• Articolo

Controllo della protezioneUtilizzo di Configurazione guidata impostazioni di sicurezza in Windows Server 2008

Jesper M. Johansson

Questo articolo è basato su una versione non definitiva di Windows Server 2008. Tutte le informazioni riportate sono soggette a modifica.

Nel 2005 Microsoft ha rilasciato Windows Server 2003 SP1. Con il Service Pack è stato introdotto il primo strumento di gestione della protezione basato sui ruoli per Windows: Configurazione guidata impostazioni di sicurezza. Microsoft ha progettato Configurazione guidata impostazioni di sicurezza anzitutto e soprattutto come strumento di riduzione della superficie di attacco. Lo scopo dello strumento consisteva nell'analizzare le operazioni eseguite

con il computer e configurare automaticamente il supporto dei ruoli necessari, disattivando invece i ruoli e i servizi non utilizzati.

In Windows Server® 2008 Configurazione guidata impostazioni di sicurezza è stato confermato e aggiornato con nuovi ruoli e con l'integrazione con il nuovo Windows® Firewall. Tuttavia, resta lo strumento di amministrazione avanzato che è sempre stato.

In Windows Server 2008 sono disponibili anche uno strumento simile, Server Manager, basato sui ruoli e le procedure guidate per l'aggiunta di ruoli e funzionalità. In Windows Server 2008 invece di aggiungere i singoli componenti tramite Installazione componenti di Windows nel Pannello di controllo, ora è possibile utilizzare gli strumenti di gestione dei ruoli per configurare il server. Byron Hynes descrive questi strumenti nell'articolo "Configurazione dei ruoli con Server Manager" in questo numero di TechNet Magazine.

Le procedure guidate per l'aggiunta di ruoli e funzionalità sono state progettate per configurare il server con i componenti corretti per supportare i ruoli scelti. Con le procedure guidate si configura anche il firewall incorporato in modo che i ruoli funzionino in modo corretto. Detto questo, viene da chiedersi a cosa serva ancora Configurazione guidata impostazioni di sicurezza. Di certo molti amministratori non utilizzeranno più Configurazione guidata impostazioni di sicurezza. Tuttavia, esistono due gruppi di persone per cui Configurazione guidata impostazioni di sicurezza resta uno strumento di inestimabile utilità. Il primo è il gruppo dei paranoici della protezione. Si tratta di persone che apprezzano molto il modo in cui Configurazione guidata impostazioni di sicurezza affronta il problema della protezione.

È possibile immaginare le procedure guidate di aggiunta di ruoli e funzionalità come a strumenti che acquisiscono un server predefinito e lo configurano in modo da supportare i ruoli e le funzioni desiderate per la protezione. Configurazione guidata impostazioni di sicurezza, d'altra parte, è lo strumento che configura il server in modo che supporti solo i ruoli e le funzionalità desiderate. Inoltre Configurazione guidata impostazioni di sicurezza ha un effetto pedagogico, poiché aiuta a comprendere meglio le modalità di configurazione dei server. È dunque consigliabile eseguire Configurazione guidata impostazioni di sicurezza dopo che il server è stato configurato con il necessario complemento di ruoli e funzionalità.

Il secondo gruppo di persone è costituito dagli utenti che desiderano comprendere le relazioni tra i vari componenti. Configurazione guidata impostazioni di sicurezza è dotato di una serie di file XML che documentano le relazioni tra ruoli e funzionalità, servizi e porte della rete. Chi è interessato a comprendere cosa è necessario per i vari componenti, considera Configurazione guidata impostazioni di sicurezza uno strumento molto valido.

Nell'articolo si descriverà il funzionamento di Configurazione guidata impostazioni di sicurezza e gli utilizzi possibili per la protezione del server. Verrà inoltre proposto un confronto tra Configurazione guidata impostazioni di sicurezza e gli strumenti di Server Manager. L'articolo è tratto dal mio libro Windows Server 2008 Security Resource Kit (Microsoft Press®, 2008).

Panoramica su Configurazione guidata impostazioni di sicurezza

Per iniziare, è utile presentare alcune statistiche sulla superficie di attacco in Windows Server 2008. Prima che si configuri un server, aggiungendo la propria selezione personale di ruoli e funzionalità, il sistema operativo presenta ancora una superficie abbastanza significativa. Per impostazione predefinita, in Windows Server 2008 vengono utilizzati 105 servizi, 42 dei quali sono impostati in modo da essere avviati automaticamente, 55 sono manuali e 8 sono disattivati. È possibile confrontare questi numeri con un'installazione pulita di Windows Server 2003 R2 SP2, che prevede 86 servizi installati per impostazione predefinita, 34 dei quali vengono avviati automaticamente, 32 richiedono un avvio manuale e 20 sono disattivati.

Anche con il supporto di metafora dei ruoli e riduzione nei ruoli predefiniti, Windows Server 2008 presenta ancora una superficie maggiore e richiede ulteriore attenzione nella progettazione della protezione avanzata dei server. Configurazione guidata impostazioni di sicurezza consente di creare una configurazione di protezione personalizzata per i propri server.

L'approccio adottato da Configurazione guidata impostazioni di sicurezza per la protezione avanzata dei server è completamente diverso rispetto agli strumenti esistenti. Viene utilizzata la metafora dei ruoli per configurare il sistema in modo che supporti i ruoli desiderati e poco, o nulla, altro. Come le procedure guidate per l'aggiunta di ruoli e funzionalità, Configurazione guidata impostazioni di sicurezza aiuta a configurare il firewall, ma inoltre consente di disattivare i servizi inutili e configurare alcune impostazioni di protezione aggiuntive. Infine, mentre con le procedure guidate per l'aggiunta di ruoli e funzionalità si possono installare e configurare solo i ruoli incorporati in Windows, Configurazione guidata impostazioni di sicurezza è estendibile. Uno sviluppatore o un amministratore può scrivere un ruolo o un file di configurazione della funzionalità personalizzato e utilizzare Configurazione guidata impostazioni di sicurezza per configurare qualsiasi prodotto.

Configurazione guidata impostazioni di sicurezza è stata progettata per un utilizzo successivo all'installazione di tutti i ruoli e le funzionalità che il server deve contenere. Se sul server sono presenti anche applicazioni di terze parti, è necessario installare anche queste prima di eseguire Configurazione guidata impostazioni di sicurezza.

Per dimostrarne il funzionamento, è stato configurato un server con tre ruoli (Server applicazioni, Server DNS e Server Web) e due funzionalità (Funzionalità di Microsoft® .NET Framework 3.0 e Servizio Attivazione processo Windows). Non è una serie particolarmente logica di ruoli e funzionalità, ma costituisce un buon esempio per l'argomento dell'articolo.

Per eseguire la Configurazione guidata impostazioni di sicurezza, avviarla dal menu Strumenti di amministrazione. Verrà visualizzata la finestra di dialogo riportata nella Figura 1.

Figura 1 Configurazione guidata impostazioni di sicurezza chiede che operazione si desidera eseguire

Figura 1** Configurazione guidata impostazioni di sicurezza chiede che operazione si desidera eseguire **(Fare clic sull'immagine per ingrandirla)

La prima azione da eseguire è scegliere se si desidera creare un nuovo criterio di protezione, modificare o applicare un criterio esistente oppure eseguire il rollback di un criterio in modo da riconfigurare il sistema in base alle impostazioni originali. Le scelte disponibili si spiegano da sole.

Quando si sceglie di creare un nuovo criterio di protezione, Configurazione guidata impostazioni di sicurezza crea un nuovo criterio utilizzando un computer come modello per ciò che il criterio deve supportare. Il computer viene analizzato e vengono individuati i ruoli e le funzionalità che supporta, garantendo il funzionamento di questi ma anche la disattivazione di molte funzionalità inutili.

Configurazione guidata impostazioni di sicurezza funziona in base a un modello di prototipo. Utilizza dei file XML per specificare l'aspetto di ruoli e funzionalità, in termini di quali file vengono installati, quali servizi vengono configurati e così via. È per questo motivo che è necessario avere già installato tutto sul computer a fronte del quale si intende sviluppare i criteri. Se si utilizzano dei programmi di terze parti che durante la procedura di installazione installano delle definizioni di Configurazione guidata impostazioni di sicurezza, questi verranno integrati senza problemi. Tuttavia, se i programmi di terze parti non installano le definizioni di Configurazione guidata impostazioni di sicurezza, sarà necessario configurarli manualmente.

Come si può vedere, è possibile creare un criterio su un sistema e applicarlo quindi a molti altri sistemi. Quando si crea una rete con molti sistemi, è necessario definire prima le classi host che vengono tutte configurate separatamente. Dopo sarà possibile creare un criterio utilizzando un sistema come prototipo e applicare facilmente il criterio a tutti gli altri sistemi con nessuna o poche modifiche.

Quando si sceglie Avanti (nella finestra di dialogo nella Figura 1), la procedura guidata chiede quale computer si intende utilizzare come base o prototipo per il nuovo criterio. In genere come prototipo si sceglie il computer locale, ma è possibile anche utilizzare un computer remoto.

Dopo aver specificato il sistema da utilizzare, si passa alla fase di analisi. Configurazione guidata impostazioni di sicurezza raccoglie informazioni sui ruoli e le funzionalità installati, che confronta quindi con il database dei ruoli e delle funzionalità. Il database contiene informazioni relative ai servizi utilizzati da ciascun ruolo e funzionalità, alle porte di rete necessarie e altre importanti informazioni di configurazione. Al termine dell'analisi, è possibile scegliere Visualizza il database di configurazione per visualizzare i risultati trovati da Configurazione guidata impostazioni di sicurezza. Si tratta di una visualizzazione di sola lettura con le informazioni complete sulla configurazione del computer. In effetti, chi è davvero interessato a comprendere le funzionalità di un computer, potrebbe trascorrere alcune ore studiando queste informazioni.

Configurazione del server con Configurazione guidata impostazioni di sicurezza

Quando si fa clic su Avanti, si passa alla prima delle quattro sezioni di Configurazione guidata impostazioni di sicurezza: Configurazione dei servizi in base ai ruoli. I ruoli che si trovano in Configurazione guidata impostazioni di sicurezza, come illustrato nella Figura 2, non sono gli stessi che si trovano in Aggiunta guidata ruoli. La maggior parte dei ruoli disponibili in Aggiunta guidata ruoli sono anche presenti qui e Configurazione guidata impostazioni di sicurezza ne offre altri che non sono contenuti in Aggiunta guidata ruoli. Ad esempio, il ruolo Server applicazioni scelto non è presente, perché Configurazione guidata impostazioni di sicurezza utilizza una metafora leggermente diversa per i ruoli. Questo aspetto verrà esaminato in dettaglio tra breve.

Figura 2 Utilizzo di Configurazione guidata impostazioni di sicurezza per scegliere i ruoli che il server deve supportare

Figura 2** Utilizzo di Configurazione guidata impostazioni di sicurezza per scegliere i ruoli che il server deve supportare **(Fare clic sull'immagine per ingrandirla)

Nella finestra di dialogo spesso sarà disponibile l'insieme di ruoli corretto già selezionato. Quindi è sufficiente verificare che l'analisi abbia trovato quanto previsto. In caso di problemi, verificare se il ruolo è stato installato e, se manca, installarlo prima di rieseguire Configurazione guidata impostazioni di sicurezza. Se si fa un errore, non è il caso di allarmarsi. La funzionalità di rollback di Configurazione guidata impostazioni di sicurezza consente di ripristinare la situazione iniziale, annullando tutte le modifiche apportate ai criteri.

Le risposte che si forniscono in questa sezione sono molto importanti, perché determinano le opzioni che vengono visualizzate in seguito nella sezione della rete. Per fortuna, la logica di rilevamento è abbastanza efficace e in genere viene selezionata l'insieme di ruoli corretto.

Per impostazione predefinita, inoltre, vengono visualizzati i ruoli installati, ovvero i ruoli che il server è in grado di supportare in base ai bit archiviati sul disco. I ruoli selezionati sono quelli supportati al momento. È possibile anche decidere di visualizzare tutti i ruoli del database. A tal fine, scegliere Tutti i ruoli dall'elenco a discesa. La visualizzazione di tutti i ruoli è utile soprattutto quando si deve creare un criterio utilizzando un server di prototipo su cui non sono ancora stati installati tutti i ruoli necessari.

Dopo la configurazione dei ruoli, si selezionano le funzionalità client da supportare. L'insieme di funzionalità è simile, ma non identico, a quello di Aggiunta guidata funzionalità e nell'insieme sono presenti meno funzionalità. Anche in questo caso, le metafore non sono identiche e la Configurazione guidata impostazioni di sicurezza può essere estesa, quindi ciò che viene visualizzato è diverso rispetto ad Aggiunta guidata funzionalità.

Quando si fa clic su Avanti nella pagina Funzionalità client della Configurazione guidata impostazioni di sicurezza, si passa alla finestra di dialogo Seleziona opzioni di amministrazione e altre opzioni, come illustrato nella Figura 3. Un'opzione in Configurazione guidata impostazioni di sicurezza è qualcosa di leggermente diverso da un ruolo o una funzionalità. Può fornire supporto amministrativo o essere un singolo servizio, come Rilevamento servizi interattivi. Anche in questo caso, la maggior parte delle opzioni necessarie dovrebbero essere selezionate qui. È inoltre utile esaminare il menu a discesa, che contiene le opzioni pertinenti ai ruoli e alle funzionalità selezionate in precedenza e risulta diverso per ciascun computer.

Figura 3 Selezione di altri servizi e funzionalità in Configurazione guidata impostazioni di sicurezza

Figura 3** Selezione di altri servizi e funzionalità in Configurazione guidata impostazioni di sicurezza **(Fare clic sull'immagine per ingrandirla)

Si passa quindi alla finestra di dialogo Seleziona servizi aggiuntivi. Sebbene Configurazione guidata impostazioni di sicurezza sia dotato di un database di servizi molto esteso, non vi sono descritti tutti i servizi. I servizi che Configurazione guidata impostazioni di sicurezza trova su un computer e che non sono presenti nel database vengono visualizzati nella pagina Servizi aggiuntivi. In genere vengono descritti tutti i servizi incorporati e questa finestra di dialogo non viene visualizzata, a meno di non aver installato dei servizi di terze parti.

La procedura guidata consente di scegliere l'operazione da eseguire con i servizi che non si configurano. Questa opzione si rivela utile quando si intende applicare il criterio creato a un altro computer. Se tale computer utilizza servizi diversi da quelli in base ai quali è stato creato il criterio, Configurazione guidata impostazioni di sicurezza deve acquisire informazioni su come gestirli. Una possibile opzione è non eseguire alcuna operazione, che è l'impostazione predefinita. Un'altra opzione consiste nel disattivarli, che è una strada più sicura ma si rischia di influire sul corretto funzionamento del sistema. Se però si segue il consiglio di applicare i criteri solo ai server identici a quello su cui sono stati creati, la scelta in questa pagina diventa irrilevante.

La parte relativa alla configurazione dei ruoli di Configurazione guidata impostazioni di sicurezza è terminata e nella procedura guidata viene visualizzato un riepilogo delle scelte operate. Come è possibile notare nella Figura 4, anche limitandosi ad accettare tutte le impostazioni predefinite, si riduce in modo considerevole la superficie di attacco del computer. Poiché il computer non è un Server di stampa, ad esempio, e non è stata installata alcuna stampante, non è necessario eseguire il servizio di Spooler di stampa. Configurazione guidata impostazioni di sicurezza disattiva tutti i servizi non necessari. Sul server di test, Configurazione guidata impostazioni di sicurezza disattiva 17 servizi impostati come ad avvio automatico e disattiva 42 servizi ad avvio manuale. I risultati, ovviamente, variano in base alla configurazione del server, ma è facile rilevare come Configurazione guidata impostazioni di sicurezza consenta di creare criteri personalizzati specifici per i propri server, riducendone drasticamente la superficie di attacco.

Figura 4 Configurazione guidata impostazioni di sicurezza riepiloga le modifiche apportate

Figura 4** Configurazione guidata impostazioni di sicurezza riepiloga le modifiche apportate **(Fare clic sull'immagine per ingrandirla)

Si passa ora alla sezione probabilmente più importante di Configurazione guidata impostazioni di sicurezza: la rete: Dopo la pagina di benvenuto iniziale, viene visualizzata la finestra di dialogo Regole di protezione di rete, illustrata nella Figura 5. Questa contiene un elenco di tutte le regole firewall proposte da Configurazione guidata impostazioni di sicurezza, che sono basate sul supporto dei ruoli scelti nelle sezioni precedenti.

Figura 5 L'elenco di tutte le regole necessarie secondo Configurazione guidata impostazioni di sicurezza

Figura 5** L'elenco di tutte le regole necessarie secondo Configurazione guidata impostazioni di sicurezza **(Fare clic sull'immagine per ingrandirla)

Se non si eseguono altre configurazioni nella sezione Rete, Configurazione guidata impostazioni di sicurezza creerà le regole firewall che bloccano le interfacce di rete in modo che siano supportati solo i ruoli e le funzionalità impostati, ma che tutti i client possano accedervi. Ma per ottimizzare davvero la protezione dei server, è necessario utilizzare Configurazione guidata impostazioni di sicurezza come parte integrante nella definizione di una strategia di isolamento del server. Per ulteriori informazioni sull'isolamento del server (e sull'isolamento del dominio), consultare technet.microsoft.com/network/bb545651.

Nel Resource Kit della protezione di Windows Server 2008 è presente un capitolo relativo alla protezione della rete con l'isolamento di server e dominio. Viene inoltre illustrato l'utilizzo dei modelli di rischio della rete per analizzare la rete e facilitare la distribuzione dell'isolamento del server. Configurazione guidata impostazioni di sicurezza è uno strumento molto utile in questo processo.

È possibile configurare delle restrizioni sulle regole proposte, selezionando la regola e scegliendo Modifica. Verrà visualizzata la finestra di dialogo riportata nella Figura 6. Questa è la prima delle quattro pagine che consentono di imporre ulteriori restrizioni sulle regole della connessione in rete. È possibile, ad esempio, richiedere l'autenticazione IPsec. In tal caso è possibile legare la porta esclusivamente a determinati endpoint. È possibile configurarla, ad esempio, in modo da consentire l'amministrazione remota solo da determinati host. Come si può comprendere, questo è un vantaggio chiave rispetto alle procedure guidate di aggiunta di ruoli e funzionalità.

Figura 6 Configurazione guidata impostazioni di sicurezza consente di creare regole per firewall e IPSEC

Figura 6** Configurazione guidata impostazioni di sicurezza consente di creare regole per firewall e IPSEC **(Fare clic sull'immagine per ingrandirla)

La potenzialità di creare regole di protezione della connessione in base ai ruoli selezionati assolve a due scopi importanti. Rappresenta prima di tutto un'eccellente opportunità di apprendimento, per comprendere a fondo il funzionamento dei server. Non è nemmeno necessario creare un server, ma è sufficiente eseguire la procedura guidata, selezionare gli elementi desiderati e vedere in che modo di influisce sulle opzioni delle pagine successive. Consente inoltre di legare il concetto molto astratto di una porta a un altro concetto, molto più logico, di un servizio e di configurare le restrizioni della rete in base alle azioni effettivamente eseguite dal sistema.

Se ben sfruttata, questa possibilità consente di sviluppare configurazioni molto rigorose per i server. La sezione dedicata alla rete di Configurazione guidata impostazioni di sicurezza è indubbiamente l'area a cui dedicare più tempo durante la creazione dei criteri di protezione per i server.

Il resto di Configurazione guidata impostazioni di sicurezza consente di configurare il controllo e alcune impostazioni del Registro di sistema. Le impostazioni predefinite di questi parametri sono adeguate per la maggior parte delle organizzazioni e, a meno di non avere requisiti speciali, non è necessario apportare molte modifiche.

Dopo aver creato il proprio criterio, è possibile salvarlo e applicarlo al computer che si sta utilizzando o ad altri computer. È possibile trasformare il criterio in un oggetto Criteri di gruppo (GPO) utilizzando il comando scwcmd.exe /transform.

Tuttavia, se nel criterio sono configurate impostazioni specifiche per i computer, l'operazione potrebbe non avere esito positivo o produrre risultati imprevisti. Se, ad esempio, si creano restrizioni dell'endpoint che comprendono delle schede locali nella sezione dedicata alla rete, il criterio viene ritenuto specifico del computer e non viene trasformato con successo. Questo comportamento dipende dal fatto che tali schede devono essere specificate utilizzando i GUID. Il GUID per una scheda di un computer non ha alcun significato in un altro computer.

Ne consegue che Configurazione guidata impostazioni di sicurezza si rivela particolarmente utile in scenari server per server e come strumento di formazione. Per le grandi server farm, è possibile utilizzare Configurazione guidata impostazioni di sicurezza come metodo di apprendimento e di sviluppo dei criteri di base. È quindi possibile implementare il criterio utilizzando qualsiasi strumento si preferisca per configurare i server, come Criteri di gruppo o un sistema di gestione aziendale (come Microsoft Systems Center).

Configurazione guidata impostazioni di sicurezza e Server Manager a confronto

Un aspetto già chiarito fino ad ora è che le metafore utilizzate per ruoli e funzionalità differiscono. Una "funzionalità" in Configurazione guidata impostazioni di sicurezza è un'operazione che il computer esegue per agire come un client. Un "ruolo" è invece un'operazione che il computer esegue per agire come un server.

La metafora utilizzata negli strumenti di Server Manager è diversa, poiché in questo caso un ruolo è una raccolta di servizi e funzionalità che può essere immaginata come un'unità e una funzionalità è un elemento che supporta dei ruoli. In pratica per Server Manager il ruolo corrisponde al motivo per cui si è acquistato il server. Le funzionalità sono importanti, ma non sono lo scopo a cui è destinato il server. Le due metafore e i due diversi utilizzi degli stessi termini sono destinati a generare qualche confusione. Prima di passare da uno strumento all'altro, questo aspetto deve essere assolutamente chiaro.

Inoltre, gli strumenti di Server Manager non sono estendibili, ma sono progettati in modo da gestire solo i componenti di cui è dotato Windows. Al contrario, i programmi di terze parti che si installano possono aggiungere ruoli e funzionalità a Configurazione guidata impostazioni di sicurezza. È addirittura possibile scrivere ruoli e funzionalità personalizzate. Nel white paper "Estensione di Configurazione guidata impostazioni di sicurezza" (disponibile all'indirizzo go.microsoft.com/fwlink/?LinkId=107397) si illustra come eseguire queste operazioni.

Configurazione guidata impostazioni di sicurezza disattiva i componenti non necessari. Gli strumenti di Server Manager, invece, si limitano a distribuire i componenti richiesti, senza apportare altre modifiche al computer. Se si ritiene di aver bisogno di un aiuto per determinare quali sono i componenti non necessari, Configurazione guidata impostazioni di sicurezza è lo strumento da utilizzare.

Inoltre, sia gli strumenti di Server Manager che Configurazione guidata impostazioni di sicurezza consentono di configurare la rete, ma Configurazione guidata impostazioni di sicurezza è molto più potente. Se si intende adottare una strategia di isolamento del server, Configurazione guidata impostazioni di sicurezza può diventare una miniera d'oro di informazioni e il migliore ausilio per la distribuzione. Questo è senza dubbio un argomento di amministrazione della protezione avanzata, ma Configurazione guidata impostazioni di sicurezza è uno strumento di protezione avanzato.

Infine, Configurazione guidata impostazioni di sicurezza consente di configurare anche alcune altre impostazioni di protezione che gli strumenti di Server Manager non sono in grado di configurare. Tuttavia, questa potenzialità è ampiamente controbilanciata dai controlli più efficaci (o già definiti per impostazione predefinita) in Windows Server 2008.

Jesper M. Johansson, Principal Security Engineer, si occupa dei problemi di protezione software e collabora con TechNet Magazine in qualità di redattore. Ha conseguito il titolo di PhD in MIS e ha oltre 20 anni di esperienza nel settore della protezione.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.