Ciao, dopo l'ennesimo roadshow di Microsoft (a cui partecipo sempre volentieri, per carità!!!! ), colgo l'occasione per farvi un breve resoconto del SP1 di Windows Server 2003.
Dunque, partiamo dall'ovvio: in gran parte il SP1 di 2k3 deriva dal SP2 di Xp, ma di questo vi sarete già accorti tutti.
Proprio il Windows Firewall di Xp SP2 è stato portato su 2003 con questa Service Pack e poco c'è da dire su questo, funziona in maniera identica.
Grazie al firewall, si può approfittare del Post Setup Security Updates: se il sistema viene installato "from scratch" con Windows Server 2003 con SP1 integrato (pensiamo ad un cd di 2003 RTM su cui sia stato fatto lo slipstreaming del SP1) o viene upgradato da NT, il firewall dopo il setup si attiva in automatico proteggendo la macchina, dando modo di scaricare tutti gli aggiornamenti critici di sicurezza e di configurare gli aggiornamenti automatici. Non entra in funzione su macchine 2003 aggiornate in un secondo tempo a SP1 o 2000 aggiornati a 2003 SP1.
Passiamo poi al DEP, la prevenzione di esecuzione di codice nocivo sulla macchina (anche questa feature è stata "prelevata" dal SP2 di Xp): il DEP è possibile sia via hardware sia via software, anche se la il DEP hw -che offre una migliore protezione- richiede logicamente il supporto della CPU (come i processori a 64 bit di ultima generazione). Tuttavia, anche con una CPU 32 bit il dep software può offrire un buon grado di protezione, almeno per quanto riguarda i binari del sistema operativo.
DEP è conigurabile a in vari modi: infatti lo si può disabilitare del tutto, abilitare solo per alcune applicazioni o abilitarlo tout court per ogni applicazione: finora non sono state riscontrate incompatibilità significative, ma potrebbero esserci problemi con dei compilatori just-in-time o dei driver di alcune periferiche (in particolare Usb).
RPC (punto dolente di Win...): anche in questo caso ci sono novità, dato che ora non è permesso più in modalità "anonima"
TCP/IP: Implementate restrizioni sul traffico Raw Socket; inoltre, per prevenire degli attacchi DOS sono state poste delle limitazioni sul numero delle connessioni TCP incomplete che l'os può gestire (più che imporre una limitazione, il SP1 fa in modo che, se le connessioni TCP incomplete che restano appese fino al timeout iniziano ad "accumularsi", le nuove connessioni vengono messe in coda e smaltite man mano).
Network Load Balancing: nella versione RTM, erano necessarie 2 schede di rete per macchina in caso si volesse adottare il NLB. Una veniva usata per servire i client (la "esterna") ed una per le comunicazioni "intra-array" (la "privata"); questo perchè la scheda con attivato il NLB non poteva gestire le comunicazioni intra-array. Con SP1 invece si può utilizzare una sola scheda per il NLB, sia per comunicazione intra-array sia per servire i client.
Infine il Security Configuration Wizard, un potente strumento per mettere in sicurezza il vostro server in base al (od ai) ruolo(i) ricoperto: non si tratta solo delle config fatte via group policy, ma anche di modifiche profonde alle configurazioni di componenti come IIS ad esempio: nonostante la "potenza" dello strumento, forse questo è stato il punto che meno mi ha convinto del SP1, dato che come tutti i wizard non si sa mai cosa viene effettuato dal os in realtà (anche se si potrebbe, dato che la config che viene applicata è in realtà un file Xml) e basta abilitare un flag di troppo per ritrovarsi un server inutilizzabile (magari un Dc... Aiuto!!!). Bisogna fare tutto con molta attenzione, tanto che alla fine forse conviene fare le cose alla maniera tradizionale (a mano
Per il momento è tutto -anche perchè son le 23,20!!!- ma se avete correzioni, dubbi, domande, esperienze con il SP1, postate pure, così ci si ragiona tutti insieme.
Rispondi quotando
