Funzionalità IO: protezione e rete - dal livello Base al livello Standard
In questa pagina
.gif){kind=icon}
Introduzione
Requisito: Software antivirus per computer desktop
Checkpoint: software antivirus per computer desktop
Requisito: servizi firewall centralizzati
Checkpoint: servizi firewall centralizzati
Requisito: servizi di rete di base gestiti internamente (DNS, DHCP, WINS)
Checkpoint: servizi di rete di base gestiti internamente (DNS, DHCP, WINS)
Requisito: monitoraggio della disponibilità dei server critici
Checkpoint: monitoraggio della disponibilità dei server critici
Introduzione
Protezione e rete è la terza funzionalità relativa all'ottimizzazione dell'infrastruttura principale. Nella seguente tabella vengono elencate le sfide più impegnative, le soluzioni applicabili e i vantaggi del passaggio al livello Standard in Protezione e rete.
Sfide |
Soluzioni |
Vantaggi |
|---|---|---|
Sfide aziendali Assenza di standard di protezione di base per la protezione da software dannoso e attacchi Gli aggiornamenti antivirus non vengono gestiti in modo appropriato accrescendo il rischio di attacchi Il supporto tecnico è reattivo e dedica la maggior parte del tempo a problemi relativi alla protezione Sfide IT Il reparto IT esegue manualmente gli aggiornamenti e la distribuzione delle patch su ogni computer Le irregolari e imprevedibili interruzioni delle attività del server causano interruzioni delle attività nei servizi di rete, che riducono la produttività dell'utente finale Gli amministratori di rete gestiscono individualmente gli indirizzi IP per evitarne la duplicazione e applicano manualmente le modifiche di configurazione alle workstation |
Progetti Distribuzione di firewall con configurazione bloccata (possibilmente una soluzione firewall a più livelli) Implementazione di servizi di rete come il server DNS per trovare e accedere con facilità ai servizi di rete e il server DHCP per gestire gli indirizzi IP in modo centralizzato e automatico Implementazione di una soluzione antivirus standard e gestita per desktop |
Vantaggi per l'azienda Gli standard dei criteri stabiliti forniscono un ambiente informatico più coerente Una protezione desktop migliorata dalla distribuzione rapida e affidabile delle patch su determinate vulnerabilità Vantaggi IT Le patch gestite centralmente forniscono un'infrastruttura più stabile e protetta La configurazione di rete TCP/IP efficiente e affidabile consente di impedire conflitti di indirizzi IP e mantiene l'utilizzo degli indirizzi IP tramite la gestione centralizzata dell'assegnazione dell'indirizzo Ambiente affidabile e controllato in grado di resistere agli attacchi tramite "strati" di protezione ai livelli di perimetro, server, desktop e applicazione Complessità delle operazioni software e hardware ridotta che conduce a una maggiore linearità dei processi di gestione delle modifiche |
Il livello Standard del modello di ottimizzazione dell'infrastruttura riguarda le principali aree dei componenti di rete e protezione, tra cui:
Software antivirus per computer desktop
Servizi firewall centralizzati
Servizi di rete di base gestiti internamente (DNS, DHCP, WINS)
Monitoraggio della disponibilità dei server critici
Il livello Standard di ottimizzazione richiede che l'organizzazione disponga di un software antivirus standard installato sui computer client, un firewall perimetrale centralizzato, servizi di rete di base e il monitoraggio della disponibilità per i server critici.
Requisito: software antivirus per computer desktop
Target
È necessario leggere questa sezione se non si dispone di un software antivirus con aggiornamento automatico delle firme in esecuzione su almeno l'80% dei desktop.
Panoramica
Ogni organizzazione deve sviluppare una soluzione antivirus che fornisca un livello elevato di protezione alle risorse di rete e tecnologia. Tuttavia, anche dopo l'installazione di un software antivirus, molte reti vengono ancora colpite. Nella presente sezione vengono fornite informazioni sul corretto approccio al problema del software dannoso (denominato anche malware).
Fase 1: valutazione
Nella fase di valutazione, l'organizzazione deve utilizzare un inventario dei sistemi desktop gestiti e determinarne le specifiche hardware, i sistemi operativi, le applicazioni e se sono attualmente installati software antivirus o altri software di rilevamento malware. Si consiglia di utilizzare uno strumento per automatizzare il processo di creazione dell'inventario, quale Systems Management Server (SMS) 2003, Application Compatibility Toolkit o Windows Vista Hardware Assessment.
Fase 2: identificazione
L'obiettivo della fase di identificazione nella determinazione di una strategia antivirus è quello di definire le esigenze dell'organizzazione relative alla protezione. I prodotti antivirus variano in base al produttore e offrono diversi livelli di protezione e copertura contro le minacce diverse dai virus. Grazie alle informazioni raccolte nella fase di valutazione, l'organizzazione sarà in grado di determinare i requisiti di compatibilità del software antivirus e di identificare la soluzione corretta per l'organizzazione.
Fase 3: stima e pianificazione
Come per la progettazione della protezione di rete, anche per la progettazione di soluzioni antivirus Microsoft consiglia l'adozione di una strategia di difesa in profondità (defense-in-depth) in modo da garantire una gestione affidabile e una progettazione appropriata delle misure di protezione implementate dall'organizzazione.
Un approccio di questo tipo è fondamentale per la protezione dei computer dell'organizzazione, in quanto purtroppo, indipendentemente dal numero di funzionalità o servizi utili forniti da un sistema informatico, esiste sempre il rischio che qualcuno tenti di individuare una vulnerabilità da sfruttare al fine di provocare danni.
Livelli di difesa
Nell'immagine riportata di seguito vengono indicati i livelli vulnerabili agli attacchi di software dannoso all'interno di un'organizzazione.
.gif)
Questa sezione della guida riguarda l'esigenza di un piano antivirus per i livelli host, applicazione e dati, in particolare per i computer desktop client all'interno dell'organizzazione. I restanti livelli vengono trattati in altri documenti di questa serie.
Difese client
Quando un'applicazione software dannosa raggiunge un computer host, i sistemi di difesa devono essere mirati a proteggere il sistema host e i relativi dati e a impedire la diffusione dell'infezione. Queste difese non sono meno importanti delle difese a livello di protezione fisica e di rete del proprio ambiente. È consigliabile progettare le difese dell'host basandosi sul presupposto che il software dannoso sia riuscito a penetrare in tutti i precedenti livelli di difesa. Questo approccio rappresenta il modo migliore per ottenere il più elevato livello di protezione.
Fase 4: distribuzione
Nella fase di distribuzione, è necessario implementare una serie di approcci e tecnologie per la protezione antivirus dei client. Nelle sezioni riportate di seguito vengono forniti i dettagli che Microsoft consiglia di prendere in considerazione.
Passaggio 1: ridurre la superficie di attacco
La prima linea di difesa a livello di applicazione prevede la riduzione della superficie di attacco del computer. Per ridurre al minimo i numerosi modi con cui un autore di attacchi potrebbe sfruttare il sistema, è consigliabile rimuovere o disattivare sul computer tutte le applicazioni o i servizi non necessari.
Passaggio 2: applicare gli aggiornamenti della protezione
La possibilità di connettere un'ampia gamma di computer client alle reti di un'organizzazione può rendere difficoltosa la fornitura di un servizio di gestione degli aggiornamenti di protezione veloce e affidabile. Microsoft e altre società produttrici di software hanno sviluppato numerosi strumenti che è possibile utilizzare per gestire questo problema. Per informazioni più dettagliate sulla distribuzione delle patch sul sistema operativo, vedere la sezione intitolata "Requisito: distribuzione automatizzata delle patch su computer desktop e portatili" della presente guida.
Passaggio 3: attivare un firewall basato su host
Il firewall personale o basato su host rappresenta un importante livello di difesa dei client che è consigliabile attivare, in particolare sui computer portatili che potrebbero essere portati dagli utenti all'esterno degli usuali sistemi di difesa della rete. Questi firewall filtrano tutti i dati che si tenta di immettere o di prelevare da uno specifico computer host.
Passaggio 4: installare il software antivirus
È possibile scegliere tra diverse soluzioni antivirus presenti sul mercato, ognuna delle quali tenta di proteggere il computer host senza arrecare danni o richiedere interazione da parte degli utenti finali. La maggior parte di queste applicazioni fornisce funzionalità di protezione di grande efficacia, ma tutte richiedono aggiornamenti frequenti per stare al passo con il software dannoso più recente. Tutte le soluzioni antivirus devono fornire un meccanismo rapido e continuo per garantire che gli aggiornamenti dei file delle firme richiesti, file che contengono informazioni che i programmi antivirus utilizzano per rilevare ed eliminare il software dannoso durante una scansione e che vengono regolarmente aggiornate dai fornitori di applicazioni antivirus, siano distribuiti ai computer client più velocemente possibile.
Si noti, tuttavia, che questi aggiornamenti presentano rischi di protezione intrinseci, in quanto i file delle firme vengono inviati dal sito di supporto dell'applicazione antivirus all'applicazione host (in genere via Internet). Ad esempio, se il meccanismo di trasferimento utilizzato per ottenere il file è File Transfer Protocol (FTP), i firewall perimetrali dell'organizzazione devono consentire questo tipo di accesso al server FTP richiesto su Internet. Assicurarsi che durante il processo di verifica dei rischi antivirus venga esaminato il meccanismo di aggiornamento per l'organizzazione e che questo processo sia sufficientemente sicuro per soddisfare i requisiti di protezione dell'organizzazione.
Punto 5: eseguire la verifica con strumenti di analisi delle vulnerabilità
Dopo aver configurato un sistema o una rete, è necessario controllarlo periodicamente per garantire che non vi siano vulnerabilità. Per semplificare l'esecuzione di questo processo, è possibile utilizzare numerose applicazioni che fungono da strumenti di analisi al fine di individuare eventuali punti deboli che software dannosi e pirati informatici potrebbero tentare di sfruttare. Gli strumenti migliori sono in grado di aggiornare le relative routine di scansione per difendere il sistema dai punti deboli più recenti.
Operazioni
Come la maggior parte dei software, le applicazioni antivirus necessitano di un meccanismo che consenta continui aggiornamenti. Nella sezione Distribuzione automatizzata delle patch riportata precedentemente in questa guida, vengono approfonditi i requisiti del processo e gli strumenti disponibili per automatizzare gli aggiornamenti software. Inoltre, si consiglia all'organizzazione di fare in modo che il software antivirus selezionato sia sempre in esecuzione. Nella Guida alle risorse del responsabile dell'implementazione dal livello Standard al livello Razionale del modello di ottimizzazione dell'infrastruttura viene indicato come impostare il software antivirus in modo che sia in continua esecuzione tramite Criteri di gruppo.
Software antivirus consigliati
I prodotti software riportati di seguito sono stati testati da Microsoft per verificarne la compatibilità con i sistemi operativi Microsoft:
Microsoft Forefront Client Security
di Microsoft CorporationCA Anti-Virus 2007 (precedentemente eTrust)
di CA, Inc.Symantec AntiVirus Corporate Edition
di Symantec CorporationNorton AntiVirus 2006
di Symantec CorporationRising Antivirus Software Personal Edition
di Beijing Rising Technology Co., Ltd.
Ulteriori informazioni
Per ulteriori informazioni sull'implementazione del software antivirus, consultare il sito Web The Antivirus Defense-in-Depth Guide.
Per informazioni su come Microsoft affronta i problemi relativi all'antivirus, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/msghygiene.mspx.
Checkpoint: software antivirus per computer desktop
|
Requisiti |
|---|---|
Installati tutti gli aggiornamenti della protezione del sistema operativo e delle applicazioni software. |
|
|
Abilitati i firewall basati su host disponibili. |
|
Installato un software antivirus su almeno l'80% dei computer desktop. |
.gif)
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Standard per il checkpoint: software antivirus per computer desktop. Si consiglia di attenersi alle procedure consigliate aggiuntive per la protezione antivirus riportate nel sito Web Microsoft TechNet Security Center (in inglese).
Passare alla domanda di autovalutazione successiva.
Requisito: servizi firewall centralizzati
Target
È necessario leggere questa sezione se non si dispone di un firewall centralizzato (non per desktop) che protegge almeno l'80% dei sistemi.
Panoramica
I firewall costituiscono un elemento principale del mantenimento della protezione e della sicurezza dei computer della rete. Tutti i computer necessitano della protezione di un firewall, sia che si tratti dei numerosi server e desktop che costituiscono la rete di una delle aziende citate da Fortune 500, di un computer laptop di un addetto alle vendite che viaggia e si collega alla rete wireless di un Internet café o del nuovo computer della nonna con una connessione remota a Internet.
In questa sezione della guida vengono esaminati i firewall di rete e basati su host (denominati anche firewall personali). Sebbene gli utenti privati tradizionalmente utilizzino solo firewall basati su host, le recenti tendenze delle violazioni di protezione sottolineano l'importanza di utilizzare i due tipi di firewall insieme. Il livello di ottimizzazione Standard del modello di ottimizzazione dell'infrastruttura non richiede firewall basati su host, questi vengono introdotti successivamente nel modello. Nella presente guida vengono illustrate le cinque classi principali della tecnologia firewall.
Le seguenti indicazioni si basano sulle Firewall Services Implementation Guides di Windows Server System Reference Architecture (in inglese).
Fase 1: valutazione
Nella fase di valutazione dell'implementazione di una strategia firewall viene sottolineata l'esigenza aziendale di proteggere i dati e l'accesso ai dati archiviati e viene determinata quale eventuale infrastruttura firewall è disponibile. Ogni organizzazione conserva informazioni riservate che potrebbero danneggiare l'organizzazione stessa nel caso finissero in mani sbagliate. Il potenziale di tale danno aumenta e l'impatto che può avere è maggiore se un'organizzazione utilizza attivamente Internet per applicazioni e servizi quali:
Ricerca e raccolta di informazioni generali.
Acquisizione di dati sui mercati finanziari.
Fornitura di servizi al dettaglio online.
Comunicazioni per posta elettronica.
Reti private virtuali (VPN) per collaboratori remoti.
Connettività tra le filiali basata su VPN.
Comunicazioni vocali.
Per fornire anche il più comune di questi servizi, ad esempio la posta elettronica, le organizzazioni devono collegare i sistemi interni a Internet. Facendo questo, tali sistemi diventano accessibili da fonti esterne e, quindi, vulnerabili ad attacchi. Le organizzazioni sono anche soggette ai costi che tali connessioni richiedono, tra cui i pagamenti al provider di servizi Internet (ISP) e gli investimenti in tecnologie che siano in grado di proteggere i sistemi informatici.
Chiaramente, è importante prevenire gli attacchi ai sistemi informatici, perseguire legalmente chi li commette ed essere quanto più consapevoli possibile dei rischi che i diversi tipi di attacchi comportano.
Fase 2: identificazione
Nella fase di identificazione viene esaminata la tecnologia disponibile per proteggere le informazioni dell'organizzazione e vengono fornite le nozioni di base necessarie alla valutazione delle opzioni firewall e per iniziare la pianificazione dell'implementazione della tecnologia firewall.
Tipi di firewall
Esistono due tipi principali di firewall: i firewall di rete e i firewall basati su host (personali). I firewall di rete, come Microsoft® Internet Security and Acceleration Server (ISA Server) basato su software, o i sistemi firewall attivati basati su hardware proteggono il perimetro di una rete controllando il traffico in ingresso e in uscita dalla rete. I firewall basati su host proteggono un singolo computer indipendentemente dalla rete a cui è collegato. Potrebbe essere necessario l'uno o l'altro, ma la maggior parte delle organizzazioni necessitano di un utilizzo combinato di entrambi per soddisfare i propri requisiti di protezione.
I firewall possono essere ulteriormente divisi in cinque classi:
Classe 1 – Firewall personale Si tratta di firewall software basati su host che proteggono un singolo computer.
Classe 2 – Firewall del router
Classe 3 – Firewall hardware di fascia bassa
Classe 4 – Firewall hardware di fascia alta
Classe 5 – Firewall server di fascia alta
Firewall di rete – Classi 2-5
I firewall di rete proteggono un'intera rete controllandone il perimetro. Inoltrano il traffico proveniente e diretto ai computer su una rete interna e filtrano tale traffico in base ai criteri impostati dall'amministratore.
I firewall di rete possono essere basati sia su hardware che su software. I firewall di rete basati su hardware in genere sono più economici di quelli basati su software e costituiscono la scelta giusta per utenti privati e molte imprese di piccole dimensioni. I firewall di rete basati su software dispongono di un numero maggiore di funzionalità rispetto a quelli basati su hardware e sono adatti alle organizzazioni più grandi. I firewall basati su software possono essere eseguiti anche sullo stesso server di altri servizi quali la posta elettronica e la condivisione di file, consentendo alle organizzazioni di piccole dimensioni di fare un miglior uso dei server esistenti.
Quando affrontano la questione della connettività di rete protetta, gli amministratori devono considerare quanto segue:
Protezione
Complessità gestionale
Costo
Prendendo in considerazione queste sfide chiave relative alla protezione, le organizzazioni possono raggiungere una maggiore produttività dei collaboratori, ridurre i costi e migliorare l'integrazione aziendale.
Funzionalità firewall
A seconda delle funzionalità supportate da un firewall, il traffico viene consentito o bloccato mediante un’ampia gamma di tecniche che garantiscono gradi diversi di protezione. Le seguenti funzionalità firewall sono elencate in ordine crescente di complessità e vengono illustrate nelle sezioni che seguono:
Filtri di input della scheda di rete
Filtri di pacchetti statici
Network Address Translation (NAT)
Stateful Inspection
Controllo a livello di circuito
Proxy
Filtraggio a livello di applicazione
Filtri di input della scheda di rete
Il filtraggio dell'input della scheda di rete consente di esaminare gli indirizzi di origine e di destinazione e altre informazioni del pacchetto in ingresso per bloccarlo o lasciarlo passare. Questo tipo di filtraggio viene applicato solo al traffico in ingresso.
Filtri di pacchetti statici
I filtri di pacchetti statici associano le intestazioni IP per determinare se consentire o meno il passaggio del traffico attraverso l'interfaccia. Questo tipo di filtraggio viene applicato sia al traffico in ingresso che in uscita.
Network Address Translation (NAT)
La tecnologia NAT converte un indirizzo privato in un indirizzo Internet. Sebbene NAT non sia propriamente una tecnologia firewall, l'occultamento del reale indirizzo IP di un server impedisce agli autori degli attacchi di acquisire informazioni importanti sul server.
Stateful Inspection
In modalità Stateful Inspection, tutto il traffico in uscita viene registrato in una tabella di stato. Quando il traffico di connessione ritorna all’interfaccia, viene eseguito un controllo nella tabella di stato per verificare che il traffico sia stato effettivamente originato dall’interfaccia.
Controllo a livello di circuito
Con il filtraggio a livello di circuito è possibile esaminare sessioni invece di connessioni o pacchetti.
Proxy
Il firewall proxy raccoglie le informazioni per il client e restituisce i dati ricevuti dal servizio al client.
Filtraggio a livello di applicazione
Il livello più sofisticato di controllo del traffico del firewall è rappresentato dal filtraggio a livello di applicazione. Un buon filtro applicativo consente di analizzare un flusso di dati relativo a una determinata applicazione e garantisce particolari attività di elaborazione.
In generale, i firewall che prevedono funzionalità complesse supportano anche funzionalità più semplici. Tuttavia, prima di scegliere un prodotto è opportuno leggere con attenzione le informazioni messe a disposizione dal fornitore, perché possono esistere sottili differenze tra le funzionalità presunte e reali di un firewall. Per scegliere un firewall occorre esaminare le funzionalità offerte e verificare che il prodotto garantisca le prestazioni indicate nelle specifiche.
Fase 3: stima e pianificazione
L'obiettivo dell'organizzazione durante la fase di stima e pianificazione deve essere quello di determinare una strategia per il servizio firewall. Tale strategia coprirà tre elementi principali di progettazione del firewall:
Progettazione di firewall perimetrali: una soluzione firewall progettata per proteggere l'infrastruttura aziendale da traffico di rete non sicuro che ha origine da Internet.
Progettazione di firewall interni: un secondo limite firewall progettato per proteggere il traffico tra gli elementi di rete non completamente affidabili e gli elementi interni affidabili.
Progettazione proxy: la soluzione proxy fornisce un meccanismo per consentire comunicazioni in uscita protette e gestibili per gli host su reti interne.
Ognuna di queste soluzioni di tecnologia deve soddisfare determinati obiettivi a livello del servizio, oltre agli obiettivi di progettazione come disponibilità, protezione e scalabilità.
Fase 4: distribuzione
L'obiettivo della fase di distribuzione è quello di implementare la strategia scelta e testata dall'organizzazione nella fase di stima e pianificazione. Le varie routine di distribuzione cambiano in base alle classi di firewall selezionate. Per informazioni sull'installazione della tecnologia firewall ISA Server 2006 Enterprise Edition basato su software, vedere la guida ISA Server 2006 Enterprise Edition Installation Guide (in inglese).
Operazioni
Considerazioni sulle operazioni per i servizi firewall tra cui la gestione della protezione della rete, la protezione della rete stessa, il rilevamento di intrusioni e la reazione e l'implementazione dei requisiti operativi standard. Per ulteriori informazioni sulle attività operative di ISA Server 2006, come l'amministrazione, il monitoraggio, le prestazioni e la risoluzione dei problemi per gestire il sistema ISA Server per un'ottimale distribuzione del servizio, visitare il sito Web Microsoft ISA Server 2006 – Operations (in inglese) di Microsoft TechNet.
Ulteriori informazioni
Per ulteriori informazioni sui firewall, visitare il sito Web Microsoft TechNet e cercare informazioni sui firewall.
Per informazioni su come Microsoft gestisce i firewall e altri rischi per la protezione, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/securitywebapps.mspx.
Checkpoint: servizi firewall centralizzati
|
Requisiti |
|---|---|
Installato un firewall software o hardware centralizzato. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Standard per il checkpoint: servizi firewall centralizzati.
Si consiglia di attenersi alle procedure consigliate aggiuntive per i firewall riportate nelle Firewall Services Implementation Guides di Windows Server System Reference Architecture (in inglese).
Passare alla domanda di autovalutazione successiva.
Requisito: servizi di rete di base gestiti internamente (DNS, DHCP, WINS)
Target
È necessario leggere questa sezione se non si dispone di server interni per i servizi di rete di base.
Panoramica
Le reti IT delle organizzazioni odierne sono costituite da molti dispositivi informatici, dai server di fascia alta ai PC, che necessitano di comunicare tra loro sulla rete locale (LAN). Per fare questo, ogni dispositivo deve disporre di un'identità che può essere il nome del dispositivo logico (selezionato dall'organizzazione) o l'indirizzo che identifica in modo univoco il dispositivo e la sua posizione nella rete.
Per le reti di piccole dimensioni (quelle con massimo 500 dispositivi), è possibile gestire e distribuire manualmente nomi e indirizzi, ma quando la rete aumenta di dimensioni e complessità, la gestione di un efficiente servizio di risoluzione dei nomi diventa molto più dispendiosa dal punto di vista del tempo e delle risorse necessari.
DNS, DHCP e WINS sono tre meccanismi essenziali alla fornitura di servizi di gestione e assegnazione di indirizzi IP negli ambienti aziendali. Esistono meccanismi alternativi, ma, nella maggior parte dei casi, DNS e DHCP forniscono la parte principale di qualsiasi servizio e WINS soddisfa qualsiasi requisito per collocare gli schemi relativi a DNS e NetBIOS.
Le indicazioni riportate di seguito si basano sull'introduzione Windows Server System Reference Architecture Introduction to Network Services (in inglese).
Fase 1: valutazione
L'obiettivo della fase di valutazione per i servizi di rete di base è quello di definire le esigenze aziendali in termini di risoluzione dei nomi e dell'eventuale infrastruttura disponibile. Con la diffusa adozione dei servizi directory che forniscono accesso semplificato alle risorse aziendali, la risoluzione dei nomi adesso costituisce un servizio di rete principale. I servizi directory necessitano di un sistema di risoluzione dei nomi affidabile ed efficiente che consenta agli utenti, ai sistemi operativi client e ai server di individuare le risorse utilizzando i nomi invece degli indirizzi. Queste funzionalità devono essere eseguite senza compromettere la protezione della rete o i servizi forniti dalla rete.
Fase 2: identificazione
Dopo che l'organizzazione ha valutato le esigenze relative alla risoluzione dei nomi, è necessario iniziare a identificare le tecnologie che corrispondono ai propri requisiti.
Domain Name System (DNS)
Lo scopo principale di DNS è quello di convertire nomi host facili da leggere e da ricordare in indirizzi IP numerici. Tra le tante funzionalità, DNS risolve anche indirizzi di posta elettronica per individuare lo specifico server di scambio di posta elettronica del destinatario.
Dynamic Host Configuration Protocol (DHCP)
DHCP è un protocollo che consente a un computer, un router o un altro dispositivo di rete di richiedere e ottenere un indirizzo IP univoco e altri parametri come una subnet mask da un server che contiene un elenco di indirizzi IP disponibili per una rete.
Windows Internet Naming Service (WINS)
WINS è un servizio di risoluzione dei nomi NetBIOS che consente ai computer client di registrare i nomi NetBIOS e gli indirizzi IP in un database dinamico e distribuito e di risolvere i nomi NetBIOS delle risorse di rete nei relativi indirizzi IP.
WINS e DNS sono entrambi servizi di risoluzione dei nomi per reti TCP/IP. Mentre WINS risolve i nomi nello spazio dei nomi NetBIOS, DNS risolve i nomi nello spazio dei nomi del dominio di DNS. WINS principalmente supporta i client su cui sono in esecuzione le precedenti versioni di Windows e le applicazioni che utilizzano NetBIOS. Microsoft Windows 2000, Microsoft Windows XP e Windows Server 2003 utilizzano i nomi DNS oltre ai nomi NetBIOS. Gli ambienti di cui fanno parte computer che utilizzano i nomi NetBIOS e altri computer che utilizzano i nomi del dominio devono contenere sia i server WINS che i server DNS. Se su tutti i computer nelle reti sono in esecuzione Windows 2000 e sistemi operativi successivi, è necessario utilizzare Active Directory invece di WINS.
Fase 3: stima e pianificazione
Dopo aver identificato le esigenze dell'organizzazione relative alla risoluzione dei nomi e i servizi di rete da implementare, è importante valutare la tecnologia proposta e il modo in cui supporterà gli obiettivi dell'organizzazione.
Server DNS interno
In genere, Windows Server 2003 DNS viene distribuito come supporto del servizio directory di Active Directory. In questo ambiente, gli spazi dei nomi DNS rispecchiano le foreste di Active Directory e i domini utilizzati da un'organizzazione. I servizi e gli host di rete vengono configurati con i nomi DNS affinché possano essere individuati nella rete. Vengono anche configurati con i server DNS che risolvono i nomi dei controller di dominio di Active Directory. Windows Server 2003 DNS viene anche comunemente distribuito come soluzione DNS standard o non Active Directory, per la presenza su Internet di un'organizzazione, ad esempio.
Stabilire i server DNS interni consente di avere massima flessibilità e controllo sulla risoluzione dei nomi dei domini interni ed esterni. Ciò riduce il traffico di rete Internet e Intranet. Nella figura seguente viene illustrato il modo in cui le zone integrate in Active Directory e le zone secondarie basate sui file possano essere distribuite insieme per fornire i servizi DNS aziendali.
.jpg)
Server DHCP interno
In Windows Server 2003, il servizio DHCP fornisce i seguenti vantaggi:
Configurazione affidabile dell'indirizzo IP. DHCP consente di ridurre al minimo gli errori di configurazione causati dalla configurazione manuale dell'indirizzo IP, come gli errori tipografici o i conflitti di indirizzo provocati dall'assegnazione dello stesso indirizzo IP a diversi computer contemporaneamente.
Amministrazione della rete ridotta. DHCP comprende le seguenti funzionalità che consentono di ridurre le attività di amministrazione della rete:
Configurazione TCP/IP automatizzata e centralizzata.
Possibilità di assegnare una gamma completa di valori di configurazione TCP/IP aggiuntivi tramite le opzioni DHCP.
Gestione efficiente delle modifiche dell'indirizzo IP per i client che devono essere aggiornati frequentemente, come quelli per i computer portatili che si spostano sulla rete wireless.
Inoltro dei messaggi DHCP iniziali tramite un agente di inoltro DHCP che risulta nell'eliminazione dell'esigenza di disporre di un server DHCP su ogni subnet.
WINS e risorse interne
I componenti di Windows Server 2003 che richiedono la risoluzione dei nomi tenteranno di utilizzare questo server DNS prima di provare a utilizzare il precedente servizio di risoluzione dei nomi Windows predefinito, WINS. Se l'organizzazione dispone di computer su cui sono in esecuzione sistemi operativi precedenti a Windows 2000, sarà necessario implementare WINS per questi sistemi. Quando si passa dal livello Base di ottimizzazione dell'infrastruttura al livello Standard, verrà consolidato l'ambiente IT eseguendo al massimo due sistemi operativi. I precedenti sistemi verranno sostituiti e verrà eseguita la standardizzazione sui sistemi operativi più recenti, eliminando l'esigenza di disporre di WINS nell'organizzazione.
Fase 4: distribuzione
L'obiettivo della fase di distribuzione è quello di implementare le tecnologie selezionate per attivare i servizi di rete di base richiesti dalla risoluzione dei nomi. Per indicazioni dettagliate sulla distribuzione di DNS e DHCP, vedere la pagina Web Deploying Network Services della guida Windows Server 2003 Deployment Guide (in inglese).
Ulteriori informazioni
Per ulteriori informazioni su DNS, andare all'indirizzo http://technet2,microsoft.com/WindowsServer/f/?en/library/54375efb-2192-49b7-a823-57c08c6cc06c1033.mspx.
Per ulteriori informazioni su DHCP, andare all'indirizzo http://technet2,microsoft.com/WindowsServer/f/?en/library/85add012-1c2c-41bb-b1ae-11bc07485ee31033.mspx.
Per ulteriori informazioni su WINS, andare all'indirizzo http://technet2,microsoft.com/WindowsServer/f/?en/library/0bef84d9-dafe-4fa8-9e70-fb4f56f1af971033.mspx.
Checkpoint: servizi di rete di base gestiti internamente (DNS, DHCP, WINS)
|
Requisiti |
|---|---|
Implementati i servizi DNS sui server o su altri dispositivi all'interno dell'organizzazione. |
|
|
Implementati i servizi DHCP sui server o su altri dispositivi all'interno dell'organizzazione. |
|
Implementati i servizi WINS per sistemi operativi precedenti sui server o su altri dispositivi all'interno dell'organizzazione. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Standard per il requisito Servizi di rete di base gestiti internamente (DNS, DHCP, WINS).
Si consiglia di attenersi alle procedure consigliate aggiuntive per i firewall riportate nelle Network Services Implementation Guides di Windows Server System Reference Architecture (in inglese).
Passare alla domanda di autovalutazione successiva.
Requisito: monitoraggio della disponibilità dei server critici
Target
È necessario leggere questa sezione se non si monitora almeno l'80% dei server critici.
Panoramica
L'efficacia e la produttività dell'infrastruttura informatica dell'organizzazione dipendono dalla continua disponibilità dei server critici come i server DNS, DHCP, i file server e i server di stampa e di posta elettronica. È necessario stabilire i criteri e le procedure per monitorare questi server in modo da rilevare rapidamente una diminuzione delle prestazioni o le interruzioni del servizio. Esistono software disponibili per automatizzare questo monitoraggio e inviare avvisi alle persone giuste affinché possano intervenire correttamente.
Fase 1: valutazione
Nella fase di valutazione del checkpoint Monitoraggio della disponibilità dei server critici, l'organizzazione deve utilizzare un inventario di tutti i server che fanno parte dell'infrastruttura dell'organizzazione. È possibile identificare manualmente i server e le specifiche o utilizzare uno strumento per automatizzare il processo di inventario, come le funzionalità di raccolta di inventario di Systems Management Server (SMS) 2003.
Fase 2: identificazione
Dopo aver effettuato l'inventario di tutti i server, la fase di identificazione è principalmente un'operazione di definizione delle priorità dei server e di classificazione per stabilire il livello di criticità dei server per il monitoraggio. Ai server deve essere assegnata una priorità in base all'impatto che avrebbero sull'azienda o sulle operazioni nel caso non dovessero essere disponibili. Ad esempio, un servizio di messaggistica potrebbe essere il fulcro della comunicazione per le operazioni; in questo caso, il monitoraggio deve non solo essere esteso al server di posta elettronica, bensì anche ai controller di dominio e a qualsiasi altro server necessario al servizio.
Fase 3: stima e pianificazione
La fase di stima e pianificazione riguarda i requisiti per il monitoraggio della disponibilità dei server nei servizi critici definiti. In questa fase, vengono valutate le opzioni della tecnologia, viene stabilito quale soluzione implementare, testare e pianificare per la distribuzione.
Il primo passo prima di valutare una soluzione di tecnologia consiste nello stabilire cosa è necessario monitorare e derivarne un modello dello stato. Il modello dello stato definisce cosa significa funzionamento corretto (in condizioni normali) o funzionamento non corretto (non riuscito o con minori prestazioni) per un sistema o un servizio e le transizioni interne ed esterne a questi stati. Un'adeguata informazione sul corretto funzionamento di un sistema è necessaria per la gestione e la diagnosi dei sistemi in esecuzione. Per ulteriori informazioni, vedere il sito Web Microsoft Operations Framework Service Monitoring and Control (in inglese).
Gestione della disponibilità
La gestione della disponibilità riguarda la progettazione, l'implementazione, la misurazione e la gestione della disponibilità dell'infrastruttura IT per garantire che i requisiti aziendali stabiliti per la disponibilità siano coerentemente soddisfatti. La gestione della disponibilità può essere applicata ai servizi IT definiti come funzioni aziendali critiche, anche quando non esistono contratti di servizio, come si verifica comunemente nel livello Standard dell'ottimizzazione. Per ulteriori informazioni, vedere il sito Web Microsoft Operations Framework Availability Management (in inglese).
Software di monitoraggio
Nella presente sezione viene descritto il modo in cui il software può essere utilizzato per monitorare la disponibilità dei server critici. In questo esempio, viene utilizzato Microsoft® Operations Manager (MOM) nel ruolo di monitoraggio. Il software per il monitoraggio della disponibilità dei server deve disporre delle seguenti funzionalità:
Possibilità di raccogliere informazioni sugli attributi dei server e di applicare determinate regole per monitorarli, in base agli attributi di cui dispongono.
Possibilità di ottenere dati provenienti dai registri eventi e altri fornitori, come definito da regole specifiche.
Possibilità di raccogliere dati sulle prestazioni in base ai contatori delle prestazioni.
Possibilità di generare avvisi in base ai criteri specificati nelle regole.
Risposta agli eventi
È possibile utilizzare i dati associati al monitoraggio per quantificare, valutare e supportare un elevato livello di servizio IT. Questo livello di servizio si basa su quanto segue:
Disponibilità – Monitorare la disponibilità dei server comunicando con essi per accertarsi che siano in esecuzione.
Prestazioni – Monitorare i contatori delle prestazioni per accertarsi che i server siano in esecuzione entro parametri accettabili.
Capacità – Monitorare la capacità del disco e la pianificazione e l'analisi della capacità.
Individuazione degli errori – Identificare gli errori o le condizioni che riguardano i precedenti tre aspetti dei livelli di servizio.
Per informazioni sull'impostazione degli obiettivi di disponibilità, andare all'indirizzo https://technet.microsoft.com/en-us/library/a4bb7ca6-5a62-442e-86db-c43b6d7665a4.aspx.
Dati associati al monitoraggio
Durante il monitoraggio dei server, vengono generati dati che vengono archiviati in un database. Il monitoraggio produce quattro tipi di dati: dati sugli eventi, dati sulle prestazioni, dati sugli avvisi e dati sul rilevamento.
Dati sugli eventi
I server gestiti registrano gli eventi nei registri eventi locali (applicazione, protezione e sistema). MOM, ad esempio, raccoglie informazioni sugli eventi da questi registri. I dati sugli eventi raccolti possono essere utilizzati per:
Generare report tramite il server di report e il database di report.
Fornire un contesto per i problemi rilevati (sotto forma di avvisi).
Fornire informazioni sullo stato del computer, derivato dalla correlazione dei dati provenienti dagli eventi di consolidamento o dagli eventi mancanti.
Dati sulle prestazioni
I dati numerici sulle prestazioni vengono raccolti da fonti quali contatori delle prestazioni Windows e Strumentazione gestione Windows (WMI). I dati sulle prestazioni raccolti possono essere utilizzati per:
Visualizzare i dati sulle prestazioni nella console operatore utilizzando diversi formati quali moduli, elenchi e grafici.
Generare report tramite il server di report e il database di report.
Identificare i superamenti soglia critici che potrebbero indicare problemi di prestazioni.
Dati sugli avvisi
I dati sugli avvisi indicano un problema rilevato sui server gestiti. I dati sugli avvisi contengono le seguenti informazioni su un problema rilevato:
Il tipo di entità interessato dal problema. Questo viene descritto come un tipo di individuazione di servizio.
L'entità interessata dal problema.
La gravità del problema.
Il nome dell'avviso, la descrizione, lo stato del problema, il conteggio degli avvisi e lo stato di risoluzione.
Gli avvisi sono indicatori che informano gli utenti sullo stato dei computer gestiti. Forniscono, inoltre, le basi per il monitoraggio dello stato.
Aggiornamenti degli avvisi
I dati sugli avvisi archiviati nel database vengono continuamente aggiornati quando vengono raccolte informazioni sul server che ha generato l'avviso. Utilizzando di nuovo MOM come esempio, quando un problema viene rilevato, viene generato un avviso. L'avviso viene inserito nel database come avviso che indica un nuovo problema. Se MOM rileva che il problema non sussiste, genera un altro avviso per aggiornare lo stato del problema dell'avviso originale. Infine, lo stato del problema dell'avviso esistente nel database viene aggiornato e contrassegnato come corretto; tuttavia, è ancora necessario confermare l'avviso risolvendolo.
Eliminazione degli avvisi
L'eliminazione degli avvisi è il meccanismo per specificare quali avvisi devono essere considerati come problemi univoci. Parte del processo di definizione delle regole che genera l'avviso consta nella definizione dei campi di eliminazione degli avvisi. Se non viene impostata l'eliminazione degli avvisi, ogni nuovo avviso generato dalla funzionalità di run-time MOM viene considerato come un nuovo problema. I campi di eliminazione degli avvisi vengono utilizzati per specificare le proprietà dell'avviso, il cui valore deve essere identico se due avvisi indicano lo stesso problema.
Dati sul rilevamento
I dati sul rilevamento contengono un'istantanea delle entità rilevate per un determinato ambito. A differenza dei dati sulle altre operazioni, i dati sul rilevamento non vengono direttamente esposti all'utente. Vengono esposti come diagrammi di topologia, attributi del computer, elenco dei servizi o elenchi dei computer.
Fase 4: distribuzione
Dopo aver definito i servizi critici per il monitoraggio, determinato i dispositivi necessari per il servizio, sviluppato un modello dello stato e valutato il software di monitoraggio appropriato alle esigenze dell'organizzazione, è il momento di implementare la soluzione di monitoraggio della disponibilità.
Se l'organizzazione ha scelto Microsoft Operations Manager come tecnologia per eseguire il monitoraggio della disponibilità dei sistemi, è possibile trovare indicazioni dettagliate per la distribuzione nel sito Web MOM 2005 Deployment Guide (in inglese) di Microsoft TechNet.
Operazioni
L'obiettivo delle operazioni è quello di gestire le attività del processo di gestione della disponibilità per i server critici. Il processo delle operazioni deve garantire che i servizi IT critici distribuiscano i livelli di disponibilità definiti per l'organizzazione.
Ulteriori informazioni
Per ulteriori informazioni sul monitoraggio della disponibilità dei server con MOM, andare all'indirizzo https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/faf19f47-facd-4467-9510-e7c84c671572.mspx?mfr=true.
Per informazioni su ulteriori funzionalità per ottimizzare il monitoraggio dei server tramite MOM, vedere il contenuto di Solution Accelerator:
Notification Workflow — Notification Workflow è un'applicazione di servizi di notifica basata su Microsoft® SQL Server™ che può essere utilizzata per estendere le funzionalità di notifica di MOM 2005.
Autoticketing — Autoticketing fornisce indicazioni per la generazione automatica dei ticket, consentendo la pubblicazione automatica di una richiesta (o ticket) nel sistema TT (Trouble Ticketing) utilizzato per la gestione degli imprevisti.
Alert Tuning Solution — Alert Tuning consente di ridurre il volume degli avvisi durante la distribuzione dei Management Pack MOM 2005.
Service Continuity — Service Continuity consente di gestire la disponibilità del servizio MOM 2005.
Multiple Management Group Rollup — Multiple Management Group Rollup consente a un'azienda di propagare i dati da diversi gruppi di gestione in un data warehouse per creare report consolidati e aggregati.
Per informazioni su come Microsoft controlla Exchange Server 2003, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/monittsb.mspx.
Checkpoint: monitoraggio della disponibilità dei server critici
|
Requisiti |
|---|---|
Installato software per il monitoraggio della disponibilità quale Microsoft Operations Manager (MOM). |
|
|
L'80% dei server critici è sottoposto al monitoraggio delle prestazioni, degli eventi e degli avvisi. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Standard per il checkpoint Monitoraggio della disponibilità dei server critici.
Si consiglia di attenersi alle procedure consigliate aggiuntive riportate nel sito Web Microsoft Operations Manager 2005 TechCenter (in inglese) di Microsoft TechNet.
Passare alla domanda di autovalutazione successiva.