Guide: passo per passo

Condividi:        

Generale
PREMESSA: se non conoscete il significato di qualche parola consultate il nostro Glossario.
3. Bloccare il servizio server

Per quel che ne sappiamo, Nimda si propaga inserendosi nei file all'interno delle cartelle condivise; quindi possiamo aspettarci che i futuri worm bersaglino gli eseguibili e i documenti anch'essi nelle cartelle condivise. Il servizio Windows 2000 Server, attivato di default sulle macchine workstation e server, offre la condivisione dei files e l'accesso alla rete ai servizi, task pianificati e log degli eventi. Disattivare però questo servizio sulle workstations significa impedire la loro amministrazione remota attraverso MMC.

Sui computer dove non è possibile disattivare il servizio server, è possibile usare 2 diritti utente - Access This Computer From The Network e Deny Access To This Computer From The Network - per bloccare le connessioni di questo servizio.

Gli utenti senza il diritto di Access This Computer From The Network o che hanno Deny Access To This Computer From The Network su un sistema non possono connettersi a nessuna risorsa condivisa dal servizio server su quel computer. Solitamente, le uniche persone con necessità di connettersi in modo remoto a una workstation sono quelle di supporto a tale workstation. E' possibile creare un gruppo WorkstationSupport, creare poi un oggetto GPO applicabile a tutte le macchine. Nel caso si disponga di una OU (Organizzational Unit) Workstations, basta collegare il GPO a questa OU, modificarlo poi (sotto Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignement) in modo da abbinare il diritto Access This Computer From The Network solamente a questo gruppo. Definirei invece arduo riuscire a prevenire la propagazione di worm sui server che usano i files condivisi, dal momento che questi sistemi permettono la connessione a una vasta gamma di utenti.

Si possono in ogni caso prendere delle misure di sicurezza. In primo luogo bisogna valutare chi necessita di accedere al server sfruttando questo servizio; i computer che non sono dei file server, come i server di DB o ERP (Enterprise Resource Planning), gli utenti in genere non hanno bisogno di accedere a risorse condivise. Si può quindi limitare il diritto di Access This Computer From The Network ai soli amministratori e account che utilizzano questo servizio.

In secondo luogo, per i file server ed altre macchine sulle quali si necessita il servizio server attivo, bisogna valutare chi nella foresta ha oggettivamente bisogno di questa funzionalità: solitamente sono dei sottoinsiemi di utenti come dipartimenti o gruppi specifici. Di default il gruppo Everyone dispone del diritto Access This Computer From The Network, quindi è casa buona giusta cautelarsi apportando le dovute modifiche al gruppo già citato.

In ultimo, implementare una buona strategia difensiva. Usare misure restrittive come dei permessi mirati, riduce drasticamente il rischio di diffusione di un worm. Limitare i permessi di Write e Create in un dominio, accordandoli solo a chi ne ha veramente l'esigenza e seguire sempre il principio, ove possibile, del minor privilegio.


Generale: Dylan666 [40 visite dal 20 Dicembre 04 @ 00:01 am]