I moderni sistemi operativi hanno una sbalorditiva serie di impostazioni ed eseguono un numero di applicazioni sempre maggiore. Per i professionisti della sicurezza non è facile gestire la security di un così variegato parco macchine. E qui possono essere d'aiuto i prodotti per la gestione delle policy aziendali che consentono agli amministratori di creare un'unica, solida configurazione aziendale, con un controllo molto accurato sulle singole macchine. Alcuni tool di gestione delle policy permettono all'amministratore di creare un elenco delle applicazioni che possono essere eseguite. Tale whitelist può bloccare tutte le altre applicazioni non autorizzate.
I prodotti per la gestione delle policy, tuttavia, possono anche essere utilizzati per creare una blacklist che impedisca l'esecuzione di determinate applicazioni, quali determinati giochi, programmi di file sharing, peer-to-peer e malware. Naturalmente, per creare un'efficace blacklist, potrete sia impegnarvi per crearne una vostra sia abbonarvi a un servizio che fornisca le "firme" per i programmi di cui desiderate bloccare l'esecuzione. La definizione delle applicazioni che un sistema dovrebbe o non dovrebbe eseguire è talvolta chiamata "controllo dell'esecuzione delle applicazioni" o "policy per la restrizione del software".
Gestione tramite policy di gruppo
Microsoft offre funzionalità di enterprise policy management attraverso software come Group Policy e Active Directory. Tramite Group Policy, possono essere ottimizzate migliaia di impostazioni per utenti e/o macchine Windows all'interno di un dato dominio. Per avere un'idea di quello che potete configurare, date un'occhiata alla Group Policy Microsoft Management Console (MMC). Ecco come funziona:
- Su Windows XP Pro, 2003 o Vista Business/Ultimate, andare su "Start - Run"
- Digitate "mmc" e premete Invio.
- Andate su "File - Add/Remove Snap-in" e quindi cliccate sul pulsante Add.
- Scegliete Grop Policy Object Editor dalla lista e selezionare Add.
- Selezionate l'impostazione predefinita ("Local Computer") e premere Finish.
- Cliccate Close nella finestra "Add Standalone Snap-in" e OK nella finestra "Add/Remove Snap-in".
Ora, nella finestra che rimane, aprite Local Computer Policy e guardate tutte le opzioni di cui potete disporre per Computer Configuration e User Configuration: ci sono migliaia di impostazioni, alcune delle quali possono essere utilizzate in modo profittevole in una prospettiva di sicurezza.
Per esempio, per la visualizzazione di un avviso agli utenti quando effettuano il log on a un sistema, potete andare in "Local Computer Policy - Computer Configuration - Windows Setting - Security Setting - Local Policies - Security Options". Poi, selezionate Interactive Logon: Message Test for Users Attempting to Log. In questa finestra è possibile inserire del testo. Ovviamente, vi è una chiave del registro di sistema che va configurata per questa opzione e che potete anche impostare tramite il controllo di Microsoft secpol.msc. Comunque, questo insieme Group Policy MMC fornisce l'accesso a quasi ogni impostazione sulla macchina Windows. E tutto in un solo e comodo posto.
Seguendo un esempio del tutto differente, andate in "Local Computer Plocy - Computer Configuration - Administrative Templates - Windows Components - Internet Explorer". Quindi, selezionate "Security Zones: Do not allow users to add/delete sites". Attraverso questa impostazione, potete impedire agli utenti di aggiungere siti Web alla zona trusted di Internet Explorer. La maggior parte degli utenti non ha alcuna idea di ciò che deve o non deve essere considerato affidabile e voi potete controllare questa impostazione sul vostro intero parco macchine tramite Group Policy.
Al di là di questi esempi, dall'interno del Group Policy Editor, di cui abbiamo parlato in precedenza, è possibile definire una blacklist o una whitelist dei programmi che dovrebbero o non dovrebbero essere consentiti:
Andate in "Console Root - Local Computer Policy - Windows Settings -Security Settings - Software Restriction Policies".
Windows identifica i programmi nella whitelist o nella blacklist attraverso un insieme di fattori, tra cui l'MD5 o l'hash SHA-1 del programma, la sua posizione nel file system (il suo percorso), e l'origine del programma (ad esempio, Internet, intranet o dal computer locale). Microsoft descrive in dettaglio come redigere queste regole .
Gestione attraverso le security suite
Altri fornitori propongono prodotti alternativi per la gestione delle policy. La maggior parte delle suite di sicurezza- tool che riuniscono antivirus, antispyware, personal firewall e sistemi host-based per l'intrusion prevention - contengono policy di management granulari, compreso il controllo dell'esecuzione delle applicazioni.
Tipici esempi possono essere i prodotti di McAfee, eEye e Symantec che consentono di realizzare whitelist e blacklist personalizzate basate su percorsi eseguibili, hash o confronto di normali espressioni. Ottime le funzionalità di blacklist e whitelist di Ca, che permettono agli amministratori di definire le regole di esecuzione del programma basandosi sul ruolo dell'utente e sull'ora del giorno.
Al di là del Group Policy e delle suite, altri fornitori offrono interessanti funzionalità per la gestione delle policy di sicurezza. Tra questi citiamo Altiris SecurityExpressions (ora di proprietà di Symantec), Security Configuration Management di BigFix e numerosi altri.
Sebbene le opzioni presenti in Group Polcy siano potenti e granulari, spesso risultano impegnative da configurare e difficili da capire. Le suite sono un'alternativa, ma ciascuna fornisce opportunità differenti. La scelta dovrebbe essere basata dall'abitudine che ha la vostra organizzazione a operare con la configurazione delle policy
