Redmond (USA) – Sono trascorsi tre anni da quando Microsoft ha immesso sul mercato il suo ultimo sistema operativo server, Windows 2000. Tre anni in cui il big di Redmond ha tracciato i contorni della sua imponente e complessa strategia MS.NET, rilasciato decine di nuovi prodotti e ampliato il proprio business verso nuovi mercati, fra cui quello dei dispositivi wireless.
In questo arco di tempo, e con Windows Server 2003 ormai alle porte, Microsoft vuole ora dimostrare di essere riuscita a raggiungere uno dei suoi obiettivi più importanti: fare della sicurezza la prima priorità del suo nuovo modello di sviluppo del software.
Microsoft è cosciente del fatto che la prossima versione server di Windows rappresenterà il più grande esame per l’iniziativa Trustworthy Computing varata un anno fa da Bill Gates: un esame il cui esito avrà importantissime ripercussioni sull’immagine dell’azienda e sul successo del nuovo sistema operativo, specie in previsione della grande sfida con Linux.
“Windows Server 2003 è stato progettato e costruito con la sicurezza avanzata come prima priorità”, ha affermato Bill Veghte, corporate vice president della Windows Server Division. “La sicurezza è certamente la massima preoccupazione per i clienti, e le nuove funzionalità che stiamo fornendo in questa release (di Windows, NdR) renderà più semplice creare infrastrutture sicure”.
Il primo passo per rendere il nuovo sistema operativo più sicuro – secondo quanto ha spiegato Mike Nash, corporate vice president della Security Business Unit di Microsoft – è stato quello di disattivare di default oltre 20 servizi, fra cui il Web server Internet Information Services 6.0. Microsoft sostiene poi di aver lavorato moltissimo per limitare al massimo il numero di servizi e di applicativi che necessitano di essere eseguiti con i privilegi di alto livello. Un altro passo, secondo Nash, è stato poi quello di eliminare la possibilità, per gli utenti remoti, di accedere al sistema utilizzando una password vuota: una funzionalità, questa, che gli esperti di sicurezza hanno a lungo criticato.
Per ridurre il numero e la gravità delle falle dovute ai più comuni errori di programmazione, come i noti “buffer overflow”, Microsoft ha sviluppato un nuovo motore Common Language Runtime che, a suo dire, costituirà da solo uno dei più importanti miglioramenti sotto il profilo della sicurezza e dell’affidabilità della prossima versione di Windows.
Windows Server 2003 integrerà versioni aggiornate della Public Key Infrastructure (PKI) e della sua alternativa Protected Extensible Authentication Protocol (PEAP), due tecnologie che forniscono servizi per la protezione delle comunicazioni, l’autenticazione e la criptazione del file system.
Per quanto riguarda Internet Explorer, Microsoft ha spiegato che questo includerà una nuova tecnologia chiamata “IE Enhanced Security Configuration” che prevede, come configurazione standard, l’impostazione di tutte le funzionalità riguardanti la sicurezza sul massimo grado di protezione: ad esempio, per accedere ad un sito attraverso il browser sarà ora necessario che il suo URL venga inserito all’interno di una lista dei siti ritenuti degni di fiducia.
Nei prossimi mesi Microsoft conta di rilasciare nuovi strumenti per la sicurezza da integrare in Windows Server 2003: fra questi c’è il Secure Configuration Wizard, un add-on che ottimizzerà la configurazione dei server in base al loro ruolo.
Secondo quanto dichiarato da Nash, Microsoft ha già investito 200 milioni di dollari per migliorare la sicurezza della piattaforma Windows e “introdurre un cambiamento culturale che investa il modo di pensare dei nostri impiegati, sviluppatori e partner”. Una cospicua fetta di questa somma sarebbe stata spesa per quell’imponente revisione del codice che lo scorso anno ha coinvolto 11.000 ingegneri e ha interessato alcuni dei più importanti prodotti di Microsoft, fra cui Windows Server 2003.
Ti potrebbe interessare
27 gen 2003