Redmond (USA) – A un anno esatto dal varo dell’iniziativa Trustworthy Computing , Microsoft si appresta a lanciare la seconda fase di quel piano a lunga scadenza attraverso cui ha promesso di focalizzare la propria attenzione sui problemi della sicurezza e della privacy, inclusa la dura battaglia contro i bug di sicurezza.
Fra i nuovi progetti contemplati dalla nuova strategia di sicurezza vi è la pubblicazione di nuove linee guida che aiutino utenti, amministratori di sistema e OEM a configurare al meglio i propri sistemi affinché siano meno vulnerabili agli attacchi informatici. Questo sforzo si è di recente concretizzato con la pubblicazione di una guida on-line di 20 pagine intitolata “Costruire e configurare siti Web più sicuri”.
La guida, consultabile gratuitamente sul sito MSDN (in inglese), spiega nei dettagli le procedure seguite dai tecnici Microsoft per mettere a punto una soluzione che durante la competizione OpenHack 4 , ha resistito con successo a 82.500 tentativi di attacco.
Nella sua nuova guida, Microsoft descrive le best practices che sviluppatori e amministratori di sistema dovrebbero adottare per rendere più sicure le proprie soluzioni Web basate su Windows 2000, Internet Information Services 5.0, SQL Server 2000 e.NET Framework, le stesse applicazioni di cui si è avvalso il big di Redmond per affrontare la competizione tenutasi lo scorso autunno.
Gli argomenti contemplati dalla guida vanno dalle form per l’autenticazione alla criptazione dei dati sensibili, dalle voci del registro utilizzate per “blindare” Windows 2000 allo standard IPSec, dall’amministrazione remota via VPN alla protezione dei database.
Questo documento ben si sposa con quell’imponente guida di oltre 600 pagine che lo scorso novembre Microsoft dedicò agli sviluppatori che intendano costruire Web service sicuri servendosi di ASP.NET. Anche questa pubblicazione può essere consultata gratuitamente, in lingua inglese, sul sito MSDN .
Fra i nuovi progetti che stanno impegnando la Security Business Unit di Microsoft vi è la creazione di una serie di linee guida sulla sicurezza chiamate “Prescriptive Architectural Guidance”. Attraverso questa sorta di prontuario, Microsoft spera di offrire agli IT manager, e in particolare ai grossi OEM come Dell e HP, un riferimento ufficiale per la configurazione di sistemi basati su Windows 2000 che meglio rispondano alle esigenze di sicurezza dei singoli clienti: la guida fornirà suggerimenti sui servizi che è opportuno attivare o meno e tenterà di spiegare il delicato rapporto fra funzionalità, sicurezza e compatibilità.
Microsoft ha affermato che simili linee guida potrebbero essere rilasciate, più avanti nel tempo, anche per Windows XP.
Il gigante di Redmond sostiene come la maggiore difficoltà in questo campo sia l’impossibilità di trovare un modello di sicurezza univoco e adatto per tutte le esigenze. Questo rende necessario, secondo Microsoft, un incessante lavoro per la stesura di linee guida e documentazione che possa aiutare i clienti a raggiungere un adeguato livello di sicurezza compatibile con la propria struttura informatica e i propri servizi.
Più facile, secondo Microsoft, è invece definire un modello attraverso cui classificare il livello di privacy delle applicazioni. Un primo passo verso questa direzione è dato dalla recente creazione del “Privacy Health”, un indice che Microsoft utilizzerà per misurare l’aderenza delle proprie applicazioni ad un insieme di canoni fondamentali per la riservatezza e la protezione dei dati.
Ti potrebbe interessare
8 gen 2003