lunedì 30 giugno 2014

MAP Toolkit 9.1 è ora disponibile!

Siamo lieti di annunciare la disponibilità della versione 9.1 del toolkit Microsoft Assessment and Planning (MAP). Questa versione del MAP Toolkit aiuta ad aumentare l'agilità e costo efficacia di implementazione delle più recenti tecnologie Microsoft. MAP 9.1 aiuta le organizzazioni a valutare la loro disponibilità ambiente per Windows 8.1 e Office 365, tenere traccia dell'utilizzo di Windows Server 2012 R2, Lync Server 2013, SharePoint Server 2013, Exchange Server 2013, System Center Configuration Manager 2012 R2 e SQL Server 2014. Aiuta anche valutare le migrazioni da on-premise a Azure.

Scoperta Windows 8.1 e Windows Server 2012 R2

MAP 9.1 aggiunge la scoperta e la segnalazione di di Windows 8.1 e Windows Server 2012 R2. Con l'aggiunta di Hyper-V per il sistema operativo client Windows in Windows 8, MAP ora riportare correttamente la tecnologia di virtualizzazione e la versione hypervisor.

Di Windows Server 2012 R2 come piattaforma per la virtualizzazione dei server

Quando si utilizza MAP per pianificare il vostro consolidamento / progetto virtualizzazione dei server, è ora possibile specificare di Windows Server 2012 R2 come piattaforma host macchina virtuale.

Migliorata Discovery SQL Server

In questa versione di MAP abbiamo ampliato la scoperta di SQL Server per includere componenti installati indipendente dal motore di database. Ad esempio, i casi di stand-alone SQL Server Reporting servizi saranno ora inclusi nel rapporto MAP SQL Discovery. MAP 9.1 aggiunge anche la scoperta dei Servizi Data Quality e Master Data Services, che sono stati aggiunti in SQL Server 2012. Infine, MAP 9.1 include la scoperta di SQL Server 2014, nonché la raccolta di dati UAL per SQL Server 2014.

martedì 24 giugno 2014

Annunciando la classificazione Toolkit dati per Windows Server 2012 R2!

Siamo eccitati oggi per annunciare il rilascio della classificazione Toolkit dati per Windows Server 2012 R2 ! Il Toolkit classificazione dei dati per Windows 2012 R2 è progettato per aiutarvi a:
  • Identificare, classificare e proteggere i dati sui file server nel cloud privato.
  • Fornire supporto per le distribuzioni di Windows Server 2012 R2, così come per le distribuzioni miste di Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2 SP1.
  • Facile configurazione predefinita Central Criteri di accesso su più server.
  • Creare e distribuire i criteri per proteggere le informazioni critiche in un modo economicamente efficace.
In questa versione, abbiamo abilitato il supporto per Windows Server 2012 R2 (in aggiunta al supporto di Windows Server 2012 e Windows Server 2008 R2 SP1) e fissa una serie di bug:
  • Il 'Import' e percorsi 'Distribuire' attraverso l'interfaccia grafica sono stati aggiornati a comportarsi lo stesso Import-FileClassificationPackage: se un dato di base fornisce la configurazione per RMS compiti, questi sono utilizzati per impostazione predefinita.
  • Downleveling tra le versioni di Windows Server è stato migliorato e ampliato per prendere in conto le differenze tra Windows Server 2012 R2 e Windows Server 2012/2008 R2.
  • La query del toolkit SCOM è stato aggiornato per utilizzare automaticamente il Management Pack per Windows Server 2012 R2 Gestione risorse file server.
  • La query prevista per interrogare il toolkit Microsoft Assessment and Planning è stato aggiornato per tenere conto del cambiamento di schema in versione 8/9.
Razionalizzare i vostri sforzi di conformità dei dati. Il toolkit fornisce il supporto per la configurazione di conformità dei dati su file server che eseguono Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2 SP1 per automatizzare il processo di classificazione dei file, e rendere la gestione dei file più efficiente nell'organizzazione .
Semplificate la vostra esperienza di configurazione dei criteri di accesso centrale. L'ultima versione del toolkit consente di prestazione e standardizzare criterio di accesso centrale attraverso un bosco e applicare criteri di accesso di default sul file server cloud privato. Il toolkit fornisce anche strumenti per l'utente fornitura e valori di attestazione dispositivo basato su Servizi di dominio Active Directory (AD DS) risorse per semplificare la configurazione dinamica Access Control. Si può anche facilmente monitorare e riferire Access Policy centrale esistente su condivisioni di file.
Gestione File Classification come un professionista. Il toolkit offre una GUI e cmdlet di Windows PowerShell per aiutarti a configurare, aggiornare e monitorare le distribuzioni di File Classification Infrastructure di Windows Server come vuoi tu!
Utilizzare il Toolkit di classificazione dei dati per aiutare le organizzazioni a pianificare con successo e mantenere programmi di classificazione dei dati in queste aree critiche:
  • Identificare applicabili documenti sensibili IT GRC.
  • Definire i corrispondenti criteri di classificazione e di protezione.
  • Cifratura dei documenti sensibili ai loro protetti dalle violazioni non autorizzate.
  • Preservare la prova che dimostra l'attuazione di controlli efficaci.

giovedì 19 giugno 2014

Migrazione Domain Controller Windows Server 2003 a Windows Server 2012

Con l’uscita di Windows Server 2012 molte infrastrutture prenderanno la decisione di aggiornare i propri Domain Controller per poter trarre vantaggio dalle numerose funzionalità che sono state introdotte rispetto a Windows Server 2003 che rappresenta la versione di sistema operativo più datata da cui è ancora possibile eseguire la migrazione.
In questo articolo verranno analizzate le problematiche relative all’aggiornamento di un’infrastruttura Active Directory basata su Domain Controller Windows Server 2003 affinché si possano introdurre Domain Controller Windows Server 2012.

In particolare si analizzerà nel dettaglio lo scenario in cui si desidera dismettere un Domain Controller Windows Server 2003 rimuovendolo completamente dall’infrastruttura Active Directory per sostituirlo con un Domain Controller Windows Server 2012.

Novità in Active Directory

Rispetto a Windows Server 2003, nelle successive versioni di sistemi operativi, sono state introdotte diverse novità, anche in ambito Active Directory . Le sintetizzo nella seguente tabella.

Sistema operativo
Funzionalità
Requisiti
Windows Server 2008
· Supporto per la replica del SYSVOL (System Volume) tramite DFS (Distributed File System) che garantisce una replica più robusta e dettagliata
· Supporto per Advanced Encryption Standard (AES 128 e AES 256) per il protocollo Kerberos
· Informazioni sull’ultimo logon interattivo
· Fine-grained password policies
· Personal Virtual Desktops
Livello funzionale di dominio
Windows Server 2008
Windows Server 2008 R2
· Memorizzazione nel token kerberos utente delle informazioni circa il tipo di autenticazione.
· Supporto ai Managed Service Accounts
Livello funzionale di dominio Windows Server 2008
Windows Server 2008 R2
· Active Directory Recycle Bin
Livello funzionale di foresta
Windows Server 2008
Windows Server 2012
· Kerberos armoring
· Supporto da parte del KDC claim e compound authentication
Livello funzionale di dominio Windows Server 2012

Vi sono inoltre anche una serie di novità riguardanti la gestione di Active Directory, quindi non correlate alle modifiche apportate al Directory Service, che sono state introdotte nelle versioni del sistema operativo successive a Windows Server 2003.

Funzionalità introdotte in Windows Server 2008
· Active Directory Domain Services auditing mediante l’introduzione della sottocategoria di policies di audit Directory Service Changes
· Read-Only Domain Controllers
· Restartable Active Directory Domain Services che consente di eseguire tasks come offline defragmentation, aggiornamenti del Domain Controller senza riavviare il sistema
· Database Mounting Tool (Dsamain.exe) che consente di migliorare il processo di recovery visualizzando e confrontando i dati presenti in backup eseguiti in tempi diversi in modo da decidere quale ripristinare
· Gestione degli Owner Rights
· Nuovo formato ADMX e nuove funzionalità per gli Administrative template files
· Starter Group Policy objects
· Commenti per GPOs e policy settings
· Network Location Awareness
· Group Policy Preferences
Funzionalità introdotte in Windows Server 2008 R2
· Modulo di Active Directory e cmdlets per Windows PowerShell
· Active Directory Administrative Center
· Active Directory Best Practices Analyzer
· Active Directory Web Services
· Offline domain join
· Bridgehead Server Selection per bilanciare il carico delle connessione sui Domain Controller
· Windows PowerShell Cmdlets per Group Policy
· Group Policy Preferences per Risparmio Energetico, Gestione Tasks e Internet Explorer 8
unzionalità introdotte in Windows Server 2012
· Supporto per Domain Controller virtuali e cloning di Domain Controller virtuali
· Semplificazione e integrazione con Server manager e PowerShell del wizard di promozione del Domain Controller
· Dynamic Access Control
· Interfaccia utente per Active Directory Recycle Bin
· Interfaccia utente per Fine-Grained Password Policy
· Windows PowerShell History Viewer
· Active Directory Replication e Topology Windows PowerShell cmdlets
· Active Directory Based Activation (AD BA)
· Group Managed Service Accounts (gMSA)
· Remote Group Policy Update
· Group Policy infrastructure status
· Group Policy Preferences per Internet Explorer 10
· Group Policy settings per Internet Explorer 10

mercoledì 11 giugno 2014

Arrivare collaborazione aziendale e l'istruzione nel settore ICT

Approfondimenti Dave O'Leary sono come una sedia, CEO, CIO, VP, e molto di più come profilato qui in un blog precedente. Dave sta condividendo le sue lezioni di seguito in questo articolo, "Richiesta di collaborazione aziendale e formazione nel settore ICT".
Negli ultimi 37 anni ho avuto il piacere di lavorare in K a 12 e il sistema universitario. Come chiudo in pensionamento in tre settimane mi ritrovo a riflettere su quegli anni. In quel momento ho goduto lavorando con molte persone di talento e molte organizzazioni pubbliche e private e aziende. In questo post voglio condividere alcune delle esperienze che ho avuto con le aziende che riescono a fornire un sostegno reale a uno dei migliori investimenti che un paese possa fare un investimento nella formazione dei suoi cittadini. A casa mia provincia della British Columbia, Canada uno studio recenteha confermato che Collegi in questa provincia contribuiscono 7,8 miliardi dollari per l'economia. Questo è un ritorno 15,40 dollari per ogni dollaro pubblico speso dal governo provinciale di operare undici collegi di BC. Questo è un solido ritorno sugli investimenti da qualsiasi misura.
Nei primi giorni del sistema Canadian College si è concentrati sul accesso generale, mestieri e tecnologia. Con lo sviluppo di Internet e l'evoluzione della Information and Communications Technology (ICT) ad un sistema business-critical, Collegi risposto con una crescita significativa in programmazione volto a produrre le necessarie personale qualificato nelle TIC. Questi sforzi continuano oggi come il sistema si sforza di produrre abbastanza laureati adeguatamente qualificato per soddisfare la crescente domanda. Secondo il Consiglio Information and Communications Technology c'è ancora molto da fare. La loro analisi del lavoro di informazione del mercato prevede che entro il 2016 il Canada dovrà compilare 106.000 posti di lavoro ICT e predice una grave carenza in alcune aree di abilità critiche. Così come fa questo legame con i partenariati tra università e aziende private? Questo scenario non è solo una sfida canadese. Si è condivisa in tutto il mondo e il concorso per talenti è globale. Il paese che ottiene la soluzione giusta prenderà la guida in questo campo critico.
Società ICT si affidano a loro popolo per il loro profitto. Quelle persone sono altamente qualificati e producono i software, hardware e servizi che guidano ICT in tutte le sue aree di impatto. Un numero significativo di queste persone sono addestrati a Scuole ed Istituti. Per loro di essere produttivi e contribuiscono al successo del loro datore di lavoro hanno bisogno di essere adeguatamente addestrato con competenze in linea con le esigenze aziendali. Il modo migliore per un'azienda per assicurare loro l'accesso ai laureati con le competenze desiderate è di essere direttamente coinvolti in una collaborazione con le stesse istituzioni di formazione. Un esempio dalla mia esperienza illustra questo.
Nel 2007 ero Dean per un programma ICT a Canadian College. Nelle discussioni con gli altri Presidi ICT provenienti da tutto il paese era chiaro che i miglioramenti necessari da apportare. L'iscrizione era in declino, nonostante la crescita documentato in opportunità di lavoro. Le indagini hanno mostrato i giovani non vedere una carriera ICT come una scelta fresca, e la sbornia "dot com" ha avuto genitori diffidare di incoraggiare i loro figli a studiare in campo. Da parte nostra, quattro Collegi deciso di provare qualcosa di diverso. Abbiamo formato un collaborativo e ha iniziato a lavorare su un programma comune ICT che si è basata sulle esigenze dell'industria, software standard industriale usato e hardware e, novità, al momento, incluso un importo deliberato di contenuti volti a sviluppare comprensione del business del laureato TIC e capacità di comunicazione interpersonale . Il programma era (ed è tuttora) insegnata da docenti provenienti da tutte e quattro le istituzioni. Gli studenti di tutte le quattro istituzioni partner partecipano con quello che abbiamo soprannominato un "Cyberstructure Model" che incorpora tutto ciò che le tecnologie gli studenti hanno bisogno per massimizzare il loro successo. Il modello è evoluta fino stabilì su una combinazione di un Learning Management System (LMS) e un ambiente di incontro web.
Mentre il team di sviluppo curriculum deciso di costruire questo programma innovativo abbiamo raggiunto fuori a settore per consigli e indicazioni. Il team di Microsoft Canada era incredibile nella loro risposta rapida e disponibile.Abbiamo inviato una breve e-mail per chiedere di ingresso e il Microsoft rappresentante per il Canada occidentale ci ha chiamati in cinque minuti. Entro la fine della chiamata abbiamo avuto accesso a software, piattaforme di gioco e di ingresso in alcune delle competenze chiave laureati dovrebbero avere. Abbiamo avuto risposte simili da altre aziende come Cisco Canada e con il sostegno abbiamo creato un programma che continua ancora oggi. Ma il rapporto non si è fermata lì.
Microsoft è un partner con Università ed Istituti in Canada e con il loro sostegno e la generosità di Microsoft, decani delle TIC da tutto il Canada sono incontrati a Mississauga e lavorato per affinare e riorientare il nostro approccio alla preparazione di laureati qualificati giuste per il settore ICT. Come presidente di tale Consiglio Nazionale dei Presidi delle TIC, ero al corrente la quantità di tempo e risorse di Microsoft messo in hosting di giorno e di fare e il lavoro svolto dal Consiglio un successo. Questo è solo un esempio di una società di supporto Scuole ed Istituti di formare laureati essi stessi bisogno. Posso fornire molti più di spazio lo consente qui.
In un tempo molto breve ICT è passata da un settore di nicchia di studio per una missione critica fondazione di imprese e la società in tutti i settori. Università e altre istituzioni di formazione e di istruzione post-secondaria stanno cercando di fornire la giusta formazione per questo settore. La nostra esperienza ci dimostra che la stretta collaborazione tra le imprese e l'istruzione è fondamentale se vogliamo ottenere tale diritto la formazione e garantire continui alti rendimenti sugli investimenti dei contribuenti nel settore post-secondario.

mercoledì 4 giugno 2014

Abbonarsi PFE Notizie Contatto Argomenti Active Directory Exchange Server Lync Service Management SharePoint SQL Server System Center Di Windows Server e Client Come PFE su Facebook MSPFE su TechNet RSS Perché si dovrebbe evitare di manuale di 'indurimento server' 6 giorni fa da Premier Field Engineers Business Intelligence con SharePoint 2013 e SQL 2012 14 giorni fa da Premier Field Engineers Uno strano caso di appartenenze di gruppo Admin 23 giorni fa da Premier Field Engineers MSPFE su MSDN RSS ASP.NET MVC - routing degli URL 2 mesi fa da Premier Field Engineers Fortemente tipizzato Associazione di dati (continua ...) 3 mesi fa da Premier Field Engineers Racconti dal campo: IIS 7.x tip / COM + migrazione 3 mesi fa da Premier Field Engineers Menu RSS per i post RSS per i commenti Atomo Tag Active Directory Scambio Prestazione Service Management SharePoint SQL Server System Center Finestre Windows Client Di Windows Server Di Windows Server 2012 Altro ▼ Meno ▲ Archivio Maggio 2014 (3) Marzo 2014 (1) Febbraio 2014 (3) Gennaio 2014 (4) Dicembre 2013 (5) Altro ▼ Meno ▲ Ricerca in questo blog Cerca tutti i blog Translate this page Microsoft ® Translator Perché si dovrebbe evitare di manuale di 'indurimento server'

Recentemente stavo aiutando un cliente con la distribuzione di un cluster di failover di Windows 2012. Siamo stati in grado di configurare un cluster 3 nodi nel giro di poche ore, ma con mia grande sorpresa, la finale di 'cartina di tornasole' di portare il nome della rete fino riuscita. A causa di questo, non abbiamo potuto portare la risorsa di SQL Server online. Da entrambi cluster e il registro eventi era abbastanza evidente che stavamo colpendo un problema di autenticazione:
Nome di accesso: sistema
Origine: Microsoft-Windows-FailoverClustering
ID evento: 1207
Categoria attività: Risorsa nome di rete
Livello: errore
Parole chiave:
Utente: SYSTEM
Computer: ********
Descrizione:
Cluster rete nome risorsa 'Nome cluster' non può essere portato in linea. L'oggetto computer associato alla risorsa non poteva essere aggiornato nel dominio ********** per il seguente motivo:
. Impossibile ottenere Object computer utilizzando GUID
Il testo per il codice di errore associato è: errore di accesso: utente sconosciuto nome o password errata

Causa prima

Su indagine, si è rivelato un problema con il privilegio di protezione ' accesso al computer tramite la rete '. Per impostazione predefinita in Windows Server 2012 i seguenti gruppi hanno il diritto di accedere a questo computer dalla rete GPO:
  • Amministratori
  • Backup Operators
  • Utenti
  • Tutti
Sul server problema (s), il Everyone gruppo mancava ; e l'aggiunta di nuovo risolto il problema. Perché questo è stato necessario? Il Cluster Object Name (CNO), gli account di servizio di applicazioni che utilizzano cluster e l'oggetto computer di ogni nodo dovrebbe avere il permesso di accedere al computer dalla rete.
Testing Windows non include i casi di test in cui è stata modificata l'impostazione predefinita . Quindi non possiamo prevedere come gruppo sarebbe comportato dopo la rimozione dei gruppi predefiniti dal GPO di cui sopra.

Il 'aha!' momento

Sollievo attuato, davanti a una tazza di caffè, ho chiesto al cliente di condividere il motivo dietro questo cambiamento.Sono stato poi informato di una " Tempra documento "implementato religiosamente prima di mettere i server in produzione. Nelle nostre esperienze, tali documenti tendono ad essere pericolosi perché sono stati scritti verso la fine del 1990 e in molti casi non sono stati rivisti o aggiornati per le versioni moderne del sistema operativo.

Momento della verità

Io personalmente non consiglio indurimento manuale Server, in quanto può causare il server a comportarsi male, risultare in dettaglio delle componenti correlate diverse del sistema operativo e il fallimento delle applicazioni critiche. Io consiglio i miei clienti di utilizzare Security Compliance Manager o il Security Configuration Wizard per 'indurimento' di Windows Server 2012. Qualsiasi altro metodo per indurire il server potrebbe causare risultati imprevisti.
Ogni singolo cambiamento nell'ambiente (come risultato di questi passi indurenti manuali) potrebbe causare un guasto.Non si può prevedere questi fallimenti, e quindi rigorosi test deve essere effettuato da qualcuno che ha sta attuando indurimento manuale. Assicurarsi che l'ambiente di test sono esattamente simile all'ambiente di produzione. Inoltre, qual è la durata della prova e la copertura di test per verificare che tutto è ancora funzionante? Solo perché è stato testato per numero n di giorni non significa che un problema non si verificherà il n 1 giorno.
Per riassumere:
  1. L'uso di compliance manager di Sicurezza o Configurazione guidata è l'unico modo supportato per l'indurimento server Windows.
  2. Avere una sicurezza a più livelli approccio che non consente l'accesso diretto ai server.
  3. Monitorare i server utilizzando un controllo centralizzato del sistema.
  4. Hardening manuale non è tutto raccomandato come descritto in precedenza.
  5. Assicurarsi che Windows 2003 Server impostazioni di indurimento non vengono applicate sul sistema operativo più recente come Windows Server 2008 R2, Windows Server 2012
  6. Verificare l'origine del documento indurimento essere seguiti nella propria organizzazione

'Trucchi' popolari

ImpostazioneDescrizioneUlteriori informazioni
"Non consentire l'archiviazione di credenziali o. NET Passport per l'autenticazione di rete Utilità di pianificazione è ampiamente in un sacco di organizzazioni e si dovrebbe essere consapevoli del fatto che l'attivazione del sottostante GPO può causare operazioni pianificate di fallire in certe situazioni:La nuova versione di Utilità di pianificazione di Windows utilizza Credential Manager per archiviare le credenziali dell'account che è specificato per eseguire un compito. Se l'accesso di rete: non consentire l'archiviazione di password e credenziali per la politica autenticazione di rete è attivata e applicata, Da Credential Manager non è in grado di memorizzare le credenziali si concluderà con problemi di Utilità di pianificazione connesse.
Servizio Windows Firewall viene tenuto in stato disabilitatoMantenere il servizio Firewall disattivato provoca la WMI chiama a fallire con conseguente molte applicazioni fallimento. L'arresto del servizio associata a Windows Firewall con protezione avanzata è non supportato da Microsoft.

Si prega di fare riferimento a questo post del blog e questo articolo di TechNet per maggiori informazioni. Inoltre, una domanda naturale è quindi

Qual è il modo giusto per disabilitare firewall?È possibile disattivare dal pannello di controllo di Windows Firewall (firewall.cpl),
OR
Eseguire i comandi sottostanti e disabilitare firewall per tutti i profili
Netsh.exe advfirewall Set currentprofile Stato Off
Modalità netsh firewall set opmode = profilo disable = ALL 

Altre caratteristiche di sicurezza

Ulteriori Vorrei condividere alcune delle caratteristiche di sicurezza in-the-box forniti con Windows Server 2008 e soprattutto che rende il sistema operativo Windows in modo sicuro.

Address Space Layout Randomization

Nelle versioni precedenti di Windows, processi core tendevano ad essere caricati in locazioni di memoria prevedibili all'avvio del sistema. Alcuni exploit funzionano mira locazioni di memoria noti per essere associati con i processi particolari. ASLR casualmente le locazioni di memoria utilizzati dai file di sistema e altri programmi, rendendo molto più difficile per un utente malintenzionato di indovinare la posizione di un dato processo. La combinazione di ASLR e DEP crea una barriera abbastanza formidabile per gli attaccanti da superare al fine di ottenere l'esecuzione di codice affidabile quando sfruttando vulnerabilità. ASLR è stato introdotto in Windows 2008 ed è stato incluso in tutte le versioni successive.

Processi protetti

Il sistema operativo Windows 2008 introduce un nuovo tipo di processo, chiamato un processo protetto . Il processo protetta migliora il supporto per la funzionalità di gestione dei diritti digitali in Windows Server 2008 e Windows Vista.Esistono Questi processi protetti fianco processi tipici.
La differenza principale tra un tipico processo di Windows e un processo protetto è il livello di accesso che altri processi del sistema possono avere a processi protetti.
Nelle versioni di sistemi operativi Windows precedenti a Windows Vista, il modello di processo consente un processo padre di acquisire un handle e manipolare lo stato di qualsiasi processo figlio che crea. Allo stesso modo, i processi che vengono creati da utenti con privilegi sufficienti (cioè, un amministratore di sistema) possono accedere e manipolare lo stato di tutti i processi nel sistema. Questo comportamento rimane invariato per i processi tipici di Windows. Tuttavia, il livello di accesso ai processi protette e per i thread all'interno di tali processi è molto più limitato in Windows Vista e Windows Server 2008

Mandatory Integrity controllo

Windows definisce quattro livelli di integrità: basso, medio, alto, e di sistema. Gli utenti standard ricevono medio, gli utenti ricevono elevate alto. Processi che si avvia e oggetti creati ricevere il livello di integrità (medio o alto) o basso se il livello del file eseguibile è bassa; servizi di sistema ricevono l'integrità del sistema. Gli oggetti che non hanno un'etichetta di integrità sono trattati come mezzo attraverso il sistema operativo, questo impedisce basso codice di integrità di modificare gli oggetti senza etichetta. Si consideri uno scenario. Diciamo che riceve un allegato in posta elettronica.Quando si salva, è scritto con una bassa integrità perché è venuto da Internet, una fonte non attendibile. Quando si esegue l'allegato, il processo funziona a bassa integrità perché l'oggetto file viene etichettato basso; Pertanto, i dati (media o alta etichettati) sono protetti dalle scritture dannosi per l'allegato.
Per saperne di più su Windows Integrity Mechanism a questo link .

Service System Hardening

In precedenza in Windows 2003, i servizi in esecuzione con privilegi elevati in molti casi. Ora, in Windows 2008 con Service System Hardening , i servizi non necessari non sono installati. Se installato, vengono disattivati ​​per impostazione predefinita e se da essi sono isolati dagli utenti tramite riduzione privilegio.

Riduzione Privilege

Poiché Windows 2008 Servizi non utilizzano più l'account di sistema, Gestione controllo servizi (SCM) può dare un token filtrato che contiene solo i diritti necessari. SCM può aggiungere il SID del servizio al token di protezione che consente di amministratori di applicare ulteriori restrizioni. Per saperne di più avanzata servizi di Windows qui .
File e del Registro di virtualizzazione
La trasparenza di virtualizzazione dei file consente alle applicazioni di percepire che stanno scrivendo e leggendo dalla risorsa protetta, quando in realtà stanno accedendo alla versione virtualizzata. Per saperne di più qui .

Secure Boot

Secure Boot è una caratteristica su PC basati su UEFI che aiuta ad aumentare la sicurezza di un PC, impedendo software non autorizzato in esecuzione su un PC durante la sequenza di avvio. Si controlla che ogni pezzo di software ha una firma valida, compreso il sistema operativo che verrà caricata. E 'una misura di buona sicurezza contro i rootkit. Per saperne di più qui e qui .

Session 0 Isolation

In Windows Server 2003 e versioni precedenti, tutti i servizi eseguiti nella stessa sessione come il primo utente che accede alla console. Questa sessione si chiama Session 0. Correre servizi e le applicazioni utente insieme nella sessione 0 rappresenta un rischio per la sicurezza perché i servizi funzionano a privilegi elevati e quindi sono bersagli per gli agenti dannosi che sono alla ricerca di un mezzo per elevare il proprio livello di privilegio. Windows Server 2008 e soprattutto isolare servizi nella sessione 0 e facendo Session 0 non interattiva. L'utente accede alla Sessione 1. Saperne di più qui .

'Morale della favola'


Le versioni moderne di Windows OS (2008 +) sono molto più sicure out-of-the box di quanto si possa immaginare.Patching Fornite è fatto regolarmente, la necessità di bloccare ulteriormente eseguendo 'indurimento' è piuttosto limitato in questi giorni. E in tal caso, si consiglia di utilizzare solo mezzo supportati come il Compliance Manager di Sicurezza oSecurity Configuration Wizard .