L’asso è nella sicurezza

Dove cambia veramente il nuovo Os server di Microsoft è nelle funzioni di sicurezza, oramai trasversali a tutto il sistema.

Oltre alla correzione generale del sistema operativo per eliminare i punti deboli accumulati durante lo sviluppo degli ultimi due anni, Microsoft ha adottato misure preventive eccezionali.


Il server parte unicamente con i servizi essenziali (19 servizi avanzati, tra il cui il Web Server, sono disabilitati per default), inoltre sono stati abbassati tutti i permessi di accesso iniziale affinché nuovo codice di sistema o di applicativo non possa acquisire più controllo del dovuto, aprendo brecce per successivi attacchi.


A questi semplici accorgimenti pratici si sommano una ventina di nuove funzioni abbinate al nuovo motore denominato Common Language Runtime che verifica tutti i programmi prima di mandarli in esecuzione, accertandosi che dispongano dei permessi adeguati e che compiano solo operazioni ammesse. Il Clr verifica anche da dove il programma è stato installato o scaricato, legge l'eventuale firma digitale generata dallo sviluppatore, a sua volta certificato, e controlla infine se il codice sia stato in alcun modo modificato dal momento in cui la firma è stata apposta.


Un capitolo a parte riguarda le wireless Lan. Windows .net realizza una delle primissime implementazioni delle specifiche 802.1x che prevedono la determinazione dinamica della chiave di cifratura, che cambia in continuazione, in abbinamento ai nuovi sistemi di autenticazione rapida. L'utente usa le proprie credenziali depositate sul server per essere ammesso fisicamente alla rete 802.11.


Per maggiore sicurezza, viene di fatto convogliato su una Vpn che mantiene le proprie caratteristiche di sicurezza anche in caso di roaming, mentre eventuali visitatori non autenticati possono, come opzione, sfruttare la rete wireless solo per un accesso esterno a Internet, senza visibilità sulle risorse interne.


L'approccio costituisce un salto di qualità rispetto al livello attuale di sicurezza corrente delle reti wireless, ma impone l'impiego di server Microsoft per l'autenticazione.


Il vero anello debole dell'intera catena rimane Internet Infomation Server che, in ragione della propria esposizione all'esterno e della presenza di numerosi agganci applicativi che lo rendono comunque vulnerabile, uscirà dalla scatola completamente bloccato. Spetterà all'amministratore di sistema sbloccare le funzioni strettamente necessarie beneficiando, nel caso della versione 6.0, di nuove procedure per il controllo degli accessi e di vari sistemi di cifratura selezionabili.



 

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here