WSUS: una sicurezza su tutti i Pc Windows

di Alessandro Vinciarelli

scritto il

Presentazione del Microsoft Windows Server Update Services, uno strumento gratuito di Microsoft che permette la gestione centralizzata della sicurezza di tutti i Pc Windows aziendali

Porre particolare attenzione alla sicurezza informatica è oramai diventato un task essenziale per ciascun possessore di un personal computer. Questa necessità risulta ancora più evidente all’interno di una azienda perché, come ci mostrano le statistiche, queste sono le più frequentemente soggette a problemi di natura informatica legati alla sicurezza. Quando un dipendente si siede davanti alla sua postazione gli amministratori di sistema sanno che quel nodo potrebbe essere una via d’accesso verso l’intero sistema. Sono, inoltre, consapevoli che i Pc potrebbero essere costantemente osservati dall’occhio attento di un malevolo hacker.

Per questa ragione esiste una innumerevole quantità di prodotti per gestire la sicurezza in questo ambito, ma pochi garantiscono un certo livello di affidabilità e dettaglio. Tra i più meritevoli troviamo quelli sviluppati dalla Microsoft stessa che, meglio di chiunque altro, conosce il proprio sistema operativo e i propri punti deboli. In questo contesto si inseriscono differenti tool per la protezione dei Pc giacenti sulla rete aziendale, tra i quali ad esempio SMS (Microsoft Systems Management Server) e il gratuito WSUS (Microsoft Windows Server Update Services).

In questo articolo, tratteremo l’analisi del secondo dei sopraccitati software, mentre in un prossimo ci occuperemo del primo. Ci focalizzeremo sulle caratteristiche principali e ne forniremo una brevissima guida introduttiva all’uso. In particolare prenderemo in considerazione la versione 3.0.

Microsoft Windows Server Update Services, disponibile per Windows Server 2003, rende possibile agli amministratori di sistema di diffondere, verso i computer presenti nella rete aziendale, gli aggiornamenti relativi al sistema operativo Windows. In questo modo è sempre possibile verificare lo stato della sicurezza dell’azienda e degli aggiornamenti rilasciati dal servizio di service update di Windows.

WSUS, nella sua versione 3.0, può ormai considerarsi un prodotto stabile e consolidato, costruito sul successo delle versioni precedenti e sull’ampliamento di funzionalità e usabilità.

Già a partire dalla configurazione iniziale, ci si rende subito conto che lo studio del dettaglio ha raggiunto ottimi risultati, fornendo all’utente una fase di installazione chiara e completa. Inoltre, i pannelli che guidano l’amministratore al setup del prodotto permettono una configurazione personalizzata e adattabile alle proprie esigenze aziendali.

Figura 1. Procedura di configurazione

Procedura di configurazione

Una volta istallato WSUS, quello che colpisce, prima di ogni altra cosa, è che l’interfaccia grafica possiede delle caratteristiche molto potenti, che mostrano in un’unica finestra molti dettagli in modo rapido e facilmente accessibile. Chi ha già avuto esperienza con le precedenti versioni e con il Software Update Services, noterà immediatamente che l’interfaccia ha subito uno stravolgimento notevole e che questa nuova versione 3.0 accosta la sua grafica ad un altro prodotto di casa Microsoft, Microsoft Management Console (MMC) 3.0.

Figura 2. Finestra principale

Finestra principale

Ovviamente al cambiamento di grafica è associato anche un miglioramento delle funzionalità.

Con WSUS possiamo infatti creare i cosiddetti nested computer group, ovvero gruppi di computer annidati in grado di stabilire una sorta di gerarchia nella struttura IT aziendale. Inoltre è possibile sottomette un Pc a differenti gruppi senza più essere vincolati ad un unico gruppo genitore, come avveniva sino ad ora.

Nel pannello in altro a sinistra è stata aggiunta una voce "search" che ci permette di ricercare gli aggiornamenti in base a differenti parametri come: titolo, descrizione, numero Microsoft Knowledge Base (KB), numero Microsoft Security Response Center (MSRC).

WSUS, inoltre, si adatta perfettamente alle diverse strutture aziendali, permettendo al system administrator di creare viste specifiche a seconda del software istallato nei propri sistemi. Ad esempio se l’azienda ha sottoscritto un contratto per le licenze di Office, sarà possibile creare un pannello di gestione dei soli aggiornamenti riguardanti tale suite. In questo modo, il compito dell’aggiornamento software avviene in maniera più organica e gestibile, così i report saranno generati su misura anche per questa nuova classe di aggiornamenti.

Il controllo remoto è garantito da un tool conosciuto come Terminal Services, oppure istallando la versione 3.0 di Administration Console su un computer dotato di Windows Server 2003, Windows Vista o Windows XP Professional. Questo perché, a differenza delle versioni precedenti di WSUS, la 3.0 non è una applicazione Web based e, come piccolo svantaggio in questo caso, ha bisogno di una applicazione di appoggio per poter eseguire l’accesso remoto.

Ma le interessanti funzionalità non terminano con quanto detto sinora. Ci sono differenti altri aspetti da sottolineare tra cui quello di report e statistiche, di pulizia del server, di gestione dei log, ecc.

Per quanto riguarda il primo aspetto citato, quello dei report, oltre alle ottime performance di reperimento dei dati, notiamo la completezza delle informazioni, accessibili da uno dei numerosi link presenti sulla pagina principale della applicazioni. Mentre per i report statistici le modalità di accesso sono due. In primo luogo possiamo analizzare dati globali, attestati sull’intera rete IT e quindi avere una visuale complessiva dei sistemi. In secondo luogo, e questa è la caratteristica ovviamente più interessante, possiamo entrare nello specifico del singolo gruppo e del singolo computer per visualizzarne così gli aggiornamenti.

Figura 3. Report generale

Report generale

Relativamente al singolo computer, è possibile visualizzare un report generale, come mostra la figura 3, oppure un report dettagliato che, in un elenco, ci mostra gli aggiornamenti disponibili e il loro stato attuale.

Figura 4. Report dettagliato

Report dettagliato

WSUS viene offerto con una serie di report template disponibili e accessibili dal pannello sinistro alla voce report. La loro organizzazione prevede tre categorie principali ed in particolare: Update Reports, Computer Reports, e Synchronization Reports. Il valore aggiunto è la possibilità di personalizzare i report stessi e la loro capacità di reperire informazioni. Ad esempio se uno di essi ha dei criteri di ricerca troppo limitati, o al contrario troppo vasti, è possibile aggiornali adattandoli alle specifiche necessità aziendali.

Come ultima nota riguardo ai report sottolineiamo una novità portata dalla considerazione che in passato non era data a nessuno, che non fosse l’amministratore, la possibilità di osservare i report ed analizzabili. Con WSUS 3.0 è stata, invece, creata una nuova posizione di utenti in grado di accedere alla console di amministrazione di WSUS in modalità di sola lettura (read-only).

Per quanto riguarda la Server Cleanup Wizard, è importante sottolineare come questa riesca a sobbarcarsi il costante lavoro, spesso odiato da molti amministratori di sistema, di pulizia necessario per mantenere i sistemi in ordine. Gli amministratori prima erano costretti ad imparare sequenze di linee di codice e di ripeterle frequentemente per ottenere quello che ora fa, in maniera automatica, il nuovo Wizard. In particolare i file che vengono ripuliti sono metadati e file di aggiornamento presenti nell’hard disk o nei database, oggetti non utilizzati per un periodo di tempo superiore ai trenta giorni, aggiornamenti superati o invalidati da nuove versioni. Il motivo principale dell’utilità di tale operazione è che con un ambiente completamente pulito WSUS 3.0 lavora in maniera più efficiente.

Infine spendiamo due parole sui log prodotti da WSUS. In questa versione è stato introdotto un servizio in grado di reperire informazioni di stato dettagliate direttamente dal Windows Application Event Log. In questo modo i problemi vengono rintracciati alla radice, con una frequenza che può variare a secondo dell’esigenza dell’utente, tipicamente viene impostata per essere eseguito all’avvio del sistema e ad un intervallo di sei ore.

WSUS, come tutti i prodotti di ultima generazione di casa Microsoft, viene offerto insieme ad un management pack per Microsoft Operations Manager (MOM) 2005 e System Center Operations Manager (SCOM) 2007. In questo modo le informazioni relative allo stato di "salute" dei server e dei client vengono rese facilmente disponibili e viene facilitata l’individuazione dei problemi, a partire dalle cause scatenanti.

Per chi non conoscesse i due sistemi di operation manager, diciamo brevemente che sono un modo per facilitare il processo di gestione e controllo delle operazioni e delle prestazioni dell’intera struttura IT. Gli operation manager rappresentano un unico punto di monitoring dell’ambiente aziendale in grado di gestire migliaia tra server, applicazioni e client e di offrire una visione agile dello stato di salute dell’organizzazione stessa. Per chi volesse provarne l’utilizzo, è disponibile per il download direttamente sul sito ufficiale della Microsoft.