Negli ultimi anni la sicurezza informatica è diventata una delle principali componenti delle moderne infrastrutture informatiche. Per rendere sicura un'infrastruttura informatica occorre un'attenta analisi dell'attuali minacce informatiche e della loro possibile evoluzione e l'applicazione delle best practices per la protezione e il monitoraggio. Nella sessione verrà anche analizzato come Windows Server 2016 e Microsoft Advanced Threat Analytics può aiutarci nell'hardening dell'infrastruttura. Per richiedere accesso al canale contenente le registrazioni audio/video delle sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form: https://goo.gl/Fq6DQE

1. CLOUD
CONFERENCE
ITALIA
2017
Security Best Practices
e novità in
Windows Server 2016
Ermanno Goletto
Roberto Massa

2. e
#cloudconferenceitalia
SPONSOR

3. e
#cloudconferenceitalia
Chi sono
Ermanno Goletto
e.goletto@outlook.it
Blog: www.devadmin.it
MCITP - MCTS – MCSA
Roberto Massa
robimassa@hotmail.it
Blog: massarobi.wordpress.com
MCTS

4. e
#cloudconferenceitalia
Agenda
• Security overview
• Security best practices
• Security news in Windows Server 2016
• Enterprise Mobility + Security

5. SECURITY
OVERVIEW
Security Best Practices
e novità in Windows Server 2016

6. e
Motivazione e obbiettivi degli attacchi
Diffusione
Violazione sistemi per diffusione
massiva di malware
(es. botnet e spam)
Furto di dati
Vantaggi economici o politici
Cybercrime
Vantaggio finanziario
(es. ransomware,
furto di carte di credito)
Hacktivism
Diffamazione di organizzazioni
(es. defacement, pubblicazione
di dati riservati)
Cyber warfare
Attività miliari volte
all’alterazione o distruzione di
sistemi informatici nemici
Furto identità
Furto di informazioni personali
di clienti, cittadini e di persone in
generale Microsoft Security Intelligence Report Volume 22 (August 2017)
Cloud-based user account attacks have increased
300% from last year
Check Point Cyber Attack Trends 2017 Mid-Year Report (August 2017)
Rapporto Clusit Settembre 2017
Statisticamente oggi qualsiasi organizzazione, indipendentemente
dalla dimensione o dal settore di attività, subirà un attacco
informatico significativo entro i prossimi 12 mesi, mentre oltre
la metà ne hanno subito almeno uno nell’ultimo anno

7. e
#cloudconferenceitalia
Falle di sicurezza e impatti sul sistema
191 giorni in media per
identificare una falla di sicurezza
Ponemon Institute - 2017 Cost of Data Breach Study (June 2017)
66 giorni per adeguare il
sistema
Ponemon Institute - 2017 Cost of Data Breach Study (June 2017)
47% delle volte la segnalazione
proviene dall’esterno
Mandiant - M-Trends 2017 Annual Threat Report (March 2017)
82% delle vulnerabilità sono
sfruttabili remotamente
Flexera - Vulnerability Review 2017 (March 2017)
81% delle vulnerabilità è stata
corretta nel giorno della scoperta
Flexera - Vulnerability Review 2017 (March 2017)
3.6M$ costo medio totale delle
falle di sicurezza
Ponemon Institute - 2017 Cost of Data Breach Study (June 2017)

8. e
Tipi di attacchi e minacce
Social Engineering
89% delle aziende riporta che il fenomeno è in
aumento o costante secondo i report dell’FBI
46% delle aziende riporta di essere stata vittime nello
scorso anno, il 14% non ne sono sicure
65% di chi ha subito attacchi riporta che le
credenziali sono state compromesse tramite Social
Engineering
Advanced Persistent Treat
Eseguono attacchi avanzati in modo persistente
Una volta all’interno della rete bersaglio tentano la
compromissione di sistemi d’interesse
Sfruttano tecnologie del bersaglio (VPN) e strumenti
di amministrazione di sistema e persistono anche per
anni
Attacchi Zero-day
Vulnerabilità non note ai produttori
Esiste un mercato di compravendita
Interazione minima con la vittima sia nel caso di client
(accesso a pagina web) che server (richiesta verso
servizi web)
Malware
Programmi, spesso fatti ad-hoc, creati per eseguire
attacchi verso sistemi specifici per distruggere dati,
rubare informazioni, compromettere il business della
vittima (xes. Stunex per il protocollo SCADA delle
centrali nucleari)
25% delle aziende è infetta da Sypware (Hola,
RelevantKnowledge, DNSChanger/DNS Unlocker)
Fonte Agari - Social Engineering Report 2016
Fonte CISCO - Midyear Cybersecurity Report 2017

9. SECURITY BEST
PRACTICES
Security Best Practices
e novità in Windows Server 2016

10. e
#cloudconferenceitalia
Fasi dell’attacco informatico
Capture
Attack
Infiltration
Exfiltration
Discovery

11. e
Fasi della difesa da un attacco informatico
Initial Compromise Lateral Movement
• Patching OS e Software
• Minimi privilegi utente
• Istruzione utenti
• Password Admin locali randomiche
• Client Firewall, Antivirus, Security Mitigator
• Impedire l’uso remoto di account locali
Privilege Escalation
• Non esporre credenziali privilegiate
• Host dedicati per amministrazione
• Hardening di servizi e applicazioni
Complete Compromise
• Monitoring
• Alerting
Furto di
credenziali
La
protezione
si ottiene
agendo a
più livelli

12. e
2016 2020
End of support prodotti software
14/01/2020 Windows 7
10/01/2023 Windows 8/8.1
14/10/2025 Windows 10
11/4/2017 Windows Vista13/07/2010 Windows 2000 08/04/2014 Windows XP
14/07/2015 Wnd Srv 2003/R2
11/07/2006 Windows 98
07/2010 Oracle DB 9.2
01/2012 Oracle DB 10.1
07/2013 Oracle DB 10.2
08/2015 Oracle DB 11.1
12/2020 Oracle DB 11.2
07/2021 Oracle DB 12.1
12/2006 Oracle DB 8.1.7
2013
09/04/2013 SQL Server 2000 12/04/2016 SQL Server 2005
09/07/2019 SQL Server 2008/R2
12/07/2022 SQL Server 2012
14/01/2020 Wnd Srv 2008/R2
10/01/2023 Wnd Srv 2012/R2
09/07/2024 SQL Server 2014
14/07/2009 Office 2000
12/07/2011 Office XP
10/10/2017 Office 2007
08/04/2014 Office 2003
14/10/2025 Office 2016
11/04/2023 Office 2013
31/07/2013 Suse Ent Server 10
31/03/2019 Suse Ent Server 11
31/10/2027 Suse Ent Server 12
30/06/2024 Red Hat Ent 7
31/03/2017 Red Hat Ent 5
30/11/2020 Red Hat Ent 6
Anche
l’hardware
ha una EoL
«Gli aggiornamenti periodici dei programmi per elaboratore volti a
prevenire la vulnerabilità di strumenti elettronici e a correggerne
difetti sono effettuati almeno annualmente. In caso di trattamento di
dati sensibili o giudiziari l'aggiornamento è almeno semestrale.»
Regola 17 Allegato B Art. 33-36 del D.lgs. 196/2003
Microsoft Oracle Suse Red Hat LibreOffice: EoL release < 12 mesi OpenOffice: le release 3.3.0 e precedenti sono in EoL
14/07/2026 SQL Server 2016

13. e
L’Anti-Virus non garantisce la sicurezza
Vulnerabilità che possono essere mitigate rimuovendo i diritti amministrativi
92%
delle vulnerabilità segnalate
come Critiche da Microsoft
96%
delle vulnerabilità Critiche di
Windows
100%
di tutte le vulnerabilità di
Internet Explorer
91%
delle vulnerabilità di Office
“Symantec's senior vice president
for information security estimates
antivirus now catches just 45% of
cyberattacks.”
The Wall Street Journal, May 4, 2014

14. e
Configurazione e test degli Anti-Virus
%windir%SoftwareDistributionDatastoreDatastore.edb
%windir%SoftwareDistributionDatastoreLogsEdb*.jrs
%windir%SoftwareDistributionDatastoreLogsEdb.chk
%windir%SoftwareDistributionDatastoreLogsTmp.edb
Windows Update
%windir%SecurityDatabase*.edb
%windir%SecurityDatabase*.sdb
%windir%SecurityDatabase*.log
%windir%SecurityDatabase*.chk
%windir%SecurityDatabase*.jrs
Windows Security
%allusersprofile%NTUser.pol
%SystemRoot%System32GroupPolicyMachineRegistry.pol
%SystemRoot%System32GroupPolicyUserRegistry.pol
Group Policy
EICAR antimalware test file - Stringa di test per attivazione scanner antivirus
X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
EICAR è universalmente riconosciuto ed utilizzato per la verifica della protezione Antivirus
http://www.eicar.org/85-0-Download.html
GTUBE test message - Stringa di test per attivazione scanner antispam
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
GTUBE è nato per test di motori Spamassassin, ma utilizzabile anche per Exchange Online
https://technet.microsoft.com/en-us/library/jj200684(v=exchg.150).aspx
Microsoft Anti-Virus Exclusion List
http://social.technet.microsoft.com/wiki/contents/articles/953.microsoft-anti-virus-exclusion-list.aspx
Hyper-V: Anti-Virus Exclusions for Hyper-V Hosts
http://social.technet.microsoft.com/wiki/contents/articles/2179.hyper-v-anti-virus-exclusions-for-hyper-v-hosts.aspx
Prevenire
i falsi
positivi

15. e
Local Administrator Password Solution (LAPS)
Risolve i problemi di sicurezza generati dalla bad practice di
avere un amministratore locale con la stessa password su
ogni computer del dominio
Password randomica differente su ogni computer gestita
localmente senza generatore centralizzato di password
Password ed Expiration Timestamp memorizzati in attributi
Active Directory dell’account computer prottetti da AD ACL
La password è inviata cifrata tramite Kerberos ad AD, ma
memorizzata in chiaro
Gestione tramite GPO client-side extension (CSE) del nome
del local administrator account, del periodo di rinnovo e
della lunghezza e complessità
Requisiti LAPS 6.2.0
• Active Directory: Windows Server 2003 SP1
o succ. (richiede estensione dello schema)
• OS Gestiti: Windows Server 2003 o succ,
Windows Vista o succ.
• Microsoft .NET Framework 4.0
• PowerShell 2.0 o succ
• Disponibile per Nano server nella
PowerShell Gallery
ms-Mcs-AdmPwd
ms-Mcs-AdmPwdExpirationTime
Update-AdmPwdADSchema
Find-AdmPwdExtendedRights
Set-AdmPwdComputerSelfPermission
Set-AdmPwdReadPasswordPermission
Set-AdmPwdResetPasswordPermission
Set-AdmPwdAuditing
Get-AdmPwdPassword
Reset-AdmPwdPassword
Local Administrator Password Solution:
https://technet.microsoft.com/en-us/mt227395.aspx
Gestione dell’amministratore locale tramite LAPS:
https://www.devadmin.it/2016/05/29/gestione-dellamministratore-locale-tramite-laps/
Gratuito

16. DEMO
Local Administrator Password Solution (LAPS)

17. e
Check della compromissione delle credenziali
Verificare mail aziendali in data leak
• I data leak vengono generati dalla compromissione di siti che
hanno database di credenziali
• Spesso gli utenti si registrano sui siti con la mail
aziendale che spesso corrisponde anche al loro username
• Spesso gli utenti utilizzano password facilmente
individuabili perché basate su semplici regole (xes.
Parola+Counter)
• Spesso gli utenti utilizzano le stesse credenziali per più
servizi o con password simili
https://haveibeenpwned.com/
By Troy Hunt (Microsoft Regional Director)
https://hacked-emails.com/
By José M. Chia (CEO at ASPIS Company)
Anti Public – Maggio 2017
• Data leak composto da un archivio di 17 gigabyte, diffuso in dieci file .txt che
conterrebbero 13 milioni di domini per un totale di 457.962.538 email
univoche complete di relative password, inoltre per alcuni indirizzi mail
pare siano presenti più password che fa presupporre che il singolo
indirizzo sia stato impiegato per accedere a più servizi online
• Le mail e password sarebbero riconducibili ad aziende, istituzioni pubbliche,
forze armate e di polizia, università e infrastrutture critiche in tutto il
mondo, in Italia sembrerebbero interessate Polizia, Vigili del Fuoco, ministeri,
città metropolitane, ospedali e università, mentre a livello globale sarebbero
coinvolti Casa Bianca, forze armate Usa, Europol, Eurojust, Parlamento Europeo
e Consiglio Europeo
HackedEmailsChecker 1.2.0
Consente di verificare se un indirizzo
mail o gli indirizzi mail presenti in un
file di testo sono presenti nei seguenti
database interrogabili tramite API:
• Have i been pwned?
• Has my email been hacked?
GitHub:
ermannog/HackedEmailsChecker

18. e
Protezione porte USB
“48% delle persone inserisce
chiavette USB trovate nei parcheggi”
Statistica University of Michigan pubblicata a Maggio 2016 al
37th IEEE Security and Privacy Symposium
Diffusione malware Phishing
HID (Human Interface Device) spoofing
LAN Turtles
Network adapters
that can hijack
connections and
steal credentials
Rubber Duckies
Malicious keyboard
devices that deliver
arbitrary payloads on
target
USBdriveby
Install a backdoor
and override DNS
settings
Denial-of-service
USB power surge attack
Input voltage: 4.5 - 5.5 VDC
Output voltage: -215 VDC
Pulse Frequency: 8 - 12 times / second
Pulse current: ≥180A
Configurare l’antivirus per esaminare i dispositivi removibili
Windows Defender: Enable Scan Removable Drives during Full Scan
GUI: Scan > Scan removable drives > Scan removable drives during full scans only
PowerShell: Set-MpPreference -DisableRemovableDriveScanning 0
Group Policy: Computer Configuration/Administrative Templates/Windows Components/Windows Defender/Scan
https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-antivirus/configure-advanced-scan-types-windows-defender-antivirus
Disabilitare le funzionalità di Autoplay
Group Policy: Computer Configuration/Administrative Templates/Windows Components/Autoplay Policies
In Windows 7 e sucessivi l’Autoplay non supporta l’Autorun per dispositivi non ottici, come gli USB drive
https://support.microsoft.com/en-us/help/2328787/disabling-autoplay-through-group-policy-or-the-registry-will-cause-hot
Disabilitare l’utilizzo di device USB
Group Policy: Computer Configuration/Administrative Templates/System/Removable Storage Access
USB Port Blocker: Ostruzione fisica dell'accesso ad una porta USB
https://technet.microsoft.com/en-us/library/cc772540(v=ws.10).aspx
USBKill
Waits for a change on your USB ports and then
immediately shuts down your computer,
compatible with Linux, *BSD and OS X
https://github.com/hephaest0s/usbkill
USB Shutdown
Similar to USBKill, but it allows you to specify
your own shutdown commands, compatible with
Windows 7, 8, 8.1 and 10
http://www.trishtech.com/
Beamgun
Tiny Windows program that runs in
background and stops rogue USB
devices, when a USB Keyboard device
is plugged in Beamgun bloks all
keystrokes until it is reset, if an USB
adapter is plugged in, it is disabled
https://github.com/hephaest0s/usbkill
USG
Firewall for your USB ports, isolates
BadUSB devices from computer
USB 1 speeds (12Mbps)
https://github.com/robertfisk/USG
USBCheckIn
Hardware protection that temporarily
blocks the traffic coming from the
device and ask passphrase to user
http://www.dia.uniroma3.it
Tecniche di attacco e difesa contro l’utilizzo di dispositivi USB: https://www.ictpower.it/tecnologia/tecniche-di-attacco-e-difesa-contro-lutilizzo-di-dispositivi-usb.htm

19. e
Verifica della compliance alle security baseline
Security Compliance Manager 4.0 (SCM)
• Gestione centralizzata delle security baseline
• Verifica della compliance e personalizzazione delle baseline
• Export base line per deploy come Group Policy objects (GPOs),
Desired Configuration Management (DCM) packs o
Security Content Automation Protocol (SCAP)
Baselines per Windows 10 version 1511, Windows 10 version 1607,
Windows Server 2016, Windows Server 2012, Windows Server 2008
R2 SP1, Windows Server 2008 SP2, Windows Server 2003 SP2, Hyper-
V, Windows 8, Windows 7 SP1, Windows Vista SP2, Windows XP SP3,
BitLocker Drive Encryption, Windows Internet Explorer 10, Windows
Internet Explorer 9, Windows Internet Explorer 8, Microsoft Office
2010 SP1, Microsoft Office 2007 SP2, Exchange Server 2010 SP2,
Exchange Server 2007 SP3
Security Compliance Toolkit 1.0
• Policy Analyzer tool per analisi di Group Policy Objects (GPOs),
confronto con local policy settings, local registry settings ed export in Excel
• LGPO tool per trasferimento di Group Policy tra il registry e un GPO backup file
• Non supporta Security Content Automation Protocol (SCAP),
Desired Configuration Management (DCM) e SCM-format XML files
Baselines per Windows 10 version 1507, Windows 10 version
1511, Windows 10 version 1607, Windows Server 2016, Windows
Server 2012 R2
DSC Environment Analyzer 1.2.0.0 (DSCEA)
• Implementazione di PowerShell Desired State Configuration che utilizza la natura dichiarativa di DSC per analizzare sistemi basati su OS Windows
rispetto a file MOF e generare dei report di compatibilità per capire se i sistemi rispettano la configurazione desiderata
• PowerShell module e reporting engine personalizzabile per visualizzazione dei risultati in Power BI o HTML
• Progetto Open-Source (Progetto: https://github.com/Microsoft/DSCEA, Documentazione: https://microsoft.github.io/DSCEA/)
Sostitusce SCM
RITIRATO

20. e
#cloudconferenceitalia
Active Directory Access Control List (DACL)
Active Directory Access Control List – Attacks and Defense: https://blogs.technet.microsoft.com/enterprisemobility/2017/09/18/active-directory-access-control-list-attacks-and-defense/
L’Access Control è implementato assegnando Security Descriptors agli oggetti AD:
• Object Creator (l’utente che ha creato l’oggetto)
• Discretionary Access Control List (DACL) costituita da access control entries (ACE) che rappresentano i SID di utenti e
gruppi a cui sono consentiti o negati i diritti di accesso
• System Access Control List (SACL) costituito dagli utenti e gruppi a cui è consentito l’auding
Gli accounts built-in privilegiati (Domain Admins, Enterprise Admins, etc) sono protetti dal Security Descriptor
propagation (o SDProp)
SDProp forza le ACL per impedire modifiche non autorizzate ogni 60 minuti (per default) resettando le permissions
a quelle del container AdminSDHolder contenuto nel System container della Domain Partition
Il processo esegue i task in modo recursivo su tutti i membri dei gruppi e disabilita l’eredità su tutti i protected accounts
Può essere un potenziale vettore di attacco per la creazione di un path di escalation in un dominio AD, per esempio se si
riesce ad ottenere la permission di “Reset Password” su un account non-built-in privilegiato

21. e
Scenario di un attacco DACL
Compromissione di un account con il privilegio di
aggiungere un utente al gruppo Help Desk1
Il gruppo Help Desk ha la permission “Reset Password”
su una OU e può quindi prendere il controllo sulla OU e
su tutti i child objects perchè le autorizzazoni della OU
sono ereditate dai child objects (ad esclusione degli
oggetti protetti dall’SDProp)
2
Concetti base su cui si basano gli attacchi DACL
• Active Directory consente ad un amministratore di delegare permission a normali account di dominio (utenti, gruppi,
computer) senza la necessità di aggiungere tali account a gruppi amministrativi
• Tra le deleghe comunemente concesse vi sono “Reset Password” (spesso concessa agli utenti helpdesk) e la “Add New Member
to a group” (spesso concessa ai proprietari dei business group)
• L’Owner di un oggetto può modificare e delegare permissions
L’attaccante non sarà in grado di eseguire una
privileges escalation sui privileged built-in accounts le
cui ACL sono protette da SDProp
La modifica alle ACL di default del container
AdminSDHolder è sconsigliata perchè estende la
superficie di attacco del dominio
ATA può rilevare tentativi di attacco
inclusi i path utilizzati da BlodHound
Active Directory – Tecniche di attacco e di difesa: https://www.ictpower.it/sistemi-operativi/active-directory-tecniche-di-attacco-e-di-difesa.htm
Forensics: Active Directory ACL investigation: https://blogs.technet.microsoft.com/pfesweplat/2017/01/28/forensics-active-directory-acl-investigation/
Tools Open Source basati su Powershell
per rilevare potenziali path di attacco
• BloodHound 1.4
• AD-control-paths 1.3
• AD ACL Scanner 5.5

22. e
Active Directory BotNet
Attributi oggetti utente Active Directory
• Possono essere di tipi diversi come Stringa, Numerico, Boolean, Binario, etc.
• Possono contenere dati di varie dimensioni da pochi bytes fino Mbytes
• Possono essere utilizzati per l’injection dei dati da parte di una botnet
Gli host compromessi fanno
injection di dati negli attributi del
loro account AD ed eseguono query
sul dominio per identificare altri
sistemi compromessi
1
Il bot master e gli slave identificano
altre macchine infette tramite la
lettura degli attributi e avviano
comandi le cui risposte saranno
memorizzate negli attributi
dell’account AD corrispondente
all’endpoint infetto e lette dall’host
che aveva avviato il comando
2
Dopo aver stabilito la
comunicazione con la Botnet gli
attributi binari vengono utilizzati
per scaricare file posizioni remote
tramite binary-to-text Base64
encoding
3
Caratteristiche degli attacchi AD BotNet
• Questo tipo di attacco fornisce un potente canale di comunicazione che
elude i Network Access Controls (NAC) e consente di implementare un
Command & Control basato su Active Directory
• Grazie all’utilizzo degli attributi degli oggetti AD né la Domain separation
né la network segmentation possono interrompere la comunicazione
Le bots comunicano esternamente
tramite shell remote che vengono
utilizzate anche per eseguire
l’exfiltration dei dati all’esterno
dell’infrastruttura
4
Monitoring Active Directory for Signs of Compromise
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-
practices/monitoring-active-directory-for-signs-of-compromise

23. SECURITY NEWS IN
WINDOWS SERVER
2016
Security Best Practices
e novità in Windows Server 2016

24. e
Windows Server 2016 Security Best Practices
Gestione servizi con Desktop Experience abilitata
Pubblicata una guida che suddivide i servizi nelle seguenti categorie:
• Should Disable: servizi da non abilitare
• Already disabled: servizi disabilitati per default
• OK to disable: servizi disabilitabili se non utilizzati
• Do not disable: servizi da non disabilitare
Disabilitare servizi e operazioni pianificate per Xbox
• Servizi
Xbox Live Auth Manager
Xbox Live Game Save
• Operazioni pianificate
.MicrosoftXblGameSaveXblGameSaveTask
.MicrosoftXblGameSaveXblGameSaveTaskLogon
Guidance on Disabling System Services on Windows Server 2016 with Desktop Experience:
https://blogs.technet.microsoft.com/secguide/2017/05/29/guidance-on-disabling-system-services-on-windows-server-2016-with-desktop-experience/
Windows Server 2016 Security Guide
Hardening del sistema mediante funzionalità native e altri prodotti:
• Credential Guard
• Device Guard
• Shielded Virtual Machines
• Windows Defender
• Privileged Identity Management
Now available: Windows Server 2016 Security Guide!: https://blogs.technet.microsoft.com/windowsserver/2017/08/22/now-available-windows-server-2016-security-guide/
White Papers per l’implementazione delle funzionalità
rispettando la compliance con standard di sicurezza
• ISO 27001: 2013
• PCI DSS 3.2
• FedRAMP; NIST 800-53 Revision
https://www.microsoft.com/en-us/cloud-platform/windows-server-security
https://www.microsoft.com/en-us/trustcenter/security/windowsserver-securi

25. e
Privileged Access Management (PAM)
Funzionamento
• Mitiga attacchi basati su furto di credenziali con privilegi
amministrativi sul dominio/foresta
• Nuova soluzione di accesso amministrativo configurata
tramite Microsoft Identity Manager (MIM)
• Controllo tramite gestione dell’accesso utente (non delle
credenziali) basata su gruppi AD
• Estrazione e isolamento degli account amministrativi
dalla foresta AD aziendale
• PAM è implementato sul principo del just-in-time
administration e lavora in combinazione con le features
di JEA (Just Enough Administration) un Windows
PowerShell toolkit che definisce un set di comandi per
eseguire attività ad elevati privilegi e un endpoint su cui
gli amministratori sono autorizzati ad eseguire i comandi
Server PAM
Foresta AD bastione
Domain
join
Foresta AD aziendale
Forest
trust
Domain
join
Workstation
Requisiti
• Microsoft Identity Manager
• Livello funzionale della foresta AD a Windows
Server 2012 R2 o superiore
Privileged Access Management for Active Directory Domain Services: https://technet.microsoft.com/en-us/library/dn903243.aspx

26. e
Dettaglio del funzionamento di PAM
La foresta AD bastione
rilascia time-limited
group memberships che
producono time-limited
TGTs utilizzabili dalla
foresta aziendale in trust
La foresta AD aziendale
non necessita di livelli
funzionali specifici
La richiesta di accesso
privilegiato può essere
inoltrata tramite MIM
Services Web Services
API oppure tramite REST
endpoint e Windows
PowerShell (New-
PAMRequest)
Privileged Access Management for Active Directory Domain Services: https://technet.microsoft.com/en-us/library/dn903243.aspx

27. e
Shielded Virtual Machines
Evitare il furto delle VM
La semplicità di Backup, Replica e Live
Migration delle VM implica anche semplicità
per modifica o copia non autorizzata di
interi workloads attraverso la rete o su USB
Stick (xes. furto di un Domain Controller)
La sola VM encryption non può
garantire protezione
Aggiungere un virtual Trusted Platform
Module (TPM) alle VM per crittografarle non
fornisce protezione da rogue
administrators che hanno il controllo sul
sistema (xes. possono trovare le encryption
keys in memoria e decifrare la VM)
Problematica di tutti gli Hypervisor
Hyper-V, VMware, Xen, KVM, etc.
Computer fisici
Server administrator
Storage administrator
Network administrator
Backup operator
Virtualization-host administrator
Virtual machine administrator
Sì
No
No
No
Ruoli amministrativi e
diritti di accesso ai dati del sistema
Sì
Sì
Sì
Sì
Sì
Sì
Virtual Machines
Dipende dalla
configurazione
No
No
No
No
No
Shielded VM
Shielded Virtual Machines
• Protezione dei dati e dello stato della VM
da compromissioni e rogue fabric administrator
• VM Gen2 con un virtual TPM
• VM cifrate con BitLocker ed eseguibili solo su host
approvati
• Supporto alla conversione di VM Gen2 non-shielded
inclusa la cifratura automatica dei VHD
A closer look at shielded VMs in Windows Server 2016: https://blogs.technet.microsoft.com/windowsserver/2016/05/10/a-closer-look-at-shielded-vms-in-windows-server-2016/

28. e
Host Guardian Service
• Server Role disponibile nell’edizione Datacenter
• Fornisce i servizi di Attestazione e Key Protection che permettono ad Hyper-V autorizzati di eseguire Shielded VM
• Configurabile tramite Windows PowerShell
• Admin-trusted attestation l’autorizzazione degli host è gestita tramite AD security group (più semplice da configurare)
• TPM-trusted attestation l’autorizzazione degli host è basata su TPM 2.0 and UEFI 2.3.1 con secure boot abilitato
(più complessa da configurare, ma consente secure measured boot e Code Integrity policies)
Storage
HOST senza TPM (generic host) HOST con TPM
Shielded Virtual Machines: http://www.devadmin.it/2016/05/27/shielded-virtual-machines/

29. e
mstsc /v:<server name> /remoteguard
Windows Defender Credential Guard
Requisiti hardware
• Supporto alla Virtualization-based security (VBS)
• 64-bit CPU
• CPU virtualization extensions
(Intel VT-x o AMD-V)
• Extended page tables (SLAT)
• Windows hypervisor
• Secure boot
• Trusted Platform Module (TPM) 2.0
• United Extensible Firmware Interface (UEFI)
Limitazioni:
• Il single sign-on non funziona con i protocolli
di autenticazione NTLMv1, MS-CHAPv2, Digest
e CredSSP
• Kerberos non consente la delega Kerberos
senza alcun vincolo né la crittografia DES
• Non supportato nei controller di dominio
• Non garantisce la protezione del database di
Active Directory o di Gestione degli account di
sicurezza (SAM)
Protect derived domain credentials with Windows Defender Credential Guard: https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard
Scopo
• Mitigazione degli attacchi pass-the-hash
• Mitigazione degli attacchi pass-the-ticket (PtH)
Sistemi operativi supportati
• Windows Server 2016
• Windows 10 Enterprise o Education versione 1607
Device Guard
and
Credential
Guard
hardware
readiness tool
Dettagli:
• Protegge NTLM password hashes, Kerberos
Ticket Granting Tickets e credenziali archiviate
dalle applicazioni come credenziali di dominio
• Il processo LSA isolato non ospita driver di
dispositivo, ma solo un piccolo sottoinsieme dei
file binari del sistema operativo necessari per la
sicurezza firmati digitalmente
• Si abilita tramite GPO, via Registry o tramite
il readiness tool
Il processo LSA dell’OS comunica
con il processo isolato che
protegge le credenziali
Known issues: https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard-known-issues
Manage: https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard-manage
What's new: https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/whats-new-in-credential-protection

30. e
Windows Defender Remote Credential Guard
mstsc /v:<server name> /remoteguard
mstsc /v:<server name> /restrictedAdmin
Scopo
• Protezione delle credenziali in sessioni RDP che non vengono passate all’Host
RDP, ma l’Host acquisisce il Kerberos Service Ticket
• Previene utilizzo di una credenziale dopo la disconnessione
• Supporto al single sign-on nelle sessioni RDP
Protect Remote Desktop credentials with Windows Defender Remote Credential Guard: https://docs.microsoft.com/en-us/windows/access-protection/remote-credential-guard
Requisiti Client RDP
• Remote Desktop Classic Windows (Remote Desktop UWP non è supportato)
• Il single sign-on nelle sessioni RDP richiede W10 1607 o WS2016
• La protezione di credenziali fornite in una sessione RDP richiede W10 1703
• E’ richiesta l’autenticazione Kerberos, l’NTLM fallback e la compound
authentication (Dynamic Access Control) non sono supportate
• Client e Host devono essere membri dello stesso dominio o di dominii in trust
(non utilizzabile con hosts remoti membri di Azure Active Directory)
• Attivabile tramite parametro o tramite GPO in W10 1703
Requisiti Host RDP
• Windows Server 2016 o Windows 10 Enterprise o Education versione 1607
• Restricted Admin connections abilitate (tramite Registry)
• Delegation of non-exportable credentials abilitata (tramite GPO)
Non vi
sono
requisiti
hardware
Supporta
solo RDP

31. e
Device Guard (Code Integrity)
Host OS
User
Kernel
Normal World
Firmware (UEFI)
Hardware (TPM 2.0, Vt-x2, IOMMU)
KMCI Malware
Host OS
Secure World
Firmware (UEFI)
Hardware (TPM 2.0, Vt-x2, IOMMU)
Malware
Hypervisor
KMCI
Normal
World
KMCI in Windows 10KMCI in Windows 8.1
AppLockerUMCIKernel Mode Code Integrity (KMCI)UEFI Secure BootPlatform Secure Boot
ROM/Fuses Bootloaders Native UEFI
Windows
OS Loader
Windows
Kernel and
Drivers
3rd Party
Drivers
User mode code
(apps, etc.)
Sistemi operativi supportati
• Windows Server 2016
• Windows 10 Enterprise, Education o 10 IoT Enterprise
Requisiti hardware
• Supporto alla Virtualization-based security (VBS)
• 64-bit CPU con CPU virtualization extensions (Intel VT-x o AMD-V) ed
Extended page tables (SLAT)
• Windows hypervisor
• Secure boot
• Trusted Platform Module (TPM) 2.0
• United Extensible Firmware Interface (UEFI)
Scopo
• Esecuzione di sole app autorizzate tramite code integrity policies
• Fornisce la user mode code integrity (UMCI) oltre alla kernel mode code
integrity (KMCI) che impedisce l’esecuzione di driver non firmati
Windows Defender Device Guard deployment guide: https://docs.microsoft.com/en-us/windows/device-security/device-guard/device-guard-deployment-guide
Dettagli:
• E’ possibile eseguire solo applicazioni firmate presenti nella whitelist mantenuta
dalle Code integrity policies oppure le applicazioni presenti in un catalogo firmato
creato con il tool Package Inspector per gestire le applicazioni line-of-business (LOB)
non firmate
• Windows 10 1703 consente la gestione di plug-ins, add-ins e moduli che possono
essere eseguiti da specifiche apps (LOB o browser) tramite tramite Code integrity policies
• Gestione tramite GPO, SCCM, Microsoft Intune o PowerShell
Richiesti per
supportare
KMCI e
protezione
al boot

32. e
Windows Defender in Windows Server 2016
• Windows Server Antimalware installato e abilitato per
default
• La GUI è installata per default solo su alcune SKUs
(gli Aggiornamenti e real time protection funzionano anche
quando la GUI non è installata)
• Gestione tramite WMI, PowerShell o Group Policy
• 12 Windows PowerShell Cmdlets
• 53 Event messages per l’antimalware engine
• Aggiornamenti tramite Windows Update o WSUS
• Esclusioni automatiche di file e cartelle in base
ai ruoli e alle funzionalità in esecuzione
Windows Defender Antivirus per Windows Server:
https://docs.microsoft.com/en-us/windows-server/security/windows-defender/windows-defender-overview-windows-server
Configure exclusions in Windows Defender AV on Windows Server:
https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-antivirus/configure-server-exclusions-windows-defender-antivirus

33. e
Novità in Windows Server 2016 versione 1709
Semi-annual Channel (SAC)
• Due release all’anno (primavera e autunno)
• 18 mesi di supporto mainstream
• Disponibile con SA o in Azure
• Denominata Windows Server “Versione”
• Disponibile per Nano Server e Server Core
Long-Term Servicing Channel (LTSC)
• Una release ogni 2-3 anni
• 5 anni di supporto Mainstream + 5 anni di supporto Extended
• Disponibile per tutti i canali
• Denominata Windows Server “Anno”
• Disponibile per Server Core e Desktop
Nano Server
• Disponibile solo come container base OS image
• Deve essere eseguito come container in un
container host (xes. WS 2016 1709 Server Core)
• Ottimizzato per le applicazioni .NET Core
• Windows PowerShell, .NET Core e WMI non sono più
inclusi per default
• Non è più incluso uno stack di manutenzione, Microsoft
pubblica un container Nano aggiornato nell'hub Docker
• E’ possibile eseguire container Nano in IoT Core
• Dimensioni più ridotte (da 1.05GB a 195MB)
Ulteriore
riduzione
della
superficie
di attacco
Windows Server 2016 è progettato con particolare
attenzione alla sicurezza in quanto è sviluppato nel
rispetto del Security Development Lifecycle (SDL)
https://www.microsoft.com/en-us/sdl/default.aspx
Microsoft Ignite: https://www.microsoft.com/en-us/ignite/

34. ENTERPRISE
MOBILITY +
SECURITY
Security Best Practices
e novità in Windows Server 2016

35. e
Enterprise Mobility + Security
Enterprise Mobility + Security
E3
• Windows Server Client Access License (*)
Azure Active Directory Premium P1
• Intune
• Azure Information Protection P1
• Advanced Threat Analytics
€7,40 per utente al mese (**)
Enterprise Mobility + Security
E5
• Windows Server Client Access License (*)
Azure Active Directory Premium P2
• Intune
• Azure Information Protection P2
• Advanced Threat Analytics
• Cloud App Security
€14,60 per utente al mese (**)
(*) I clienti che acquistano contratti Windows Server CAL, System Center Configuration
Manager, System Center Endpoint Protection, Microsoft Active Directory Rights
Management Services CAL tramite i contratti Microsoft Enterprise Volume Licensing
possono acquistare l’offerta per il componente aggiuntivo Enterprise Mobility + Security
(**) Prezzo al mese di vendita al dettaglio stimato per Open
https://www.microsoft.com/it-it/cloud-platform/enterprise-mobility-security
Controllo identità +
accesso in cloud
Gestione centralizzata
single sign-on su device,
datacenter e cloud
Sicurezza basata
sull'identità
Protezione intelligente
contro gli attacchi
avanzati
Gestione device +
app
Gestione sicurezza app
e dati su iOS,
Android e Windows
Protezione
informazioni
Collaborazione
più sicura
Virtualizzazione
desktop
Gestione desktop
e app Windows
su tutti i device
Trial
90
giorni

36. e
Cloud App Security (CAS)
Identificazione e valutazione del rischio di 13.000
applicazioni cloud utlizzate nella rete senza impiegare
agent, ma raccogliendo informazioni da firewall e proxy
Approvazione e controllo granulare delle applicazioni
mediante policy out-of-the-box o custom
Report di possibili violazioni a policy DLP aziendali
“Over 80% Of Employees Use Non-Approved Saas
Applications At Work.”
Stratecas (Frost & Sullivan Division), May 4, 2014
Threat protection per applicazioni cloud identificando
utilizzi anomali utilizzando euristiche basate su machine
learning per compredere l’interazione dell’utente con le
applicazioni SaaS e identificare potenziali rischi (login
simultanei da più countries, download massivi, login falliti
che possono essere causati da brute force attack)
Office 365
deep
integration
• Disponibile come sottoscrizione di 5$/utente/mese (prezzo di vendita
stimato)
• Disponibile come componente di Microsoft Enterprise Mobility +
Security E5
What is Cloud App Security: https://docs.microsoft.com/en-us/cloud-app-security/what-is-cloud-app-security
Release 104
October 29, 2017

37. e
MICROSOFT ADVANCED THREAT ANALYTICS
Microsoft Advanced Threat Analytics Evaluations 90 days: https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics
Identifica attacchi nell’infrastruttura
Analizza i pattern comportamentali e segnala anomalie
Identifica attacchi pass-the-ticket, pass-the-hash, etc
Avvisi in caso di rischi e problemi di sicurezza noti
Semplice da implementare in ambienti
virtuali tramite il port mirroring per non
aumentare l’overhead sui DC
Advanced Threat Analytics Documentation: https://docs.microsoft.com/en-us/advanced-threat-analytics
Versione
1.8
WS2012R2 con KB2919355
o succ. (anche Server Core)
WS2008R2
o succ.
Console web con supporto a
IE 10/Chrome 40 e succ.
Integrabile con SIEM di terze parti
(IBM Qradar, RSA Security Analytics,
HP Arcsight e Splunk)
Utilizza User and Entity Behavior Analytics (UEBA) combinando
Machine Learning e real-time detection basate su TTP di attacco
(Tactics, Techniques and Procedures) e security issues
MongoDBRichiede Microsoft .NET Framework 4.6.1
Azure
ATP in
Preview
Introducing Azure Advanced Threat Protection: https://cloudblogs.microsoft.com/enterprisemobility/2017/09/27/introducing-azure-advanced-threat-protection/

38. DEMO
Microsoft Advanced Threat Analytics

39. GRAZIE!GRAZIE!

40. APPENDICE 1:
RANSOMWARE
Security Best Practices
e novità in Windows Server 2016

41. e
Crypto-Ransomware mitigations
Crypto-Ransomware modus operandi
3
4
Ricezione mail
con allegato o accesso
ad una pagina web con
exploit o Zero-day
Connessione ai server della rete
criminale per scaricare il malware e
generare le due chiavi di cifratura,
la pubblica memorizzata sul
computer e la privata conservata in
mano all’organizzazione criminale
Installazione del/dei malware in esecuzione automatica e
cifratura dei file di documento e immagini
Visualizzazione delle
istruzioni per il pagamento
del riscatto in Bitcoin che
pernette di ottenere la chiave
privata per decifrare i file
Utilizzare un UTM per bloccare l’accesso a siti malevoli, alle reti I2P e TOR, analizzare i file
scaricati tramite controlli basati su hash MD5 ed esecuzione in sandbox
Blocco allegati mail pericolosi, controllo mittente tramite SPF (Sender Policy Framework)
(la Rete Civica bolognese Iperbole utilizza il protocollo SPF dal 27 aprile 2009)
Restrizione dei permessi di scrittura su file server, abilitazione dell’Auditing File Access
Utilizzare le Software Restriction Policies per disabilitare l’avvio di exe da %AppData%
(KB310791 - https://technet.microsoft.com/en-us/library/hh994620.aspx)
Pianificare backup frequenti, consentirne l’accesso solo tramite credenziali dedicate e
testare frequentemente le procedure di restore, implemetare «Versioni Precedenti»
Istruire gli utenti a disconnettere il computer dalla rete e a contattare l’IT in caso di situazioni
sospette, rendere visibili le estensioni dei file, concedere minimi privilegi locali
2
http://www.devadmin.it/2016/02/07/anatomia-degli-attachi-crypto-ransomware/
1

42. e
Crypto-Ransomware mitigations Deep Dive
Blocco degli allegati che possono contenere codice eseguibile
File applicativi: exe, lnk, pif, dll, ocx, sys, scr, msi, msp, gadget, application,
com, hta, html, htm, jar, cpl, msc, hlp
File VBScript e JavaScript: vb, vbs, vbe, js, jse
File script PowerShell: msh, msh1, msh2, mshxml, msh1xml,
msh2xml, ps1, ps1xml, ps2, ps2xml, psc1, psc2
File script DOS: bat, cmd
File Windows Script: ws, wsf, wsc, wsh
File di collegamento e configurazione: lnk, pif, sfc, inf, reg
File compressi: zip, rar, 7z
• Blocco a livello di UTM o Antispam
(KB2959596 per Exchange Online Protection)
• Blocco a livello di Mail Server
(Transport Rule di Exchange 2013 e succ.)
• Blocco a livello di client di posta
(KB829982 per Outlook 2003 e succ.)
Visualizzazione estensioni file
Impostare a 0 la chiave di registro HideFileExt in
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
• Group policy preference - Registry item
• Group policy preference - Folder Options extension
Controllo dei diritti di accesso alle cartelle sul file
serverAccessChk: check permissions di utenti/gruppi (cmdline)
AccessEnum: dump permissions NTFS (GUI)
ShareEnum: dump permissions shares (GUI)
Il blocco delle estensioni usate dai ransomware può rivelarsi dannoso se il malware prima cifra e poi rinomina
http://www.devadmin.it/2016/02/15/crypto-ransomware-mitigations/
Monitoraggio file in uso
NetworkOpenedFiles: elenco file aperti remotamente (GUI)

43. e
Auditing File Access sui File Servers
GPO legacy relative a Windows
Server 2003 che generano più
eventi del necessario
Windows Server 2012 R2 Windows server 2008 R2 / 2012
Abilitazione Audit Handle Manipulation per
consentire la generazione dell’evento 4656
Minimizzare i logs abilitando l’auditing solo sulle cartelle necessarie
Configurare la dimensione
del security event log
Script per report HTML giornaliero dei file modificati ed eliminati
https://gallery.technet.microsoft.com/scriptcenter/How-to-audit-changed-39afba72
http://blogs.technet.com/b/mspfe/archive/2013/08/27/auditing-file-access-on-file-servers.aspx
Utilizzare le GPO Advanced
Audit Policy Configuration (la
loro attivazione disattiva le
GPO legacy)

44. e
Petya e le mitigation di Windows 10
https://blogs.technet.microsoft.com/mmpc/2017/06/29/windows-10-platform-resilience-against-the-
petya-ransomware-attack/
1. Device Guard blocca l’esecuzione del vettore
d’ingresso (anche tramite WMI o PSEXEC)
perchè consente solo l’esecuzione di codice
autorizzato
2. Credential Guard impedisce il dump delle
credenziali perché isola il processo LSASS tramite
la virtualization-based security
3. Le mitigation introdotte in Windows 10 1603 e
1703 per impedire attacchi KASLR
(randomization of kernel), NX HAL e PAGE POOL
(non-executable kernel regions) mitigano gli
SMB exploits come EternalBlue e
EternalRomance
4. Le mitigation abilitate con Device Guard come
KCFG (control-flow guard for kernel) e HVCI
(kernel code-integrity) fornisco resistenza a
nuovi exploits
5. UEFI Secure Boot impedisce l’esecuzione di disk
encryption tramite un bootloader perché
protegge il processo di boot e il firmware da
tentativi di alterazione
6. App Locker può bloccare l’esecuzione di
programmi pericolosi (come PSEXEC) o di binari
non firmati (come le DLL del vettore di attacco)
sui sistemi che non hanno i requisiti HW per
Device Guard
https://blogs.technet.microsoft.com/mmpc/2017/06/16/analysis-of-the-shadow-brokers-release-and-
mitigation-with-windows-10-virtualization-based-security/

45. e
Blocco TOR (The Onion Ruter)
Onion routing è stato sviluppato nella metà degli
anni 1990 nei U.S. Naval Research Laboratory da
Paul Syverson, Michael G. Reed e David
Goldschlag per proteggere le comunicazioni
online della U.S. Intelligence
Multi-Layer encryption
Elude Firewall SPI e Packet Filter
La cifratura dei dati della rete TOR
non consente l’ispezione del traffico e
l’individuazione del server a cui il
browser è connesso, ma solo di
rilevare la connessione ad un nodo
della rete TOR
Non richiede diritti amministrativi
Non richiede installazione, distribuito
in modalità portable multi OS o in
modalità live OS (Tails) per essere
eseguito dal computer, da DVD, USB
stick o SD card come browser o come
SOCKS proxy
Raccomandazioni per il blocco di TOR
• Blocco software non autorizzato
• Blocco storage removibile
• Boot computer solo da hard disk
• Blocco proxy non autorizzati
• Blocco TOR exit relay
TOR exit relay list:
https://check.torproject.org/cgi-bin/TorBulkExitList.py
DNS-based list of Tor exit nodes (TorDNSEL)
https://www.torproject.org/projects/tordnsel.html.en
CryptoWall 4.0 (Novembre 2015)
Sfrutta la rete TOR tramite un proxy
realizzato con uno scritp PHP eseguito
su un sito compromesso
IBM X-Force Threat Intelligence Quarterly, 3Q 2015
Consente
ricezione e
invio dati
anonimi

46. APPENDICE 2:
PUBBLICAZIONE DI
APPLICAZIONI
Security Best Practices
e novità in Windows Server 2016

47. e
Pubblicazione di servizi e applicazioni
Sito Web di sola
consultazione
Aree riservate
Web Service
Defacing
Malware injection
Furto ed alterazione
delle informazioni
• Isolamento siti con finalità diverse
• Implementare HTTPS sulle aree riservate
• Aggiornamento CMS/Blog/Forum Engine
• Attivazione dei log IIS
Applicazioni e sessioni remote
Intrusione nel sistema
• Controllo log accessi
• Installazione e verifica security updates
• Utilizzo di RD Gateway o VPN over SSL
Microsoft Log Parser
Microsoft Operations
Management Suite
Windows Update
WSUS

48. e
Reverse proxy e DMZ
Isolamento dell’applicazione e del
relativo sistema dalla rete esterna ed
interna
I log di accesso vengono
prodotti sul Reverse Proxy
Caching per file
mutimediali e downoad
Il canale SSL può essere
terminato sul Reverse
Proxy
Controllo dell’accesso alle pagine
web tramite filtri e URL Rewriting,
mitigation di attacchi DoS
Esposizione di più risorse
con un solo indirizzo IP
Pubblico
L’utilizzo di OS eterogenei in DMZ
rispetto alla LAN rende più difficili gli
attacchi
Il Reverse Proxy non può arginare i problemi di sicurezza legati all’applicazione
Firewall
Perimetrale
Web Application Proxy
Squid su OpenBSD (chroot), Apache, NGINX
Firewall
DMZ LANInternet
Reverse Proxy
• Pre autenticazione sull’End Point
• Integrazione con Active Directory
• Supporto a RADIUS Authentication
• Dual Factor Authentication
• Forms Based Authentication personalizzabile

49. APPENDICE 3:
SITI E TOOLS
Security Best Practices
e novità in Windows Server 2016

50. e
Siti di riferimento
Sito Url
NoProfict
Common Vulnerabilities and Exposures (CVE) https://cve.mitre.org
CVE Details http://www.cvedetails.com
The Hacker News https://thehackernews.com
Community’s Center for Security http://www.linuxsecurity.com
Clusit - Associazione Italiana per la Sicurezza Informatica https://www.clusit.it/
Gov
US Computer Emergency Readiness Team https://www.us-cert.gov
CERT-EU https://cert.europa.eu/
CERT Nazionale Italia https://www.certnazionale.it/
Microsoft
Microsoft Security Research and Defense Blog http://blogs.technet.com/b/srd
Microsoft Security Guidance http://blogs.technet.com/b/secguide/
Microsoft Technical Security Notifications
https://technet.microsoft.com/en-
us/security/dd252948
Microsoft Security Updates
https://technet.microsoft.com/en-
us/security/bulletins

51. e
Security tools Microsoft
Tool Descrizione Versione attuale
Microsoft Baseline
Security Analyzer
Consente di determinare la mancanza di security updates e configurazione
di sicurezza errate di applicazioni, OS e prodotti server Microsoft
nell’infrastruttura
https://technet.microsoft.com/en-us/security/cc184924.aspx
2.3
Microsoft Threat
Modeling Tool
Consente la rilevazione di threats durante la fase di progettazione del
software
https://www.microsoft.com/en-us/sdl/adopt/threatmodeling.aspx
2016
BinScope Binary
Analyzer
Analizza i file binari di un progetto e verifica la compliance con i requisti e
le raccomandazioni Microsoft’s Security Development Lifecycle (SDL)
http://www.microsoft.com/en-us/download/details.aspx?id=44995
2014
Process Explorer
Analisi dei processi attivi (Windows Sysinternals)
https://docs.microsoft.com/it-it/sysinternals/downloads/process-explorer
16.21
Process Monitor
Monitoraggio real time accessi a risorse di sistema (registry, disco)
https://docs.microsoft.com/it-it/sysinternals/downloads/procmon
3.40
Autoruns
Analisi dei processi avviati automaticamente (Windows Sysinternals)
https://docs.microsoft.com/it-it/sysinternals/downloads/autoruns
13.80

52. APPENDICE 4:
RAPPORTI
SICUREZZA
E CITAZIONI
Security Best Practices
e novità in Windows Server 2016

53. e
L’approccio alla sicurezza deve cambiare
“If you spend more on coffee than on information security, you will be hacked. What’s more, you deserve to be hacked.”
Richard Clarke - White House Cybersecurity Advisor (RSA Conference 2002)
Investire in sicurezza
“A business will have good security if its corporate culture is correct. That depends on one thing: tone at the top. There will be no
grassroots effort to overwhelm corporate neglect.”
William “Bill” Malik - VP and Research Area Director for Information Security at Gartner (2000)
La cultura della sicurezza deve partire dai vertici aziendali e deve essere una priorità in tutte le procedure e processi
“I am convinced that there are only two types of companies: those that have been hacked and those that will be. And even they
are converging into one category: companies that have been hacked and will be hacked again.”
Robert S. Mueller, III - Director Federal Bureau of Investigation (RSA Cyber Security Conference 2012)
Monitorare l’infrastruttura
“Progetta le tue difese contemplado la possibilità che vengano eluse perchè tu non sai come farlo, ma l'attante si.”
Ermanno Goletto e Roberto Massa – Microsoft MVPs (Tutte le sessioni sulla sicurezza)
Nella pianificazione della protezione è necessario valutare di non aver previsto una o più vulnerabilità
“Phishing is a major problem because there really is no patch for human stupidity.”
Mike Danseglio, ex program manager di Microsoft Security Solutions Group (2006)
L’anello debole della sicurezza è spesso rappresentato dalle persone

54. e
10 immutable laws of Security 2.0
Law #1: If a bad guy can persuade you to run his program on your computer, it's not solely your computer anymore
Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
Law #4: If you allow a bad guy to run active content in your website, it's not your website any more
Law #5: Weak passwords trump strong security
Law #6: A computer is only as secure as the administrator is trustworthy
Law #7: Encrypted data is only as secure as its decryption key
Law #8: An out-of-date antimalware scanner is only marginally better than no scanner at all
Law #9: Absolute anonymity isn't practically achievable, online or offline
Law #10: Technology is not a panacea
Ten Immutable Laws Of Security (Version 2.0) [Microsoft Security Response Center - 2011]: https://technet.microsoft.com/en-us/library/hh278941.aspx
10 Immutable Laws of Security [Scott Culp Senior Security Strategist at Microsoft – 2000]: https://technet.microsoft.com/library/cc722487.aspx

55. e
Microsoft Security Intelligence Report
Country/region Encounter rate Jan 2017 Encounter rate Feb 2017 Encounter rate Mar 2017
Worldwide 10.3% 9.1% 7.8%
Italy 10.5% 9.2% 7.1%
France 8.1% 7.4% 5.5%
Germany 5.4% 4.5% 2.9%
United States 4.7% 4.0% 2.4%
L’Encounter rate è la percentuale di
computer che eseguono software di
protezione real-time Microsoft su cui
è stata rilevata un’infezione
https://www.devadmin.it/2017/09/02/microsoft-security-intelligence-report-volume-22/
Le maggior parte delle
compromissioni sono
dovute a politiche di
gestione password non
rigorose, phishing mirato
e vulnerabilità in servizi
di terze parti
Incremento del 300% degli attacchi
verso Consumer e Enterprise Microsoft
accounts utilizzati per accedere a
servizi in Cloud
Volume 22 | January through March, 2017
Le VM e i servizi in Cloud
compromessi diventano
armi di attacco

56. e
Analisi basata su oltre 6.300 attacchi di dominio pubblico classificati come
gravi dal Clusit tra gennaio 2011 e giugno 2017 di cui più di 1.000 solo
nel 2016 e 571 nel primo semestre 2017
• La maggior parte delle aggressioni informatiche non
diventano di dominio pubblico (manca ancora una normariva
che obblighi le vittime di un data breach a fare disclosure)
• Le conseguenze più gravi si evidenziano anche dopo anni di
distanza (furto di proprietà intellettuale, compromissione di sistemi
critici)
Rapporto CLUSIT Settembre 2017
Confronto primo semestre 2017 – secondo semestre 2016
Attacchi di dominio pubblico (571 su 527) +8,35%
Cybercrime +13,26%
Espionage/Sabotage +126,67%
Research / Education +138,10%
Critical Infrastructures +23,08%
Hospitability +16,67%
Software / Hardware Vendor +8,00%
Banking / Finance +12,20%
Known Vulnerabilities / Misconfigurations +100,00%
Malware +86,36%
Phishing / Social Engineering
Multiple Techniques / APT
+85,71%
+42,31%

57. e
Rapporto CLUSIT 2017 - Analisi Fastweb
• Base dati di 16 milioni di eventi di sicurezza
• Dati raccolti durante il 2016 dal Security Competence Center relativi
al mercato Business Italia e ottenuti dal Security Operations Center
e relativi agli indirizzi IP appartenenti all’AS Fastweb
• Dati forniti da organizzazioni esterne (ad esempio Shadowserver
Foundation)
• Dati relativi a frodi sul protocollo VOIP raccolti dal Dipartimento di
Fraud Management della Direzione Security di Fastweb
Oltre l’80% degli attacchi è durato meno di 3 ore
Stesse tipologie di malware rilevate negli scorsi anni
La maggior parte delle frodi
riscontrate riguarda casi di ‘Service
Abuse’, ovvero attacchi volti a
generare traffico illecito verso
direttrici a tariffazione speciale
Altre problematiche di sicurezza
relative a VOIP sono rappresentate
da Social Engineering,
intercettazione e interruzioni di
servizio (DoS e DDoS)

58. e
Rapporto CLUSIT 2017
Analisi basata su oltre 5.700 attacchi di dominio pubblico classificati
come gravi dal Clusit tra gennaio 2011 e dicembre 2016 di cui più di
1.000 solo nel 2016
La maggior parte delle aggressioni informatiche non diventano di
dominio pubblico, al momento solo negli Stati Uniti è in vigore una
normativa che obbliga le vittime di un data breacha fare disclosure
Le conseguenze più gravi si evidenziano anche dopo anni di
distanza (furto di proprietà intellettuale con finalità di spionaggio
economico, compromissione di sistemi critici per finalità
geopolitiche)
Confronto 2016 - 2015
Attacchi gravi di dominio pubblico (1.050 su 1.012) +3,75%
Cybercrime +9,8%
Cyber warfare +117,39%
Hacktivism/Espionage/Sabotage -31,3%
Health +102,78%
GDO / Retail +70,59%
Critical Infrastructures +15,15%
Banking / Finance +64,06%

59. e
Rapporto CLUSIT 2016
Valutazione di oltre 4.600 attacchi di dominio pubblico classificati come
gravi dal Clusit tra gennaio 2011 e dicembre 2015
La maggior parte delle aggressioni informatiche non diventano di
dominio pubblico, solo negli Stati Uniti è in vigore una normativa che
obbliga le vittime a fare disclosure a seguito di un data breach, quindi
gli attacchi noti contro bersagli americani risultano essere la
maggioranza
Le conseguenze più gravi si evidenziano anche dopo anni di distanza
(furto di proprietà intellettuale, compromissione di sistemi critici)
Confronto 2015 - 2014
Attacchi gravi di dominio pubblico (1.012 su 873) +16%
Cybercrime +30%
Espionage +40%
Research / Education +50%
Entertainment / News +79%
Online Services (Webmail, Social, e-Com, Cloud) +80%
Critical Infrastructures +150%
http://www.devadmin.it/2016/03/19/rapporto-clusit-2016-sulla-sicurezza-ict-in-italia/https://clusit.it/rapportoclusit/

60. e
Microsoft Security Intelligence Report 20
Country/region Encounter rate 3Q15 Encounter rate 4Q15 CCM 3Q15 CCM 4Q15
Worldwide 17.8% 20.8% 6.1 16.9
Italy 19.8% 22.3% 6.1 21.1
France 18.8% 19.4% 5.2 21.2
Germany 12.2% 13.8% 3.7 10.1
United States 10.8% 12.5% 3.2 12.3
Il CCM (Computers cleaned per mille)
è il numero di computer su cui è stata
rimossa un’infezione per ogni 1.000
computer analizzati dal MSRT
(Malicious Software Removal Tool)
L’Encounter rate è la percentuale di
computer che eseguono software di
protezione real-time Microsoft su cui è
stata rilevata un’infezione
I PC non aziendali sono più
soggetti a malware
generico, quelli aziendali a
Password Stealers e
Monitoring Tools
Gli attacchi tramite browser
da siti infetti o
compromessi sono tra le
prime cause d’infezione
http://www.devadmin.it/2016/05/31/microsoft-security-intelligence-report-volume-20/
Lug - Dic
2015