Guide: passo per passo

Condividi:        

Sicurezza aziendale

Generale
PREMESSA: se non conoscete il significato di qualche parola consultate il nostro Glossario.
1. Introduzione

L'ormai famigerato Nimda cercava SRV e WS per propagarsi che eseguono IIS, e sfruttare un bug dell'applicazione per infettarli. Disattivare tutto ciò che può risultare superfluo è il miglior modo per proteggere un sistema da qualsiasi minaccia. E' di questi giorni allo stesso modo un worm conosciuto sotto vari nomi, il più noto forse SQL Slammer, il quale attacca tutte le macchine con SQL SRV 2000 tranne quelle con il SP3, contenendo quest'ultimo una Fix di un precedente bug.

Tornando a noi quanti computer hanno effettivamente bisogno di eseguire IIS nella rete, e soprattutto quali servizi di IIS, come FTP, SMTP, NNTP sono indispensabili? Nimda attacca il servizio WWW, ma chi può affermare con certezza che il prossimo worm non attaccherà una vulnerabilità di Telnet?

Si raccomanda quindi di disattivare per default i seguenti servizi su WS e SRV: Clipbook, FTP Publishing, IIS Admin, Indexing, ICS, Net-Meeting Remote Desktop Sharing, NNTP, Remote Registry, Routine and Remote Access, Simple TCP/IP, SMTP, Telnet, Terminal Service e WMS se installati.

Anche se l'immagine di installazione di default non comprende tutti i servizi che si desidera disattivare, dopo l'implementazione del computer gli utenti potranno installarli con facilità senza farcelo sapere. E' questa l'opportunità per valutare l'uso dell'oggetto GPO ( Group Policy Object ) Default Domain Policy, in modo da disattivare i servizi per default. Bisogna sapere che, quando si modifica un oggetto GPO per attivare o disattivare i servizi, Windows 2000 lo popola con i servizi che trova sul computer dal quale si lavora; in conseguenza occorre modificare il GPO da un computer che abbia già installati tutti i servizi rilevanti. Cosa succede invece quando un computer debba accedere a uno dei servizi disattivati? Per esempio una WS che deve accedere al servizio IIS WWW per l'uso con MS Frontpage? In questo caso si possono creare dei GPO di eccezione, che attivano i servizi appropriati per le macchine che ne hanno bisogno.


Generale: kadosh [62.539 visite dal 20 Dicembre 04 @ 00:01 am]