Microsoft: ricetta per la sicurezza di IIS

L'azienda è decisa a dimostrare che la sicurezza di IIS dipende da chi lo gestisce. Ma il Gartner non è d'accordo

Redmond (USA) - Se il Gartner denuncia la scarsa sicurezza di Internet Information Server e suggerisce alle aziende di prendere in considerazione prodotti alternativi, magari open source, Microsoft risponde mettendo in atto una nuova strategia per la sicurezza, enunciata pochi giorni fa, e pubblicando sul proprio sito una lista delle cose da fare per rendere più sicuro il proprio server Web.

Il documento, disponibile a questo indirizzo, descrive le pratiche necessarie a proteggere i sistemi IIS dagli attacchi di cracker e codici maliziosi, come i più recenti worm.

Secondo Microsoft, la prima cosa da verificare per minimizzare i problemi è individuare quei sistemi che non adottano le indispensabili misure di sicurezza richieste per un qualsiasi server connesso ad Internet e che per questo motivo rischiano di trasformarsi in "teste di ponte" per i virus, compromettendo l'intera sicurezza di una rete.
Il documento definisce questi sistemi "erbacce" e, insieme ai sistemi di test, li classifica fra quelli più trascurati e scarsamente amministrati all'interno delle aziende. Il big di Redmond riporta dunque alcune delle procedure da seguire per portare questi sistemi a soddisfare i requisiti basilari di sicurezza, consigliandone inoltre la separazione fisica dai sistemi di produzione.

Microsoft consiglia poi ai clienti di creare dei team di intervento rapido pronti a fronteggiare eventuali incidenti di sicurezza e di implementare strategie di sicurezza che prevedano la costante manutenzione e amministrazione di tutti i server connessi con l'esterno.

Nel documento Microsoft ricorda poi l'esistenza di alcuni tool e servizi, da HFNetChk al Microsoft Personal Security Advisor, rilasciati di recente con l'intento di aiutare utenti e amministratori di sistema nel rendere più sicure le loro macchine attraverso una più facile ed efficiente gestione degli aggiornamenti e della configurazione dei sistemi.

Le nuove strategie per la sicurezza messe in piedi da Microsoft continuano però a non soddisfare John Pescatore, vice presidente del Gartner e autore del noto rapporto sulla scarsa sicurezza di IIS.

"Non abbiamo bisogno soltanto di un cambiamento nelle pratiche di amministrazione - spiega Pescatore -, abbiamo bisogno di vedere cambiamenti nel prodotto. Non è possibile continuare a dire alla gente che deve spendere più denaro e sforzi per far fronte alle deficienze di IIS". Una posizione intransigente che reitera accuse che da tempo dividono la comunità degli esperti.

Sono infatti in molti gli analisti che puntano il dito proprio sugli amministratori di sistema sui quali, secondo questa impostazione, cade la responsabilità di attuare politiche di sicurezza più aggressive di quelle adottate fino ad oggi.
TAG: microsoft
30 Commenti alla Notizia Microsoft: ricetta per la sicurezza di IIS
Ordina

  • Gartner, chi è costui?



    Trattasi certametne di Gianfranco Gartner, noto centravanti del Basaldughi, mitica squadra di palla piramidale del Guambanadafanzelleddu, in provincia di Guano!
    non+autenticato
  • CANCELLARLO DAL PROPRIO HARD DISK e installare un sistema operativo GRATIS.
    Qual'e' ? Pensateci-.......
    non+autenticato
  • Disinstallarlo e utilizzare Apache, risparmiando nel contempo anche un sacco di soldi!!!
    non+autenticato
  • Dove posso trovare Apache? Non lo conosco per niente e vorrei iniziare ad informarmi...
    non+autenticato
  • Prova su www.apache.org, magari li trovi qualche ocsa di utile!Occhiolino

    Io lo uso su dei server importanti... e NON lo cambierei con IIS. Mai.

    E che chi lo usi possa non doversene mai pentire...

    Wishmerhill
    non+autenticato


  • - Scritto da: Jul
    > Disinstallarlo e utilizzare Apache,
    > risparmiando nel contempo anche un sacco di
    > soldi!!!

    si e poi dopo 10 utenti collegati in contemporanea, visto che apache non usa il multithred,(10 apache in memoria) il server si siede.
    quindi per rendere il tutto più veloce dovrai cambiare server,aumentare la memoria ecc...
    non ti conviene invece che lasciare allo stato brado il tuo iis, controllare se ci sono delle patch e applicarle.

    si sono daccordo con voi apache e sicuro ma lo è perche è troppo vecchio e lento.
    non+autenticato
  • Che sicuramente se scelgono IIS si meritano un po' di colpe....

    MIcrosoft e' proprio ridicola... Comincino a scrivere codice sicuro senza cazzate dentro, e non parlo degli Easter Eggs, poi suggeriscano di adottare "Politiche Aggressive....".

    Ogni volta che c'e' da caricare una "patch-per-adottare-una-politica-aggressiva" bisogna:

    1) fare un down dei servizi di una mezz'ora al minimo tra Spegimenti e riaccensioni
    2) toccarsi bene i gioielli di famiglia perche' non si sa mai
    3) rifare una giornata di test perche quelle fottute DLL sicuramente qualcosa hanno cambiato e se va bene hanno aperto un'altro buco da qualche parte.

    Ma buttatelo via IIS. Costa, rompe i coglioni e non funziona.

    non+autenticato
  • Questa volta do ragione a Microsoft, perche' e' OVVIO che se un amministratore lavora male qualsiasi prodotto diventa poco sicuro. Per quanto mi riguarda IIS mi funge bene, io applico tutte le patch, sto dietro alle novita' e non lo cambierei per nient'altro. Punto.
    non+autenticato
  • Si ha ragione è di Microsoft, no spettate, non ero in me...
    Come si può dire che Microsoft ha ragione, è agli occhi di tutti come i suoi software siano fatti con i piedi. Personalmente uso Microsoft ma lo faccio solo perché non mi considero all'altezza di utilzzare i più sicuri e professionali software Linux.

    Ciao a tutti
    non+autenticato
  • Vedi tu non hai capito NULLA !!!!
    Il tuo discorso sarebbe valido proprio per un server linux , quindi open source , gratuito , dove proprio perchè non paghi nulla nessuno ti puo' garantire una assistenza qualificata.
    Ma per MICROSHAFT la quale si fa pagare molto bene i suoi schifosissimi prodotti il discorso non vale.
    Io pago per avere uno scolapasta come O.S. e non e' certo colpa mia , come sistemista , se Microstrazz non mi da nessuna buona assistenza.
    P.S. quanto passa mediamente tra la pubblicazione di un exploit e la sua sistemazione mediante patch di Mamma M$ ? Bene in quel lasso di tempo credi che nessuno possa toccare la tua macchina ?
    Vabbè continua a usare M$ ma guardati bene le spalle , potresti trovarti con i tuoi dischi ben puliti , oppure la tua macchina potrebbe essere utilizzata per qualche attacco serio.
    Ciao , mi molli il tuo IP momentaneamente ? Ti faccio vedere che IIS e WINShaft hanno cmq grossi problemi. Divertiti.

    - Scritto da: Internet via IIS :-!
    > Questa volta do ragione a Microsoft, perche'
    > e' OVVIO che se un amministratore lavora
    > male qualsiasi prodotto diventa poco sicuro.
    > Per quanto mi riguarda IIS mi funge bene, io
    > applico tutte le patch, sto dietro alle
    > novita' e non lo cambierei per nient'altro.
    > Punto.
    non+autenticato
  • Ben detto ...

    lasciamo Microsoft e i suoi adepti (chiamarli sistemisti e' esagerato ...) ai loro problemi e festeggiamo i 10 anni del pinguinoSorride
    non+autenticato


  • - Scritto da: TDI
    > Vedi tu non hai capito NULLA !!!!
    > Il tuo discorso sarebbe valido proprio per
    > un server linux , quindi open source ,
    > gratuito , dove proprio perchè non paghi
    > nulla nessuno ti puo' garantire una
    > assistenza qualificata.
    > Ma per MICROSHAFT la quale si fa pagare
    > molto bene i suoi schifosissimi prodotti il
    > discorso non vale.
    > Io pago per avere uno scolapasta come O.S. e
    > non e' certo colpa mia , come sistemista ,
    > se Microstrazz non mi da nessuna buona
    > assistenza.

    beh ci sono tonnellate di materiali in internet aggiornati su come configurare IIS e checklists, best pratics...

    > P.S. quanto passa mediamente tra la
    > pubblicazione di un exploit e la sua
    > sistemazione mediante patch di Mamma M$ ?

    2 settimane

    > Bene in quel lasso di tempo credi che
    > nessuno possa toccare la tua macchina ?

    succede per tutti i software, no?
    A meno che non lo spegniOcchiolino

    > Vabbè continua a usare M$ ma guardati bene
    > le spalle , potresti trovarti con i tuoi
    > dischi ben puliti , oppure la tua macchina
    > potrebbe essere utilizzata per qualche
    > attacco serio.
    > Ciao , mi molli il tuo IP momentaneamente ?
    > Ti faccio vedere che IIS e WINShaft hanno
    > cmq grossi problemi. Divertiti.

    di quali problemi si tratta?
    E' una cosa importante per me.
    non+autenticato
  • Anch'io mi sto veramente rompendo di IIS.
    Ho avuto qualche giorno di tempo per provare linux , ma non mi sento all'altezza di configurarlo.
    Ho pure provato apache su una macchina w98 e gira perfettamente come applicativo su finestra DOS.
    Ho qualche problema per dargli da gestire più di un dominio, (Praticamente il file httpd.conf) perchè in rete si parla solo della versione per linux (e Voi smanettoni di linux, alla larga ad aiutare chi non è esperto nel vostro campo).
    Comunque sono del parere anch'io che appena posso me ne scampo da microsoft. o lascio solo macchine staccate dalla rete esterna per eseguire sql o query particolari.
    Sono anche d'accordo che microsoft continua a rilasciare Patch per IIS, come sono convinto che queste patch bloccano talmente il sistema che non si riesce più ad eseguire determinati script o cgi per la creazioni di siti dinamici.
    Per la serie IO ti proteggo dagli attachi, ma non scrivi più nemmeno tu che sei l'amministratore.


    non+autenticato


  • - Scritto da: mrt
    > Anch'io mi sto veramente rompendo di IIS.
    > Ho avuto qualche giorno di tempo per provare
    > linux , ma non mi sento all'altezza di
    > configurarlo.
    > Ho pure provato apache su una macchina w98 e
    > gira perfettamente come applicativo su
    > finestra DOS.
    > Ho qualche problema per dargli da gestire
    > più di un dominio, (Praticamente il file
    > httpd.conf) perchè in rete si parla solo
    > della versione per linux (e Voi smanettoni
    > di linux, alla larga ad aiutare chi non è
    > esperto nel vostro campo).
    > Comunque sono del parere anch'io che appena
    > posso me ne scampo da microsoft. o lascio
    > solo macchine staccate dalla rete esterna
    > per eseguire sql o query particolari.
    > Sono anche d'accordo che microsoft continua
    > a rilasciare Patch per IIS, come sono
    > convinto che queste patch bloccano talmente
    > il sistema che non si riesce più ad eseguire
    > determinati script o cgi per la creazioni di
    > siti dinamici.
    > Per la serie IO ti proteggo dagli attachi,
    > ma non scrivi più nemmeno tu che sei
    > l'amministratore.
    >
    >

    apache è vecchio te lo dice uno che è costretto ad usarlo con le jsp (tomcat) e php.
    e stabile perchè da anni non sono state apportate migliorie(solo patch per problemi di sicurezza).
    poi in quanto a liberta di fare porcherie con il codice puoi dimenticartele.
    accetta un consiglio spendi un po di tempo nel migliorare le tue conoscenze su iis e asp e lascia perdere apache.
    non+autenticato


  • - Scritto da: dallapadellaalla

    > apache è vecchio te lo dice uno che è
    > costretto ad usarlo con le jsp (tomcat) e
    > php.

    perché jsp e php sono vecchi e/o inutili e/o inaffidabili? fammi capire

    > e stabile perchè da anni non sono state
    > apportate migliorie(solo patch per problemi
    > di sicurezza).

    e allora? è un difetto, questo?

    > poi in quanto a liberta di fare porcherie
    > con il codice puoi dimenticartele.

    e già, certo. hai dimenticato che se vuoi puoi prendere il sorgente di apache stesso e modificartelo? non è che stai parlando di un altro webserver?

    > accetta un consiglio spendi un po di tempo
    > nel migliorare le tue conoscenze su iis e
    > asp e lascia perdere apache.

    accetta un consiglio: se non vuoi fare la figura dell'ignorante (o dell'incapace, scegli tu) evita di dare consigli
    non+autenticato
  • - Scritto da: godzilla
    > e già, certo. hai dimenticato che se vuoi
    > puoi prendere il sorgente di apache stesso e
    > modificartelo? non è che stai parlando di un
    > altro webserver?


    Non voglio entrare nel merito della discussione IIS/Apache/ecc..., ma vorrei che riflettessi su questo: hai dimenticato che il mondo non è fatto tutto di programmatori?
    Beh, se non lo sapevi te lo dico io...


    Byee
    Zeross
    non+autenticato
  • - Scritto da: Zeross
    > - Scritto da: godzilla
    > > e già, certo. hai dimenticato che se vuoi
    > > puoi prendere il sorgente di apache
    > > stesso e modificartelo? non è che stai
    > > parlando di un altro webserver?
    >
    > Non voglio entrare nel merito della
    > discussione IIS/Apache/ecc..., ma vorrei che
    > riflettessi su questo: hai dimenticato che
    > il mondo non è fatto tutto di programmatori?
    > Beh, se non lo sapevi te lo dico io...

    Hai dimenticato che i programmatori possono essere assunti ?
    non+autenticato