none
Nano server: secondo me hanno sbagliato a togliere anche windows update RRS feed

  • Discussione generale

  • Ciao,

    La mia è solo una considerazione e magari sbaglio, ma ho avuto necessità di pubblicare alcune app in internet e la prima cosa che ho pensato di fare e stata quella di limitare la superficie d'attacco il più possibile impiegando un nano server.

    Fa il suo lavoro egregiamente, ma sono tornato sui miei passi quasi subito installando una versione core.

    La ragione è che condivido appieno che riducendo i componenti si hanno macchine più difficilmente exploittabili, ma per me è sbagliato tagliare anche su componenti a mio avviso indispensabili per la sicurezza come windows update.

    Lasciare il deploy delle patch all'intervento umano che ben che vada verrà eseguito solo al rilascio dei cumulativi, e non path per patch, espone il nano server a periodi più lunghi di vulnerabilitá.

    venerdì 6 luglio 2018 06:57

Tutte le risposte

  • Il discorso update è sempre molto relativo e spinoso. Personalmente non tocco i server che funzionano. sicuramente non lascio una politica di autodeployment o wsus sui server. tutto ciò che è sconosciuto soprattutto lato server va testato prima. Se non puoi farlo, tantovale non farlo (scusa il gioco di parole). Nel corso degli anni sono arrivati tantissimi thread di OP che fanno updates senza avere consapevolezza di cosa fanno "findandosi" e poi si ritrovano con la macchina piantata e corrono a chiedere aiuto. Credo, senza mezze misure, che questa sia una grossa carenza professionale. Sarò un maniaco, ma sui server dei miei clienti non ci va niente che io non sappia cosa fa, nemmeno se è una update certificata. Su una piattaforma essenziale come la Nano trovo giustissima la questione della "consapevolezza" delle updates, soprattutto perchè non è fatta per essere continuamente modificata. 

    Sfaterei anche la leggenda degli "exploit". Una parte della mia vita lavorativa da Etichal Hacker quale sono consiste nel bucare le strutture altrui. E' vero che ogni giorno escono nuovi tools e nuovi bug, ma di li a subire un reale attacco alla piattaforma server c'è in mezzo tutto in insieme di leggerezze professionali quali server pubblicati non protetti, senza certificati, senza vpn, con ip pubblici e la carenza di aggiornamenti è la punta dell'iceberg, te lo assicuro. Qui la tua osservazione è condivisibile o meno, ma la panacea (o quasi) della sicurezza IT di un server pubblicato ha le updates al 5-6 posto in una scaletta dove al posto 1 c'è il sicurare la connettività verso quel server. Se tieni fuori chi non deve nemmeno presentarsi alla porta hai il 90% della problematica risolta.

    Se invece parli di vulnerabilità su rete locale..be' anche li c'è tutta una gestione dell'infrastruttura prima di arrivare ad exploitare un server, core, nano o Std che sia.

    ciao.

    A.


    domenica 8 luglio 2018 12:39
    Moderatore
  • Non so Alessandro. Sei una persona competente ed esperta ed io tendo a rivedere le mie convinzioni appena sono poco poco in contrasto con le tue.

    Continuo però a pensare che non ha senso ritardare il patching perché tanto intervengono a monte altri sistemi di sicurezza. Se fosse così allora tanto varrebbe mettere la versione GUI.

    IDS e altri accorgimenti, così come un efficace sistema di backup/ripristino dei server fanno parte delle procedure, mentre io facevo un ragionamento su un server che nasce con la pretesa di essere più leggero e sicuro limitando al minimo la superfice d'attacco. 

    Andando OT rispetto al nanoserver, ma per giustificare il mio approccio al patching dell'infrastruttura, concordo che Il patching selvaggio potrebbe anche creare problemi, ma diffondere rapidamente le patch sui server virtuali non è selvaggio nel momento in cui si ha backup integrale di ogni VM ogni notte. Non è selvaggio, sempre a mio avviso, nemmeno il rapido patching dei vari cluster con l'accorgimento di farlo prima su un nodo e poi degli altri nodi nei successivi giorni.

    In tanti anni, ho avuto problemi che non sono riuscito ad affrontare da solo (o col vostro aiuto) solo una volta, ma Microsoft mi ha rilasciato a breve giro una patch beta risolvendomi comunque il problema. 

    Anche il discorso exploit lo vivo in modo diverso. "Non sono tutti li a bucarti la rete" è valido in quasi tutti i casi ma alcuni soggetti sono più presi di mira di altri e oggi, con qualche bitcoin/monero in portafoglio, non è più solo l'etichal hacker a proccuparmi. 

    Pronto a riverere le mie opinioni, ma ad oggi, non avendo mai avuto esperienze drammatiche con gli aggiornamenti, ho preferito mettere una 2016 core. 



    giovedì 26 luglio 2018 23:50
  • Marco, la mia domanda è semplice. Tu realmente conosci qualcuno in grado di eludere un firewall perimetrale di un'azienda da fuori? Io si. Ma li conto sulle dita di una mano. Ora il patching è solo la punta dell'iceberg di tutto un sistema di sicurezza che ha senso finquando la segretaria non ti da l'accesso al suo pc. A me personalmente le cose automatiche non sono mai piaciute. Mi piace decidere cosa e quando installare. Trovo la politica di patch di W10 a dir poco esasperante ed ingestibile. Siamo passati da una situazione di totale lassità delle patch a dover fare update per forza perchè non riesci a stopparle. Ma dare una via di mezzo? Soprattutto a chi come noi lo fa di mestiere? Si può fare eh, siamo nel 2018, se vuoi tu casa madre puoi decidere di lasciare le update per gli utenti meno sgamati e dare la possibilità ai tecnici di farle se e quando vogliono. Invece no. Mi montano l'antivirus di default sui server (?!???!) Scusa?? Il Defender su 2016? Dai ma siamo seri. Io sono sempre stato un uomo Microsoft ma le ultime scelte del team W10 e Wserver non le capisco mica eh. Non puoi sostitutire le competenze con degli IT con l'automazione, non è mica Apple questa qui, io scelsi MS proprio perchè era una via di mezzo tra la totale inconsapevolezza (Apple) e il dover studiare 200 pagine per un comando (Linux)...adesso mi pare che ci siamo Appleizzati un pochino troppo...e la scelta la condivido poco sinceramente. Gli IT devono formarsi, certificarsi, operare sul campo ed avere sempre più compentenza, non che ogni persona sul pianeta può installare una piattaforma server perchè è tutto automatizzato security compresa altrimenti scendiamo nel qualunquemente dell'IT...imho.

    ciao!

    A.

    venerdì 27 luglio 2018 05:58
    Moderatore