Il passo da compiere immediatamente dopo l'installazione del sistema è quello
concernente la configurazione dei servizi.
Questa attività si rende
necessaria poichè per impostazione predefinita molti servizi vengono avviati in
modo automatico e quindi consumano, magari inutilmente, risorse preziose oppure
vengono eseguiti nel contesto dell'account di sistema ed allora espongono il
server ad una serie di rischi in caso di compromissione.
In effetti un
servizio pregiudicato che gira in un contesto di privilegi molto elevato
comporta, quasi inevitabilmente, l'acquisizione da parte dell'aggressore di un
potere di controllo della macchina pressocchè assoluto con tutte le conseguenze
che da ciò possono derivare; al confronto uno stesso servizio, attentamente
configurato in modo da non disporre di contesti privilegiati "superflui", pur
essendo una indubbia minaccia è ben lontano dal rappresentare una autentica
"voragine" per il sistema.
Linee guida
La configurazione dei servizi è una fase molto importante ed in quanto tale
dovrebbe essere posta in essere tenendo bene a mente due principi
fondamentali:
- eseguire un numero di servizi minimo assolutamente indispensabile per il
corretto funzionamento del server e disabilitare tutti gli altri: questa pratica
oltre ad avere un impatto positivo sia sulle risorse che sugli oneri di
amministrazione riduce drasticamente le probabilità di trovarsi in presenza di
un servizio che cela al suo interno una grave vulnerabilità; - tra i servizi precedentemente individuati eseguire automaticamente all'avvio
soltanto quelli che effettivamente lo richiedono ed impostare invece tutti gli
altri in modo da essere lanciati manualmente; - eseguire ciascun servizio con il minimo dei privilegi necessari per il suo
corretto funzionamento onde evitare il tipo di incovenienti prima citati;
Un dilemma che spesso si pone è quello concernente l'alternativa tra la
semplice disabilitazione dei servizi non necessari oppure la loro effettiva
cancellazione dal database dei servizi.
Peraltro, sebbene quest'ultima
soluzione sia quella che offre le maggiori garanzie in termini di sicurezza, va
detto tuttavia che essa si pone come poco pratica poichè obbliga ad una
successiva reinstallazione del servizio qualora insorga la necessità di
utilizzarlo.
Identificazione dei servizi
La scelta dei servizi da abilitare non può prescindere dal caso concreto.
Tuttavia applicando il principio dell'abilitazione del minor numero di servizi
possibile la tabella sottostante riporta, per un server web stand-alone con
livello di sicurezza medio/alto, una lista di servizi con l'indicazione del
relativo stato:
|
|
Abilitato |
|
|
|
| Application Management | |
| Clipbook | |
| COM+ Event System | |
|
|
|
| DHCP Client | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Fax Service | |
| File Replication | |
| Ftp Publishing Service | |
| IIS Admin Service | X |
| Indexing Service | |
| Internet Connection Sharing |
|
| Intersite Messaging | |
|
|
|
|
|
|
| Kerberos Key Distribution Center |
|
|
|
|
|
|
|
| Net Logon | |
| Network DDE | |
| Network DDE DSDM | |
| NT LM Service Provider | |
| Performance Logs and Alerts |
|
| Plug & Play | X |
|
|
|
| Protected Storage | X |
| QoS RSVP | |
| Remote Access Auto Connection Manager |
|
| Remote Access Connection Manager |
|
| Remote Procedure Call | |
| Remote Procedure Call Locator |
|
|
|
|
| Routing and Remote Access |
|
|
|
|
|
|
|
|
|
|
| Simple TCP/IP Services | |
|
|
|
| Task Scheduler | |
|
|
|
| Telephony | |
| Telnet | |
| Terminal Services | |
| Utility Manager | |
| Windows Installer | |
| Windows Time | |
| Windows Management Instrumentation |
|
| Windows Management Instrumentation Driver Extension |
|
|
|
|
| World Wide Web Publishing Service |
X |
È importante che le impostazione citate siano verificate dapprima in un
ambiente di test e, soltanto dopo questa fase, riprodotte eventualmente in un
ambiente di produzione.
