Windows Server & workstation :: Cavone.com

Disponibile Windows Server 2003 SP1 (Download qui)

 

Molte le novità introdotte dal primo service pack di windows 2003 server sopratutto per ciò che riguarda la sicurezza dei sistemi e delle reti, le principali sono:

 

a) Post setup Security Updates
Durante il setup di tutte le patchs successive al SP1 il firewall di windows si attiverà automaticamente chiudendo tutte le porte e lasciando solo la porta 80 per consentire il download da windowsupdate.com, ovviamente l'installazione delle patch sui server converrà farle sempre in modalità interattiva e mai in maniera automatica (anzi converrà sicuramente prima provarle su server di test e non direttamente su quelli di produzione).
Il wizard di configurazione degli aggiornamenti del Server si attiverà solo ed unicamente
dopo l'installazione su un server vergine oppure su uno dove si è eseguito un upgrade da windows NT server. A seguito dell'upgrade da Windows 2000 la configurazione degli aggiornamneti del sistema operativo erediterà le impostazioni esistenti.
Se si sceglie di mantenere il server aggiornato sarà possibile specificare quale tipologie di pacchetti controllare in maniera automatica (ma non installare, l'installazione è fortemente consigliable farla manualmente): hotfix, aggiornamenti della protezione, service pack, aggiornamneti dei driver, aggiornamenti degli applicativi,...

 

b) Data Execution Protection (DEP)
Mediante la funzionalità "Protezione esecuzione programmi" è possibile evitare che virus o altre minacce contro la protezione danneggino il sistema eseguendo codice dannoso da posizioni di memoria riservate a Windows e altri programmi. Questi tipi di virus compromettono il funzionamento del computer introducendosi nelle locazioni di memoria utilizzate da un programma, quindi diffondendosi fino a danneggiare altri programmi, file e contatti di posta elettronica.
Esistono due tipologie di DEP:
- DEP Hardware: il processore marca come non eseguibili le aree di memoria destinate ai dati, a meno che non contengano esplicitamente codice eseguibile.
- DEP Software:

La modalità da utilizzare sarà specificata nel file Boot.ini mediante il parametro: /noexecute = [Policy Level], dove i valori della "Policy Level" possono essere:
- OptIn: utilizzare questo valore se si desidera non eseguire nulla dalle aree di memoria
         assegnate ai dati. Questo è il valore di default per Win XP SP2.
         In tal caso SW DEP è ON, HW DEP è ON solo per specifiche aree.
- OptOut: HW e SW DEP sono abilitate con esclusione delle applicazoni specificate. Questo
          è il valore di default per Win 2003 SP1
- Always ON
- Always OFF

Le impostazioni non si effettuernno manualmente sul file boot.ini ma si applicano agendo sul Tab "Protezione esecuzione programmi", presente in Pannello di Controllo >> Sistema >> Opzioni prestazioni.

c) Security Configuration Wizard (SCW)
Questo è un wizard molto potente che consente la configurazione completa della sicurezza del sistema server attraverso l'utilizzo avanzato delle group policy (gpo) e di XML per l'esportazione/importazione delle impostazioni su altri server  con medesimi ruoli. 

Leggere attentamente tutti i messaggi che appariranno sul wizard e lasciar perdere, per documentarsi meglio, se non si sà bene cosa si sta facendo!

d) Windows Firewall 
E' lo stesso firewall di Windows XP SP2 ma è disabilitato per default per consentire l'utilizzo corretto del suddetto SCW, dopo la configurazione del Security Configuration Wizard il sistema di Firewall sottoindtenderà alle group policy stabilite.

e) Novità sullo stack TCP/IP 
E' stato limitato il numero di connessioni TCP incomplete IN USCITA (ovvero "pendenti" in quanto non si è ricevuto il relativo ACK Message). Raggiunto il limite ogni richiesta TCP pendente verrà accodata in uno speciale buffer e smaltita successivamente ad un rate costante.

f) Novità sulla sicurezza Wireless
E' stato migliorata l'implementazione Microsoft "IAS" del protocollo RADIUS, per fornire servizi A.A.A. (Authorization Authentication Accounting) completamente  integrati in Active Directory ed utilizzo intensivo di Certificati (PKI). Supporto completo per policy sofisticate basate su unità organizzative, gruppi, access medium, data/ora, etc. 

---

Ecco tutti i link per la documentazione ufficiale, vi consiglio vivamente di leggerli (in english) prima del setup!:

- Windows Server 2003 Service Pack 1 Product Overview Guide
- Windows Server 2003 Service Pack 1 list of updates
- Windows Server 2003 Service Pack 1 list of updates (security)