• Articolo

Windows Vista

Windows Vista sulle reti aziendali

Jason Leznek

 

Panoramica:

  • Lo stack TCP/IP di nuova generazione
  • Strumenti di configurazione di rete incentrate sull'utente
  • Potenziamento della protezione della rete
  • Semplificazione della gestione della rete

Quanto tempo è passato dall'ultima volta che è trascorsa un'intera giornata senza che fosse necessario connettersi alla rete aziendale? Vediamo: niente posta elettronica, niente ricerche su Internet, impossibile utilizzare stampanti

o file condivisi, dati essenziali nel database delle vendite irraggiungibili. Sarebbe praticamente impossibile lavorare.

La connettività di rete è un elemento irrinunciabile nelle attività quotidiane della maggior parte dei lavoratori. D'altra parte il livello delle aspettative in termini di mobilità degli utenti, con computer portatili di proprietà dell'azienda che si connettono a qualsiasi tipo di rete pubblica o domestica, è molto alto. Le implicazioni di questi comportamenti sulla protezione dei sistemi sono da brividi.

I tecnici del team dedicato alla gestione delle reti con Windows Vista™ sanno bene quanto sia importante la connettività e hanno profuso il massimo impegno per sviluppare la migliore serie di innovazioni nella gestione delle reti fin dai tempi di Windows® 95. Con Windows Vista le reti diventano più facili da usare e gestire, più protette e scalabili.

Sono passati cinque anni dal rilascio di Windows XP. In questo lungo periodo sono cambiate molte cose: si è fatta strada l'esigenza di una connettività di rete wireless sempre a portata di mano, sono state approvate nuove norme o si sono imposti degli standard industriali quali Sarbanes-Oxley e HIPAA e si è affermata la necessità di ridurre i costi e utilizzare gli investimenti in modo più efficace. Gli utenti si aspettano che le risorse di rete siano sempre disponibili e cominciano a provare delusione e insofferenza ai primi segnali di problemi di connettività. Infine, gli utenti si spostano e viaggiano sempre più spesso ed è probabile che non utilizzino solo la rete aziendale per la connessione, ma qualsiasi rete riescano a raggiungere nel punto in cui si trovano.

Prima di tutto lo stack

In Windows Vista è inclusa un'implementazione aggiornata dello stack TCP/IP, con importanti miglioramenti che consentono di risolvere molti dei problemi di connessione in rete più frequenti, migliori prestazioni e velocità di trasmissione, un'architettura Wi-Fi nativa e API per l'ispezione del contenuto dei pacchetti in rete.

Per l'ottimizzazione dell'utilizzo di una rete sono necessarie complesse regolazioni delle impostazioni di configurazione TCP/IP. In Windows Vista non è più necessario eseguire queste regolazioni manualmente. Le condizioni della rete vengono infatti rilevate in modo automatico e le prestazioni ottimizzate di conseguenza. Sulle reti ad alti tassi di perdita, come le reti wireless, Windows Vista consente di ripristinare i dati con maggiore efficacia dopo la perdita di uno o più pacchetti. Nel nuovo sistema operativo, infatti, la finestra di ricezione TCP viene aumentata o ridotta in modo dinamico per sfruttare al massimo il collegamento. Gli utenti che trasferiscono file su una WAN ad alta velocità e alta latenza oppure scaricano file da Internet noteranno di sicuro la riduzione dei tempi di trasferimento.

In Windows Vista è inoltre integrata un'architettura di rete wireless nativa (Native WiFi) come parte dello stack di rete principale. I vantaggi più evidenti sono una distribuzione flessibile su molte marche e modelli di hardware diversi, esperienze simili degli utenti a prescindere dall'hardware e driver per schede NIC wireless di terze parti più affidabili. Le reti wireless in Windows Vista possono essere gestite in modo centralizzato, con il supporto dei protocolli di protezione più recenti e un utilizzo della rete più trasparente per gli utenti.

Piattaforma filtro Windows (WFP, Windows Filtering Platform) è una nuova architettura dello stack TCP/IP di nuova generazione caratterizzato da API che gli sviluppatori di software terzi possono utilizzare per intervenire nelle decisioni di filtro che vengono prese a diversi livelli all'interno dello stack del protocollo TCP/IP senza dover scrivere applicazioni in modalità kernel. Nella piattaforma sono inoltre disponibili le funzionalità firewall di nuova generazione, quali la comunicazione autenticata e la configurazione dinamica del firewall in base all'utilizzo dell'API Windows Sockets da parte di un'applicazione (criteri basati sulle applicazioni).

Più potere agli utenti

Centro connessioni di rete e condivisione è la funzione centralizzata con cui ottenere tutte le informazioni desiderate sullo stato della rete, ovvero se è attiva o meno una connessione, a quale dispositivo si è connessi e se si è connessi a una rete locale o a Internet (vedere la Figura 1). È anche possibile visualizzare lo stato dei servizi di rete installati sui computer, sapere se il computer è rilevabile sulla rete locale e se esistono cartelle o stampanti condivise. È inoltre possibile creare una rete o connettersi a una rete esistente, sia che si tratti di una rete wireless ad hoc o di infrastruttura, di una VPN o di una connessione domestica a banda larga.

Figura 1 Centro connessioni di rete e condivisione

Figura 1** Centro connessioni di rete e condivisione **(Fare clic sull'immagine per ingrandirla)

Con Windows Vista è possibile diagnosticare e risolvere molti dei problemi di connessione da soli, senza contattare il supporto tecnico. Grazie a Framework di diagnostica di rete, Windows Vista consente di individuare la causa del problema di connettività in base al contesto dell'azione dell'applicazione. Se, ad esempio, un utente non riesce a raggiungere un sito Internet, in Framework di diagnostica di rete verrà individuato il problema tramite una serie di verifiche: se sono attivi o meno una connessione wireless e un indirizzo IP valido, se il server DNS è accessibile, se è presente e raggiungibile un server proxy e se si riesce a ottenere una risposta dal server Web.

Quando viene rilevato, il problema viene chiaramente esposto in un messaggio visualizzato insieme ai suggerimenti per la risoluzione (vedere la Figura 2). In alcuni casi è sufficiente fare clic su una risposta. In altri è necessario modificare una configurazione e l'utente viene guidato dalla finestra di dialogo nel punto esatto in cui si deve apportare la modifica. A volte, invece, un utente non è in grado di eseguire l'azione richiesta, per scarsa dimestichezza con l'argomento o per privilegi insufficienti. In questi casi vengono registrate informazioni dettagliate nel Visualizzatore eventi, in modo da fornire agli addetti del supporto tecnico gli strumenti per risolvere il problema in tempi rapidi, senza perdere ore alla ricerca del problema.

Figura 2 Risoluzione di un problema di connettività

Figura 2** Risoluzione di un problema di connettività **(Fare clic sull'immagine per ingrandirla)

In Windows Vista sono disponibili API di riconoscimento della presenza in rete che le applicazioni possono chiamare per ottenere informazioni sullo stato della connettività, per riconoscere i cambiamenti delle condizioni di connettività e identificare il tipo di rete (domino, pubblica o privata) a cui il computer è connesso. Quando con Windows Vista è possibile accedere al controller di dominio tramite la rete, si passa automaticamente al profilo Dominio. In questa categoria non possono essere incluse altre reti. Tutte le altre reti sono classificate come pubbliche, a meno che un utente o un'applicazione non identifichi la rete come privata. Le reti che rappresentano connessioni dirette a Internet o che si trovano in luoghi pubblici, quali aeroporti e negozi, dovrebbero rimanere pubbliche. Solo le reti che si trovano dietro un dispositivo gateway privato, come le reti domestiche o di piccole aziende, dovrebbero essere identificate come reti private.

Grazie al riconoscimento della presenza in rete, è possibile configurare applicazioni come Windows Firewall con protezione avanzata (illustrata di seguito) in modi diversi in base al tipo di rete a cui si connette il computer e passare in modo automatico da una configurazione all'altra quando cambia il tipo di rete. È possibile, ad esempio, per un amministratore configurare il firewall in modo che vengano aperte delle porte specifiche per il software di gestione del desktop quando il computer è connesso alla rete di dominio e che le medesime porte vengano chiuse automaticamente quando l'utente si connette a un hotspot pubblico.

Il riconoscimento della presenza in rete è attivo anche per Criteri di gruppo in Windows Vista: consente infatti di riconoscere automaticamente la connessione del computer alla rete di dominio e avviare l'elaborazione delle eventuali nuove impostazioni di Criteri di gruppo, senza attendere il ciclo di aggiornamento successivo. Ne consegue che con Windows Vista il controllo delle nuove impostazioni di Criteri di gruppo viene eseguito in modo automatico quando il computer si connette alla rete di dominio, anche all'uscita da uno stato di sospensione. Quando il fattore tempo è importante, gli amministratori potranno quindi distribuire rapidamente le impostazioni di protezione.

Protezione della rete

I tipi di minacce per i sistemi sono sempre di più: utenti che accedono a reti wireless che non sono quelle che sembrano, PC ospiti infetti che si connettono alla rete aziendale e risorse non gestite che tentano di accedere ad altre risorse senza la necessaria autorizzazione. Una serie di grattacapi che bastano a tenere un amministratore di rete occupato tutto il giorno e preoccupato tutta la notte. Windows Vista aiuta a gestire tutti questi scenari, grazie alle funzioni di protezione avanzata della rete complete e facili da configurare.

L'architettura Wi-Fi nativa di Windows Vista supporta tutti i protocolli di protezione più recenti, tra cui WPA (Wi-Fi Protected Access) 2 Enterprise e Personal, PEAP-TLS e PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol con Transport Layer Security e con Microsoft Challenge Handshake Authentication Protocol). Un supporto così ampio garantisce l'interoperabilità tra Windows Vista e quasi tutte le infrastrutture wireless. Le funzionalità di una scheda di rete wireless vengono analizzate da Windows Vista e, al momento della creazione o della connessione a una rete wireless, viene scelto per impostazione predefinita il protocollo che garantisce la massima protezione possibile. Grazie al framework EAP-HOST, Windows Vista è in grado di supportare i meccanismi di autenticazione personalizzati definiti da un fornitore di hardware o da un'organizzazione.

In Windows Vista sono stati apportati molti miglioramenti al comportamento dei client wireless per affrontare gli attacchi wireless più comuni. Il client si connette in modo automatico solo alle reti che l'utente ha richiesto o identificato esplicitamente come reti preferite, evitando la connessione a reti ad hoc. Inoltre, quando l'utente sta per stabilire una connessione con una rete non protetta, viene visualizzato un messaggio di avviso. Il client infine esamina in modo attivo le reti dell'elenco limitato di reti preferite e solo a seguito di un'istruzione dell'utente, rendendo più complessa l'identificazione da parte di un intruso della rete a cui si sta connettendo il client e la creazione di una rete fasulla con lo stesso nome.

Il client wireless nativo di Windows Vista supporta una funzione SSO (Single Sign-On) che consente di eseguire l'autenticazione di rete di livello 2 al momento opportuno in base alla configurazione della protezione della rete, integrandosi allo stesso tempo con la procedura di accesso a Windows. Dopo la configurazione di un profilo Single Sign-On, l'accesso alla rete precederà l'accesso a Windows. Questa funzione rende possibili scenari quali l'aggiornamento di Criteri di gruppo, script di accesso e avvii wireless, che richiedono la connettività di rete prima dell'accesso dell'utente.

Con Windows Firewall con protezione avanzata la piattaforma Windows passa a un livello superiore di protezione della rete, con il supporto del filtraggio in ingresso e in uscita, oltre a Protezione avanzata servizi di Windows. Se il firewall rileva un comportamento anomalo di un servizio di Windows, come definito dalle regole di rete di Protezione avanzata servizi di Windows, ne esegue il blocco. Windows Firewall con protezione avanzata supporta inoltre il bypass autenticato, che consentono a determinati computer autenticati con IPsec di ignorare le regole del firewall per tali attività come gestione remota.

Una delle modifiche più significative di Windows Firewall ne ha consentito l'integrazione con IPsec. In passato gli amministratori, per creare un insieme di regole su più livelli, erano costretti a ricorrere a due diversi strumenti: un firewall e uno strumento di distribuzione e gestione di IPsec. Con Windows Vista gli amministratori possono creare semplici regole di protezione della rete in cui si combinino regole di protezione delle porte tramite firewall e regole IPsec per impedire accessi non autorizzati. Questa integrazione costituisce un metodo semplice per rafforzare le comunicazioni di rete autenticate ed end-to-end, garantendo l'accesso scalabile e a più livelli alle risorse di rete attendibili e/o la protezione della riservatezza e l'integrità dei dati.

L'amministratore può suddividere logicamente la rete aziendale in aree isolate, a cui è possibile accedere con qualsiasi computer (compresi i computer ospiti) oppure solo con i computer che sono stati autenticati sul dominio (isolamento dei domini). L'amministratore può inoltre isolare server specifici a cui accede solo un determinato insieme di utenti o computer, ad esempio il server dell'ufficio del personale a cui accedono solo i computer del reparto specifico (isolamento dei server) come illustrato nella Figura 3.

Figura 3 Isolamento dei server e dei domini

Figura 3** Isolamento dei server e dei domini **

Virus e worm vengono introdotti nelle reti private da un computer portatile, infettando rapidamente gli altri computer. Quando si connetterà a un'infrastruttura di rete basata su Windows Server con nome in codice "Longhorn," (la prossima versione di Windows Server), un computer con Windows Vista supporterà Protezione accesso alla rete (NAP, Network Access Protection) per ridurre i rischi associati alla connessione di computer infetti alle reti private, sia diretta che tramite una VPN. Se a un computer con Windows Vista non sono stati applicati gli aggiornamenti di protezione o le firme del programma antivirus più recenti oppure se il computer non è conforme per qualche altro motivo ai requisiti di protezione aziendali, l'accesso completo del computer alla rete verrà impedito da NAP. Verrà invece consentita la connessione a una rete con restrizioni, in cui eseguire il download e l'installazione degli aggiornamenti, delle firme del programma antivirus o l'impostazione delle configurazioni necessaria per conformare il computer ai requisiti di protezione aziendali.

Gestione semplificata della rete

Le funzionalità di rete di Windows Vista sono state progettate in modo da supportare alti livelli di gestione e ridurre i costi di distribuzione di reti wireless e criteri di protezione della rete, oltre a garantire la massima qualità del servizio per applicazioni e utenti. In Windows Vista si utilizzano Criteri di gruppo e script da riga di comando tramite NETSH (Network Shell) per la gestione delle funzioni di rete, senza dover apprendere o distribuire nuovi strumenti di gestione, e si sfruttano al massimo gli investimenti già effettuati per Active Directory® e struttura a unità organizzative (OU, Organizational Unit).

La gestione e distribuzione delle regole di protezione della rete, che comprendono i criteri per firewall e IPsec, sono integrate in un unico snap-in di MMC (Microsoft Management Console) basato su procedure guidate e denominato Windows Firewall con protezione avanzata (vedere la Figura 4) oppure eseguite da riga di comando tramite NETSH. Il nuovo snap-in consente di distribuire in modo semplice filtri in ingresso o in uscita e regole di protezione della connessione che limitino l'accesso a utenti, computer, o applicazioni specifiche, garantendo inoltre un alto livello di granularità nel controllo amministrativo. Con IPsec può essere richiesta o obbligatoria l'autenticazione da parte di utente, computer o certificato di integrità (in collaborazione con Protezione accesso alla rete) per attivare criteri di protezione in base allo scenario corrente. Lo snap-in facilita la definizione di regole di isolamento dei domini o dei server e, poiché è basato su Criteri di gruppo, consente di formulare tali regole tenendo conto della struttura aziendale.

Figura 4 Windows Firewall con protezione avanzata

Figura 4** Windows Firewall con protezione avanzata **(Fare clic sull'immagine per ingrandirla)

È possibile utilizzare Criteri di gruppo anche per definire le modalità di connessione e operative dei client mobili sulle reti wireless. In un'azienda, ad esempio, può essere necessario definire dei criteri che impongano l'impiego di un determinato protocollo per tutte le connessioni wireless oppure che limitino tutte le connessioni a una determinata rete wireless. Poiché tali impostazioni vengono definite tramite Criteri di gruppo, è possibile impedire all'utente finale di modificarle.

NETSH rende possibile l'automatizzazione e consente di creare degli script che facilitino la risoluzione dei problemi di connessione alle reti wireless. Tramite l'interfaccia a riga di comando, un amministratore può verificare, modificare o rimuovere i profili di configurazione per le reti wireless di un client. È possibile inoltre esportare o importare i profili di configurazione da altri computer per rendere più rapido il provisioning di più computer.

È possibile che la qualità della trasmissione dei dati sulla rete peggiori, poiché le applicazioni ad alta occupazione della banda tendono a consumare tutta la capacità disponibile e le applicazioni non vengono scritte per consentire agli amministratori IT un controllo centralizzato della larghezza di banda disponibile. L'aggiunta di ulteriore larghezza di banda non sempre consente di risolvere problemi di questo tipo. In genere la nuova capacità disponibile viene rapidamente consumata dalle stesse applicazioni. La qualità del servizio (QoS) basata sui criteri consente agli amministratori di definire delle priorità e/o regolare il traffico di rete in uscita senza intervenire sulle applicazioni. È possibile utilizzare i criteri per contrassegnare il traffico in uscita con un valore DSCP (Differentiated Services Code Point), in modo che i router impostino le priorità, oppure lasciare che Windows Vista definisca la quantità di traffico in uscita, indipendentemente dalla configurazione dei router. La combinazione di entrambe le tecniche consente di ottenere una flessibilità ancora maggiore. Nella Figura 5 è illustrata la creazione di un criterio di QoS.

Figura 5 Creazione di un criterio di QoS

Figura 5** Creazione di un criterio di QoS **(Fare clic sull'immagine per ingrandirla)

Scalabilità per le aziende e oltre

Nelle organizzazioni di livello aziendale è spesso viva la preoccupazione per i problemi di scalabilità nel supporto delle reti esistenti. È possibile, ad esempio, che gli indirizzi IP disponibili inizino a scarseggiare, specialmente quando per esigenze aziendali si introducono in rete più dispositivi per ciascun utente, ad esempio computer e altri dispositivi portatili come gli Smartphone. Allo stesso modo, se da un lato la prospettiva di fornire ulteriori servizi di rete come IPsec può allettare, dall'altro non è possibile ignorare l'impatto sul carico della CPU. I problemi di scalabilità della rete sono stati risolti in Windows Vista con il supporto di IPv6 e delle funzionalità di scarico sull'hardware.

Per risolvere i problemi causati dalla quantità limitata di indirizzi IPv4 pubblici, molti enti governativi, ISP e altre organizzazioni stanno passando a IPv6, la nuova versione del protocollo di rete alla base di Internet. Windows Vista supporta sia IPv4 che IPv6, grazie a un'architettura dello stack IP a due livelli. IPv6 è attivato per impostazione predefinita e il supporto dello stack a due livelli consente di eseguire una migrazione graduale, utilizzando le tecnologie di transizione di IPv6 per il tunneling del traffico IPv6 su una rete privata IPv4 o su Internet. Windows Vista supporta in modo nativo le reti private virtuali (VPN) basate su PPPv6 e L2TP/IPv6 (Layer 2 Tunneling Protocol), consentendo agli utenti di accesso remoto di sfruttare i vantaggi delle reti IPv6.

Windows Vista supporta inoltre lo scarico dell'elaborazione del traffico di rete su schede di rete specializzate. IPv6 e TCP Chimney Offload sono tra le nuove funzionalità di scarico disponibili. Le innovazioni dell'architettura consentono di ottimizzare prestazioni e velocità di trasferimento dei dati in rete, in modo da sfruttare al meglio i vantaggi operativi rappresentati dalle reti ad alta velocità odierne. L'utilizzo di schede di rete hardware compatibili consente di eliminare i colli di bottiglia dell'elaborazione dei pacchetti in rete, come overhead della CPU e larghezza di banda della memoria disponibile, senza apportare modifiche alle applicazioni o agli strumenti di gestione della rete esistenti.

Lo stack di rete supporta inoltre RSS (Receive-Side Scaling), che consente di bilanciare le connessioni di rete in ingresso in modo che il carico venga distribuito su più processori o core, eliminando i potenziali colli di bottiglia dell'elaborazione dei pacchetti in rete.

Riepilogo

Windows Vista rappresenta la novità più significativa dai tempi di Windows 95 per le funzionalità di rete di Windows. Per gli utenti che viaggiano spesso sarà più facile utilizzare tutte le funzioni delle reti wireless e cablate. Il trasferimento dei file risulterà più veloce con il nuovo stack di rete a ottimizzazione automatica. Le aziende apprezzeranno senza dubbio la riduzione dei rischi, con una protezione migliorata dalle minacce introdotte da utenti mobili e wireless. Gli amministratori di sistema troveranno in Windows Vista strumenti di gestione di facile utilizzo, con la possibilità di creare criteri di protezione a un livello di granularità maggiore per il traffico di rete e ottenere un QoS migliore per le applicazioni strategiche. Le nuove funzioni consentono in definitiva di ottenere maggiori vantaggi dall'infrastruttura di rete esistente, riducendo al minimo il lavoro di amministrazione e massimizzando la produttività dell'utente finale.

Ulteriori riferimenti

Jason Leznek è Senior Product Manager di Windows Vista Networking e lavora per Microsoft da oltre dieci anni, dove è stato Product Manager di Windows Server Update Services and Group Policy prima di entrare a far parte del team di Windows Vista. In precedenza ha lavorato per circa sette anni sul campo collaborando con i clienti aziendali di Microsoft.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.