www.MegaLab.it

Windows Update è ora un componente come tutti gli altri del Pannello di Controllo, e non più una pagina accessibile via web. Di default è configurato per scaricare solamente aggiornamenti per Windows, ma può essere facilmente impostato per mantenere aggiornati anche altri prodotti Microsoft, come Office ad esempio, oppure i driver per le periferiche installate

Personalmente continuo a preferire l'aggiornamento manuale delle sole patch che reputo importanti (anche perché non sarebbe la prima volta che una patch scaricata in automatico crea qualche problema alla fruibilità del sistema..) ma per l'utente "occasionale" il sistema di aggiornamenti automatici è sicuramente impagabile.

Protezione della memoria

Windows Vista presenta molte funzioni per la protezione della memoria centrale, sebbene stiano passando un po' in secondo piano da parte della stampa generalista (probabilmente a causa della complessità dell'argomento, più che per mancanza di importanza).

Address Space Layout Randomization (ASLR) è una tecnologia conosciuta da tempo negli ambienti UNIX.

Un lettore anonimo, che ringrazio, fa un interessante appunto al riguardo: È vero che ASLR è una tecnologia da tempo presente anche in sistemi UNIX... però praticamente nessuna distribuzione di Linux tipo Ubuntu, Suse, Mandriva, ecc. ha ASLR attivo di default. Occorre che l'utente installi a mano i moduli, operazione non semplicissima per gli utenti alle prime armi. Mentre in Windows Vista per la prima volta in assoluto, la grande massa ha questa caratteristica attiva per impostazione predefinita.

In un sistema operativo dotato di questa modalità, ogni programma debitamente progettato e ogni componente del sistema operativo stesso viene caricato in memoria in una posizione casuale fra 256 possibili: diventa quindi estremamente difficile per un exploit poter fare accessi illegali alla memoria, e quindi scatenare i tanto temuti buffer overflow. Contrariamente a quanto affermato da alcuni, la funzionalità ASLR è disponibile e attiva di default anche nelle versioni a 32 bit, e non solo in quelle a 64.

Affianca ASLR una versione ottimizzata della già conosciuta tecnologia No Execute (NX), che promette di bloccare sul nascere qualsiasi tentativo di sfruttare un input non verificato e scatenare un buffer overflow. La funzionalità rende il massimo però solo se anche l'hardware supporta tale modalità, quindi solamente su processori successivi ad Athlon 64 e Pentium 4 core Prescott.

Completano la protezione dei dati contenuti nella memoria una tecnologia di offuscamento dei puntatori a funzione e di protezione dell'heap: in caso il sistema operativo rilevi un accesso di questo tipo, il processo verrà interrotto bruscamente e, almeno si spera!, non potrà portare a conclusione l'attacco.

Tutti i servizi di sistema inoltre sono soggetti ad alcune limitazioni nell'uso delle risorse (funzionalità "Windows Service Hardening") che dovrebbero limitare la superficie di attacco ed assicurare maggiore integrità a tutto il sistema. Discorso non dissimile per le applicazioni utente, che ora sono soggette ad un controllo denominato Mandatory Integrity Control: brevemente, le applicazioni sono suddivise in modo gerarchico e programmi meno "importanti" non possono accedere a risorse o aree di memoria detenute da una applicazione gerarchicamente superiore.

Inutile dire che, se dovessero realmente funzionare come promesso, queste funzionalità rappresenterebbero importantissime innovazioni in campo sicurezza: molti degli attacchi oggi disponibili verrebbero bloccati sul nascere. Di più: bug nella gestione della memoria non ancora corretti non risulterebbero più un problema di primaria preoccupazione per la sicurezza: i nuovi meccanismi potrebbero infatti impedire al codice malevolo di sfruttare tali problemi per portare attacchi.

Sarebbe una svolta, e potrebbero significare davvero la drastica riduzione degli exploit e dei problemi di sicurezza della piattaforma Microsoft.

Nuove Group Policy

Circa 800 nuove Group Policy faranno sicuramente la felicità dei sistemisti, che potranno limitare l'utilizzo del sistema in un modo ancor più dettagliato. Una su tutte: è possibile disabilitare l'utilizzo di memorie USB.

Da notare che però Microsoft Management Console continua a non offrire la possibilità di cercare fra le policy, una vera e propria necessità visto il numero di opzioni a disposizione.

Accesso limitato ai file di sistema

Nemmeno l'amministratore può sovrascrivere o modificare i file presenti nella gerarchie di cartelle \Windows ed sottostanti: è richiesto esplicitamente di modificare i permessi dei file interessati prima di procedere

BitLocker

[solo Enterprise e Ultimate]

Windows Vista consentirà di criptare del tutto la partizione di sistema, che diverrà di fatto inaccessibile in caso l'utente non fornisca credenziali di accesso valide in un ambiente di pre-caricamento. Questa funzionalità richiede però la presenza di un chip hardware denominato Trusted Platform Module che gestisce appunto l'autenticazione prima del caricamento del sistema operativo, o in alternativa di una memoria flash USB da usare a mo' di chiave.