Microsoft: ricetta per la sicurezza di IIS

L'azienda è decisa a dimostrare che la sicurezza di IIS dipende da chi lo gestisce. Ma il Gartner non è d'accordo
L'azienda è decisa a dimostrare che la sicurezza di IIS dipende da chi lo gestisce. Ma il Gartner non è d'accordo


Redmond (USA) – Se il Gartner denuncia la scarsa sicurezza di Internet Information Server e suggerisce alle aziende di prendere in considerazione prodotti alternativi, magari open source, Microsoft risponde mettendo in atto una nuova strategia per la sicurezza, enunciata pochi giorni fa , e pubblicando sul proprio sito una lista delle cose da fare per rendere più sicuro il proprio server Web.

Il documento, disponibile a questo indirizzo , descrive le pratiche necessarie a proteggere i sistemi IIS dagli attacchi di cracker e codici maliziosi, come i più recenti worm.

Secondo Microsoft, la prima cosa da verificare per minimizzare i problemi è individuare quei sistemi che non adottano le indispensabili misure di sicurezza richieste per un qualsiasi server connesso ad Internet e che per questo motivo rischiano di trasformarsi in “teste di ponte” per i virus, compromettendo l’intera sicurezza di una rete.

Il documento definisce questi sistemi “erbacce” e, insieme ai sistemi di test, li classifica fra quelli più trascurati e scarsamente amministrati all’interno delle aziende. Il big di Redmond riporta dunque alcune delle procedure da seguire per portare questi sistemi a soddisfare i requisiti basilari di sicurezza, consigliandone inoltre la separazione fisica dai sistemi di produzione.

Microsoft consiglia poi ai clienti di creare dei team di intervento rapido pronti a fronteggiare eventuali incidenti di sicurezza e di implementare strategie di sicurezza che prevedano la costante manutenzione e amministrazione di tutti i server connessi con l’esterno.

Nel documento Microsoft ricorda poi l’esistenza di alcuni tool e servizi , da HFNetChk al Microsoft Personal Security Advisor , rilasciati di recente con l’intento di aiutare utenti e amministratori di sistema nel rendere più sicure le loro macchine attraverso una più facile ed efficiente gestione degli aggiornamenti e della configurazione dei sistemi.

Le nuove strategie per la sicurezza messe in piedi da Microsoft continuano però a non soddisfare John Pescatore, vice presidente del Gartner e autore del noto rapporto sulla scarsa sicurezza di IIS.

“Non abbiamo bisogno soltanto di un cambiamento nelle pratiche di amministrazione – spiega Pescatore -, abbiamo bisogno di vedere cambiamenti nel prodotto. Non è possibile continuare a dire alla gente che deve spendere più denaro e sforzi per far fronte alle deficienze di IIS”. Una posizione intransigente che reitera accuse che da tempo dividono la comunità degli esperti.

Sono infatti in molti gli analisti che puntano il dito proprio sugli amministratori di sistema sui quali, secondo questa impostazione, cade la responsabilità di attuare politiche di sicurezza più aggressive di quelle adottate fino ad oggi.

Link copiato negli appunti

Ti potrebbe interessare

07 10 2001
Link copiato negli appunti