permettono di verificare la conformità a FDCC (e non solo..)• Quasi tutti a pagamento…• http://nvd.nist.gov/scapproducts.cfm• Secutor Prime di Threat Guard è disponibile in versione free!• http://www.threatguard.com/downloads.htm Luca Mella - lucam.ko@gmail.com - v1.1 52
  • 53. XP Professional Prima di FDCC 1/3 Luca Mella - lucam.ko@gmail.com - v1.1 53
  • 54. XP Professional Prima di FDCC 2/3 Luca Mella - lucam.ko@gmail.com - v1.1 54
  • 55. XP Professional Prima di FDCC 3/3 Luca Mella - lucam.ko@gmail.com - v1.1 55
  • 56. XP Professional dopo FDCC Luca Mella - lucam.ko@gmail.com - v1.1 56
  • 57. Risultati.. Prima di FDCC:Compliance 46% Dopo FDCC (solo registry-based) Compliance 68% Dopo FDCC ( /SEC )Compliance 96% Luca Mella - lucam.ko@gmail.com - v1.1 57
  • 58. Questions..?Luca Mella - lucam.ko@gmail.com - v1.1 58

×