Controllo della protezioneConfigurazione guidata della protezione

John Morello

Le informazioni contenute in questo articolo sono relative a una versione non definitiva di Windows Server "Longhorn" e sono soggette a modifica.

Garantire la protezione avanzata dei server in modo efficiente e coerente rappresenta una delle principali problematiche che la maggior parte delle organizzazioni IT deve affrontare, in particolare quelle con un numero elevato di computer distribuiti su numerosi confini geografici e organizzativi. Se la protezione avanzata di un singolo server può essere un'attività relativamente semplice per un amministratore esperto, la protezione avanzata di decine, centinaia o

persino migliaia di server può risultare un processo piuttosto difficoltoso. Nel corso degli anni, molte organizzazioni hanno sviluppato standard ed elenchi di controllo interni per la protezione dei server o hanno adottato le indicazioni fornite da Microsoft, dall'istituto NIST (National Institute of Standards and Technology) o da altre parti esterne. Sebbene possa risultare estremamente utile, questa documentazione da sola non è sufficiente a garantire la corretta implementazione da parte delle organizzazioni di tali procedure consigliate sulle rispettive reti. Numerose organizzazioni si sono pertanto trovate davanti alla necessità di decidere se adottare le impostazioni di installazione predefinite oppure investire una quantità significativa di tempo e risorse per creare script o criteri personalizzati per la protezione avanzata dei sistemi.

Grazie all'introduzione della Configurazione guidata impostazioni di sicurezza (SCW, Security Configuration Wizard) in Windows Server® 2003 Service Pack 1 (SP1), attualmente Microsoft fornisce un metodo semplice e supportato per la protezione avanzata dei server e la riduzione della relativa superficie di attacco in base ai ruoli svolti dai server. Combinando i vantaggi della Configurazione guidata impostazioni di sicurezza con le funzionalità di distribuzione e gestione centralizzate di Criteri di gruppo, la Configurazione guidata impostazioni di sicurezza garantisce le caratteristiche di scalabilità necessarie a soddisfare le esigenze delle organizzazioni IT di maggiori dimensioni. Nell'articolo di questo mese verrà illustrato il modo in cui le organizzazioni IT possono utilizzare la Configurazione guidata impostazioni di sicurezza e Criteri di gruppo per gestire i server in modo più sicuro e coerente, riducendo nel contempo i costi operativi e di distribuzione.

Introduzione a Configurazione guidata impostazioni di sicurezza

Configurazione guidata impostazioni di sicurezza è un componente facoltativo, installato tramite il pulsante del Pannello di controllo Installazione componenti di Windows®, disponibile in tutti i membri della famiglia di Windows Server 2003 SP1, compreso Windows Server 2003 R2. Un amministratore deve innanzitutto eseguire Configurazione guidata impostazioni di sicurezza su un server di destinazione per identificare i ruoli svolti da tale server. Configurazione guidata impostazioni di sicurezza guida quindi l'amministratore nel processo di creazione di un criterio di protezione, che consente di garantire la protezione avanzata del computer mediante uno schema basato sul principio dei privilegi minimi. In altri termini, Configurazione guidata impostazioni di sicurezza garantisce che siano disponibili solo i servizi, le funzionalità delle applicazioni e le porte necessari per il funzionamento dei ruoli specifici. Tutti gli elementi non necessari per i ruoli svolti dal server vengono disattivati. Questo approccio consente di ridurre la superficie di attacco del server di destinazione. L'esecuzione di servizi non necessari per il ruolo svolto dal server determina un incremento dell'esposizione del server ai rischi, senza ottenere alcun vantaggio in termini di capacità o funzionalità. La disattivazione di questi servizi consente di ridurre i livelli di rischio e di migliorare le prestazioni del server.

Sebbene Microsoft abbia introdotto notevoli miglioramenti in termini di protezione con Windows Server 2003, riducendo significativamente la superficie di attacco globale rispetto alle precedenti versioni di Windows Server, questo sistema operativo non è stato creato sulla base della stessa architettura strutturata in componenti di Windows Vista™ e della prossima versione di Windows Server, nome in codice "Longhorn". È possibile pertanto che in un'installazione predefinita di Windows Server 2003 siano attivati e vengano eseguiti servizi non necessari per tutte le configurazioni dei ruoli dei server. Il servizio Spooler di stampa, ad esempio, è attivato per impostazione predefinita ma non è necessario per un computer utilizzato solo come server di database.

Implementazione della protezione basata sui ruoli

Nel corso degli ultimi anni Microsoft ha rilasciato un'estesa documentazione incentrata sulla protezione, che consente agli amministratori di determinare quali servizi sono necessari nei diversi ruoli dei server e fornisce modelli predefiniti per i ruoli noti, come i server Web. Tuttavia, l'implementazione in ambienti di grandi dimensioni di indicazioni come quelle riportate nella Guida alla protezione di Windows Server 2003 può rivelarsi piuttosto difficoltosa, in particolare quando le applicazioni utilizzate in questi ambienti sono più complesse delle installazioni di base di IIS o SQL Server. La situazione viene ulteriormente complicata dalle innumerevoli applicazioni di terze parti utilizzate nelle organizzazioni, molte delle quali hanno dipendenze da più ruoli dei server e i cui requisiti di applicazione e servizio non sono sempre ben definiti.

Configurazione guidata impostazioni di sicurezza fa fronte a questi problemi incapsulando tutte le informazioni e le procedure consigliate relative alle dipendenze contenute nelle guide all'interno di una procedura guidata destinata agli amministratori. Se, ad esempio, un amministratore intende distribuire una nuova applicazione line-of-business (LOB) che richiede sia SQL Server™ che IIS, non dovrà più sprecare tempo prezioso per setacciare la Guida alla protezione e sviluppare un elenco di dipendenze personalizzate. Potrà invece installare l'applicazione sul server e avviare Configurazione guidata impostazioni di sicurezza. Configurazione guidata impostazioni di sicurezza è in grado di rilevare i servizi in esecuzione e presentare all'amministratore un elenco di ruoli da selezionare per il server. A seconda della selezione effettuata dall'amministratore, Configurazione guidata impostazioni di sicurezza genererà un criterio che consentirà di disattivare tutti i servizi non richiesti dalla matrice di dipendenze per i ruoli. Configurazione guidata impostazioni di sicurezza prevede inoltre opzioni per la protezione avanzata del Registro di sistema, il blocco delle comunicazioni di rete non necessarie e l'applicazione di un criterio di controllo efficace. Dopo aver eseguito Configurazione guidata impostazioni di sicurezza, l'amministratore può salvare il criterio di Configurazione guidata impostazioni di sicurezza come file XML e applicarlo a qualsiasi altro server che esegue la stessa applicazione LOB.

L'esecuzione di Configurazione guidata impostazioni di sicurezza offre quindi tre vantaggi significativi rispetto agli approcci tradizionali alla protezione di Windows Server. Innanzitutto, consente di ridurre notevolmente (se non di eliminare) la necessità di consultare di continuo la documentazione del prodotto per determinare i servizi e le impostazioni necessari per un determinato carico di lavoro. Queste informazioni sono incorporate in Configurazione guidata impostazioni di sicurezza e l'interfaccia basata su domande semplifica l'immissione da parte dell'amministratore dei dettagli necessari. Inoltre, Configurazione guidata impostazioni di sicurezza consolida le indicazioni per numerose aree, tra cui la protezione avanzata, la riduzione della superficie di attacco della di rete, la protezione avanzata dei servizi LDAP e SMB e il blocco di IIS. L'esecuzione di queste attività di configurazione richiedeva in precedenza l'utilizzo di utilità separate, a ciascuna delle quali erano associati una specifica interfaccia e un determinato approccio. Infine, poiché le impostazioni di Configurazione guidata impostazioni di sicurezza vengono conservate in un file di criteri XML, è possibile utilizzarla in scenari di tipo "create once, apply many" (creare una sola volta, applicare più volte). Indipendentemente dal numero di server che si distribuiscono per supportare una specifica applicazione LOB, è possibile applicare lo stesso criterio di Configurazione guidata impostazioni di sicurezza a tutti i server. Questa capacità garantisce una maggiore coerenza delle impostazioni di protezione, assicura la riduzione dei costi operativi e consente di semplificare il rollback dei criteri di Configurazione guidata impostazioni di sicurezza.

Componenti di Configurazione guidata impostazioni di sicurezza

Considerate tutte le funzionalità e i vantaggi che offre, Configurazione guidata impostazioni di sicurezza è in realtà uno strumento piuttosto semplice costituito da tre elementi principali: interfaccia della procedura guidata, interfaccia a riga di comando e database di configurazione della protezione (SCD, Security Configuration Database). Gli amministratori in aziende di piccole o medie dimensioni potrebbero avere l'esigenza di interagire solo con l'interfaccia della procedura guidata. In ambienti di maggiori dimensioni o più complessi, gli amministratori possono utilizzare l'interfaccia a riga di comando per automatizzare le attività di Configurazione guidata impostazioni di sicurezza, come la trasformazione di un criterio di Configurazione guidata impostazioni di sicurezza in un oggetto Criteri di gruppo. Solo gli amministratori avanzati che desiderano creare ruoli di Configurazione guidata impostazioni di sicurezza personalizzati modificheranno il database di configurazione della protezione.

L'interfaccia della procedura guidata, illustrata nella Figura 1, consente agli amministratori di creare, modificare, applicare ed eseguire il rollback delle impostazioni di protezione su un server di destinazione. In questa interfaccia le opzioni disponibili agli amministratori vengono presentate in un flusso di lavoro coerente, che prevede anzitutto l'analisi dei servizi e delle impostazioni, quindi della connettività di rete e dei criteri di controllo della protezione e, infine, delle impostazioni di IIS.

Figura 1 Interfaccia di Configurazione guidata impostazioni di sicurezza

Figura 1** Interfaccia di Configurazione guidata impostazioni di sicurezza **(Fare clic sull'immagine per ingrandirla)

L'interfaccia a riga di comando di Configurazione guidata impostazioni di sicurezza fornisce tre funzioni di base. Consente agli amministratori di analizzare e configurare più server (in locale o in remoto) e di eseguire il rollback dei criteri. Consente di convertire automaticamente un criterio di Configurazione guidata impostazioni di sicurezza basato su XML in un oggetto Criteri di gruppo che può essere utilizzato in modo nativo negli strumenti di gestione standard degli oggetti Criteri di gruppo, come la console Gestione Criteri di gruppo. Infine, lo strumento a riga di comando di Configurazione guidata impostazioni di sicurezza illustrato nella Figura 2 viene utilizzato per registrare tutte le nuove estensioni del database di configurazione della protezione.

Figura 2 Strumento a riga di comando di Configurazione guidata impostazioni di sicurezza

Figura 2** Strumento a riga di comando di Configurazione guidata impostazioni di sicurezza **(Fare clic sull'immagine per ingrandirla)

Il database di configurazione della protezione è semplicemente un insieme di file XML che descrivono in modo dettagliato gli specifici servizi e impostazioni, necessari per ciascun ruolo di Configurazione guidata impostazioni di sicurezza. Questi file sono nella directory %windir%\security\msscw\kbs. Per impostazione predefinita, Configurazione guidata impostazioni di sicurezza viene fornita con una serie di ruoli Windows Server di base e 12 ruoli applicazione predefiniti, tra cui: BizTalk®, Commerce Server, Exchange Server, Host Integration Server, Internet Security and Acceleration Server, Microsoft Identity Integration Server, Microsoft Operations Manager, Small Business Server, SharePoint® Portal Server, SharePoint Team Services, SQL Server e Systems Management Server. Ciascun ruolo dispone di un proprio file XML (vedere la Figura 3). Ogni volta che viene creata una nuova definizione di ruolo, il file XML corrispondente viene posizionato in questa directory. I file sono in formato XML standard e possono essere letti in qualsiasi visualizzatore di testo o altra applicazione che supporti il formato XML (vedere la Figura 4).

Figura 3 Ruoli predefiniti

Figura 3** Ruoli predefiniti **(Fare clic sull'immagine per ingrandirla)

Figura 4 File di configurazione dei ruoli

Figura 4** File di configurazione dei ruoli **(Fare clic sull'immagine per ingrandirla)

Combinazione di Configurazione guidata impostazioni di sicurezza e di Criteri di gruppo

Configurazione guidata impostazioni di sicurezza, utilizzata singolarmente, si è rivelata uno strumento straordinario, ma le sue reali potenzialità emergono completamente solo quando utilizzata in combinazione con Criteri di gruppo. A partire dal rilascio di Windows® 2000, i consigli di Microsoft per la protezione dei server di Windows si sono incentrati sull'utilizzo di Criteri di gruppo, al fine di garantire l'applicazione coerente, persistente e gestita centralmente dei criteri. Raggruppando i server in unità organizzative basate sui relativi ruoli, gli amministratori sono in grado di distribuire le configurazioni della protezione standard in tutta l'organizzazione piuttosto che a livello del singolo computer. Basandosi sulla logica dell'applicazione e sull'accumulo di Criteri di gruppo standard, le organizzazioni possono progettare una gerarchia di ruoli dei server a più livelli in cui un numero ridotto di criteri master è in grado di garantire la protezione di centinaia o migliaia di singoli server. Quando ruoli di server univoci richiedono una variazione rispetto ai criteri master, è possibile creare criteri differenziali basati sui ruoli di minori dimensioni al livello più prossimo ai server all'interno della gerarchia di unità organizzative. Questo consente di apportare modifiche di entità minima per attivare funzionalità specifiche dei ruoli senza duplicare tutti i criteri master, un approccio che offre alle organizzazioni di grandi dimensioni i vantaggi di un criterio gestito in modo centralizzato oltre alla flessibilità di adattarsi, quando necessario, ai requisiti di specifiche applicazioni.

Tuttavia, tradurre in realtà un approccio di questo tipo rappresenta una vera e propria sfida per le organizzazioni. Per le organizzazioni di grandi dimensioni con un'ampia gamma di applicazioni e ruoli di server, la creazione del gruppo appropriato di criteri risulta un'attività difficoltosa e dispendiosa in termini di tempo, almeno così era prima dell'introduzione di Configurazione guidata impostazioni di sicurezza. Utilizzando Configurazione guidata impostazioni di sicurezza per generare criteri e associando tali criteri all'unità organizzativa appropriata, è possibile ridurre il tempo necessario per distribuire la protezione basata sui ruoli e ospitata da directory sia per i carichi di lavoro esistenti che per quelli eventualmente impiegati in futuro. Per illustrare in maniera più efficace in che modo un'organizzazione potrebbe conseguire tale obiettivo, si esaminerà l'implementazione in un'azienda di grandi dimensioni di Configurazione guidata impostazioni di sicurezza e degli oggetti di Criteri di gruppo basati sui ruoli.

Implementazione di Configurazione guidata impostazioni di sicurezza nell'ambiente aziendale

Ai fini dell'esempio, verrà utilizzata la rete fittizia di Contoso. Contoso dispone di un'azienda IT di grandi dimensioni, complessa e distribuita su una vasta area geografica. Per ridurre i costi operativi e migliorare la protezione dei relativi server, Contoso segue le indicazioni di Microsoft per la creazione di una gerarchia di unità organizzative basata sui ruoli che separa e organizza i server in base al carico di lavoro. Per creare i criteri da associare a queste unità organizzative, Contoso utilizza Configurazione guidata impostazioni di sicurezza.

Poiché Configurazione guidata impostazioni di sicurezza non è installata per impostazione predefinita, Contoso deve specificamente attivare il componente Configurazione guidata impostazioni di sicurezza nella relativa immagine dell'installazione automatica. A tal fine, aggiunge una nuova riga, SCW=On, alla sezione [Componenti] del file Unattend.txt. Successivamente, durante il processo di installazione il componente Configurazione guidata impostazioni di sicurezza verrà automaticamente installato in tutti i nuovi sistemi creati con questa immagine. La semplice configurazione di Configurazione guidata impostazioni di sicurezza per l'installazione non comporta l'applicazione di alcun criterio ai computer durante il relativo processo di creazione.

Per applicare un criterio predefinito durante il processo di installazione, Contoso modifica la sezione [Comandi] del file cmdlines.txt nell'immagine per chiamare scwcmd con le opzioni seguenti:

scwcmd configure /p:ContosoBaselinePolicy.xml 

È necessario che sia il file di testo che il file XML risiedano nella directory $OEM$ dell'immagine. Perché applicare un criterio di base in fase di creazione anziché utilizzare semplicemente il criterio associato all'unità organizzativa di primo livello all'interno della directory? Con l'applicazione di un criterio in fase di creazione, Contoso sarà in grado di assicurare un criterio di base coerente, indipendentemente dall'appartenenza di un computer a un dominio Active Directory®. Se, ad esempio, un server viene creato a scopo di testing, l'applicazione del criterio di base durante il processo di creazione garantisce che il criterio soddisfi almeno i criteri di protezione standard dell'organizzazione, anche se non è stato mai aggiunto all'ambiente Active Directory di produzione. Se il server viene in seguito aggiunto ad Active Directory, l'applicazione Criteri di gruppo e l'algoritmo di precedenza sostituiranno le impostazioni locali con quelle configurate a livello di dominio o unità organizzativa (l'ordine di precedenza per l'applicazione dei criteri è locale, sito, dominio, unità organizzativa).

Dopo l'installazione di Configurazione guidata impostazioni di sicurezza, Contoso può iniziare a creare il criterio di base. Il criterio di base viene in genere distribuito al livello superiore della gerarchia di unità organizzative per la protezione basata sui ruoli e rappresenta il criterio più restrittivo della gerarchia. Lo scopo consiste nel disporre di un'impostazione predefinita che garantisca il massimo livello di protezione e nel rendere disponibili solo i servizi e le porte per i singoli carichi di lavoro richiesti dai ruoli dei server. A tal fine, è consigliabile creare il criterio di base utilizzando un normale server, creato di recente, aggiungendo l'insieme di strumenti e utilità di gestione standard di Contoso ed eseguendo Configurazione guidata impostazioni di sicurezza su tale server. Una volta completata l'installazione di Windows di base, ad esempio, Contoso installa (manualmente o tramite il file cmdlines.txt) i relativi strumenti di monitoraggio, gestione backup e antivirus standard sul server. Poiché ciascuno di questi strumenti comporta la creazione dei rispettivi servizi Windows, la disponibilità degli strumenti sul server prima di creare il criterio di base consente a Configurazione guidata impostazioni di sicurezza di riconoscerli durante la fase di blocco dei servizi.

Una volta creato il server, Contoso esegue Configurazione guidata impostazioni di sicurezza. È possibile eseguire Configurazione guidata impostazioni di sicurezza in modalità locale o remota, da parte di un membro del gruppo Administrators locale sul computer. Se eseguita in remoto, la configurazione guidata delle impostazioni di sicurezza consente di specificare l'account utente con cui deve essere eseguita sull'host remoto. Se viene eseguita in locale, è possibile utilizzare runas.exe per ottenere lo stesso risultato. La prima attività eseguita da Configurazione guidata impostazioni di sicurezza prevede la valutazione dei servizi eseguiti sul computer locale e la visualizzazione dei ruoli già installati (vedere la Figura 5).

Figura 5 Selezione e visualizzazione dei ruoli del server

Figura 5** Selezione e visualizzazione dei ruoli del server **(Fare clic sull'immagine per ingrandirla)

È consigliabile non selezionare alcun ruolo sul server di base di Contoso in quanto il computer è progettato per essere in uno stato caratterizzato da restrizioni elevate. Una volta selezionati i ruoli svolti dal server, la fase successiva prevede l'identificazione delle funzioni client necessarie in modo da attivare funzionalità come Aggiornamenti automatici, Active Directory o il client FTP. Per la maggior parte delle organizzazioni, l'accettazione delle impostazioni predefinite di Configurazione guidata impostazioni di sicurezza (come illustrato nella Figura 6) consente di utilizzare importanti funzionalità, come la capacità di far parte di un dominio, mentre impedisce l'impiego di funzionalità meno critiche, come il client FTP.

Figura 6 Funzionalità installate

Figura 6** Funzionalità installate **(Fare clic sull'immagine per ingrandirla)

Configurazione guidata impostazioni di sicurezza consente quindi agli utenti di specificare quali strumenti amministrativi e servizi non predefiniti rendere disponibili per l'utilizzo. Le opzioni relative ai servizi non predefiniti consentono di specificare il motivo per cui eseguire Configurazione guidata impostazioni di sicurezza dopo l'installazione degli strumenti standard per la gestione dei server di Contoso. Dopo aver installato il programma antivirus, gli strumenti di backup e le applicazioni correlate, Configurazione guidata impostazioni di sicurezza sarà in grado di riconoscere tali servizi e pertanto includerli nelle impostazioni dei criteri.

L'ultima domanda nella sezione relativa alla protezione avanzata riguarda la modalità con cui gestire i servizi non specificati. I servizi non specificati sono i servizi che potrebbero essere installati in altri computer a cui viene applicato il criterio di Configurazione guidata impostazioni di sicurezza, anche se non vengono eseguiti sul computer su cui il criterio è stato originariamente creato. Se, ad esempio, il criterio di base viene applicato a un nuovo server con una nuova applicazione di terze parti, tutti i servizi installati da tale applicazione verranno gestiti in base alla scelta effettuata in questa fase dall'amministratore. Configurazione guidata impostazioni di sicurezza consente all'amministratore di scegliere di non modificare la modalità di avvio del servizio o di disattivare il servizio. Disattivato è l'opzione che garantisce il massimo livello di protezione, ma deve essere utilizzata con cautela in quanto non potranno essere eseguiti tutti i servizi dei quali non è esplicitamente consentita l'esecuzione. Questa opzione è più adatta ad ambienti ben gestiti e a protezione elevata. Per le altre parti di un'organizzazione, è consigliabile scegliere di non modificare la modalità di avvio. Questa è stata pertanto l'opzione scelta nell'esempio di Contoso. Prima di completare la fase delle attività di Configurazione guidata impostazioni di sicurezza, che prevede la protezione avanzata, viene visualizzato un report che informa l'amministratore dei servizi che verranno modificati.

Una volta completata questa fase, Configurazione guidata impostazioni di sicurezza fornisce le opzioni per la limitazione dell'accesso alla rete in ingresso. Analogamente all'elenco dei servizi richiesti per un determinato ruolo, viene incluso nel database XML di Configurazione guidata impostazioni di sicurezza anche l'elenco delle porte necessarie per uno specifico carico di lavoro.

Gli amministratori possono configurare porte aggiuntive in base alle esigenze e creare regole di porta per ogni servizio, come illustrato nella Figura 7. Per il server di base di Contoso, devono essere consentiti solo i servizi di base, come Desktop remoto. Tutte le altre eccezioni saranno configurate nei criteri basati sui ruoli al livello inferiore della gerarchia di unità organizzative.

Figura 7 Visualizzazione e utilizzo delle porte

Figura 7** Visualizzazione e utilizzo delle porte **(Fare clic sull'immagine per ingrandirla)

Configurazione guidata impostazioni di sicurezza consente quindi all'amministratore di selezionare le opzioni del Registro di sistema, come la firma del traffico di file e di stampa. Ancora una volta, nella configurazione di base è consigliabile selezionare le impostazioni predefinite che definiscono il livello di protezione più elevato.

Il gruppo successivo di opzioni riguarda il criterio di controllo del sistema. Nella maggior parte dei sistemi, è consigliabile selezionare l'opzione Controlla operazioni riuscite, poiché il controllo di tutte le attività richiede l'utilizzo di un maggior numero di risorse del processore e determina la generazione di una quantità significativa di dati nel registro di controllo. Se si sospetta un attacco o è necessaria un'analisi più dettagliata, sarà possibile abilitare il controllo delle operazioni non riuscite sul computer specifico.

Infine, Configurazione guidata impostazioni di sicurezza presenterà all'amministratore le opzioni per la protezione avanzata di IIS. Queste opzioni sono simili a quelle disponibili nello strumento IIS Lockdown e sono ora integrate direttamente nei criteri di Configurazione guidata impostazioni di sicurezza.

Una volta completati tutti i passaggi, viene chiesto all'amministratore di salvare il file XML. Il file salvato deve essere convertito in un formato riconosciuto in modo nativo da Criteri di gruppo. Per convertire il file XML salvato in un oggetto Criteri di gruppo viene utilizzato il file scwcmd.exe. Ecco il comando da immettere:

scwcmd transform /p:ContosoPolicy.xml /g:ContosoBaselineSecurityPolicy 

Il criterio viene automaticamente creato in Active Directory e può essere associato al livello superiore della gerarchia di unità organizzative per la protezione avanzata basata sui ruoli di Contoso.

Una volta applicato il criterio al livello superiore della gerarchia, qualsiasi computer aggiunto alla gerarchia di unità organizzative erediterà le relative impostazioni. Quando viene aggiunto un computer che richiede la modifica di questo criterio, ad esempio un server IIS che richiede che sia in esecuzione il servizio W3SVC, gli amministratori di Contoso eseguono di nuovo Configurazione guidata impostazioni di sicurezza per il nuovo ruolo del server, convertono il nuovo criterio in un oggetto Criteri di gruppo e associano l'oggetto Criteri di gruppo a una nuova unità organizzativa secondaria che contiene il server. Poiché ha la precedenza l'oggetto Criteri di gruppo più vicino al server, il risultato finale sarà l'applicazione di tutte le impostazioni di base, eccetto quelle che richiedono l'implementazione di determinate modifiche per attivare la funzionalità del ruolo desiderata per la specifica unità organizzativa (vedere la Figura 8).

Figura 8 Applicazione di criteri nell'ambiente di Contoso

Figura 8** Applicazione di criteri nell'ambiente di Contoso **(Fare clic sull'immagine per ingrandirla)

La potenzialità reale di questo approccio emerge con maggiore chiarezza nelle organizzazioni di grandi dimensioni o in caso di distribuzione di un numero elevato di server. Dopo aver creato il criterio iniziale di Configurazione guidata impostazioni di sicurezza e averlo associato a un'unità organizzativa, i server successivi dovranno essere semplicemente aggiunti a tale unità organizzativa in modo da ereditare automaticamente il criterio di protezione appropriato. Pertanto, dopo che il gruppo di criteri iniziale è stato creato e aggiunto ad Active Directory, la distribuzione di nuovi server o la sostituzione di quelli esistenti diventa un processo rapido e semplice.

Sviluppi futuri

Nella versione di Windows Server "Longhorn", il sistema operativo è stato completamente strutturato in componenti, determinando la riduzione della superficie di attacco. Anziché incentrarsi sul blocco dell'installazione predefinita minima, gli amministratori utilizzeranno lo strumento Server Manager per aggiungere i ruoli e i carichi di lavoro necessari su ciascun server. Server Manager funziona in modo molto simile a Configurazione guidata impostazioni di sicurezza, poiché dispone di un database di dipendenze interno che consente al programma di installazione di aggiungere solo le funzionalità necessarie per fornire il servizio di ruolo desiderato. Inoltre, la protezione basata sui ruoli e gestita a livello centrale mediante l'uso di Criteri di gruppo, come illustrato nel presente articolo, viene ulteriormente migliorata grazie al set notevolmente più esteso delle funzionalità controllate dagli oggetti Criteri di gruppo. In breve, Windows Server "Longhorn" migliora il concetto alla base di Configurazione guidata impostazioni di sicurezza grazie alla garanzia di una maggiore flessibilità e all'adozione di un approccio che mira ad aumentare le condizioni di sicurezza.

Risorse della Configurazione guidata impostazioni di sicurezza

Nelle pagine Web seguenti vengono fornite le informazioni necessarie per iniziare a utilizzare la Configurazione guidata impostazioni di sicurezza:

John Morello si è laureato con lode presso la LSU e lavora in Microsoft da sei anni ricoprendo diversi ruoli. Come consulente senior, ha progettato soluzioni di protezione per le aziende Fortune 100 nonché per i clienti della difesa e civili americani. Attualmente è Senior Program Manager presso il gruppo Windows Server e si dedica alle tecnologie di protezione e accesso remoto.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.