Systems Management Server 2003

di Alessandro Vinciarelli

scritto il

SMS 2003 R2 è il sistema server di Microsoft dedicato alla gestione completa degli aggiornamenti e delle configurazioni di sicurezza delle postazioni aziendali

La sicurezza informatica è fatta di tanti piccoli accorgimenti sulla configurazione e di una particolare attenzione nei confronti degli aggiornamenti del proprio parco software, siano essi applicativi di ufficio oppure il sistema operativo stesso.

Come sappiamo le aziende sono il target preferito per una moltitudine di individui che fanno dei crimini informatici un vero e proprio mestiere. Senza essere catastrofici dobbiamo comunque sottolineare che nel recente passato si è consolidata una consistente escalation delle possibili tecniche di attacco informatico ed una conseguente diffusione di codice maligno pronto a danneggiare il nostro computer sulla scrivania o ancora peggio i server della nostra azienda.

Per proteggere le proprie macchine spesso le aziende utilizzano moltissimi software, spesso in maniera disorganica, con la speranza di trovare rimedio ad ogni male. Tuttavia il risultato finale spesso non ripaga lo sforzo e i costi sostenuti e le aziende si ritrovano a dover cercare un’ altra soluzione ai loro problemi.

Microsoft tra i suoi prodotti legati alla sicurezza e agli aggiornamenti software propone Systems Management Server (SMS) 2003 R2. Questo software fornisce una possibile soluzione per mantenere sotto controllo i sistemi basati su piattaforma Microsoft e per rendere sensibilmente più celere ed efficiente la diffusione degli aggiornamenti software disponibili. Andiamo ad analizzare i componenti chiave del prodotto, per poi proseguire con una panoramica delle funzionalità.

Uno dei task più frequenti nell’infrastruttura aziendale è quello di aggiornare costantemente il sistema operativo di tutti i computer aziendali per tenerlo al passo con le ultime patch ed al sicuro da eventuali agenti esterni. Per risolvere questo problema potremmo prevedere di utilizzare un’altra soluzione Microsoft, ovvero Microsoft Windows Server Update Services (WSUS) un software apposito per la diffusione degli update di Windows sui vari nodi aziendali che abbiamo descritto in un nostro precedente articolo. Tuttavia un notevole miglioramento si otterrebbe se con la stessa semplicità fossimo in grado di distribuire anche gli aggiornamenti dei software proprietari o ancor meglio dei nostri software aziendali interni.

Proprio a questo scopo è disponibile nel Systems Management Server 2003 l’apposito software inventario per gli aggiornamenti personalizzati ITCU (Inventory Tool for Custom Updates).

Questo strumento è composto principalmente da due componenti:

  • Un software di scansione che ha il compito di valutare se l’aggiornamento software è conforme alle regole stabilite;
  • Un tool di pubblicazione in grado di progettare dei cataloghi di aggiornamento software da importare direttamente in SMS. Attraverso questi cataloghi SMS è in grado di individuare gli aggiornamenti disponibili e procedere alla loro diffusione verso i nodi prefissati.

Il secondo componente chiave è uno strumento di scansione per la valutazione delle vulnerabilità software. L’acronimo è STVA che sta per Scan Tool for Vulnerability Assessment.

Come possiamo capire dal nome stesso STVA ci viene in aiuto per una scansione delle vulnerabilità esistenti all’interno dell’organizzazione a causa di errori nella configurazione. Come sappiamo molti punti di insicurezza del sistema sono determinati da errori di installazione e di configurazione.

La conseguenza più tangibile in caso di problemi di sicurezza è che è necessario un intervento tecnico specializzato, spesso molto costoso. STVA dà la possibilità di costruire una infrastruttura sicura e di abbassare i costi di gestione attraverso una scansione continua sulle possibili fonti di insicurezza del sistema. Tra i controlli effettuati citiamo solo a titolo esemplificativo i controlli sullo stato di attivazione dei servizi e della loro fruibilità e sullo stato del firewall e degli aggiornamenti automatici. Inoltre è presente una sezione di controllo sulle utenze come ad esempio verifiche sulle password e sulla loro complessità, statistiche sugli account e sugli amministratori di sistema locali.

STVA ha la funzione di report che mostra all’amministratore di sistema, grazie all’ausilio del Microsoft Baseline Security Analyzer (MBSA) 2.0, una relazione completa sulle possibili configurazioni sbagliate dei sistemi.

Systems Management Server (SMS) 2003 R2 possiede altre molteplici funzionalità e di cui, per brevità, ne riassumeremo i campi di applicazione.

Per quanto concerne il deployment delle applicazioni, questo risulta semplificato in SMS grazie ai report dettagliati che esso genera. Anche in fase di pianificazione la semplicità d’uso e l’accuratezza sono garantite dalla possibilità di ottenere informazioni sulle applicazioni esistenti nel sistema, sui service pack e sugli aggiornamenti installati.

Per minimizzare lo spreco di banda (e di tempo) SMS è in grado, in caso di modifiche ai pacchetti software distribuiti, di inviare ai punti di distribuzione unicamente le modifiche apportate, senza inviare interamente la nuova versione del software.

Con il servizio di Windows installer con privilegi elevati, SMS è inoltre in grado di istallare le applicazioni anche in sistemi protetti, gestendo automaticamente il contesto dei privilegi utente. Terminata l’istallazione le applicazioni potranno infine essere visualizzate direttamente dal pannello Installazione applicazioni, rendendone la gestione e la visualizzazione estremamente semplici..

Per quanto riguarda la gestione delle risorse, è possibile monitorare l’utilizzo delle applicazioni, generando opportuni report riepilogativi, sia per singolo utente che per computer. Inoltre possiamo creare report di conformità, ottenuti confrontando i dati di utilizzo simultaneo con le attuali licenze possedute dall’azienda.

Sono disponibili oltre 120 report predefiniti che permettono di tenere traccia dell’inventario hardware e software, dello stato dei computer e dell’avanzamento dei processi di deployment del software. L’inventario hardware risulta più dettagliato in SMS 2003, grazie ai miglioramenti apportati a Windows Management Istrumentation, che ora comprendono anche informazioni sul BIOS e sui case dei computer. In ogni caso le funzionalità di rilevamento possono essere configurate per essere applicate solo alle risorse di interesse.

Per la gestione delle patch per la protezione è possibile analizzare i sistemi, attraverso strumenti Microsoft standard, per individuare le vulnerabilità e le patch in grado di eliminarle. Esempi di questi sistemi sono Microsoft Baseline Security Inventory Analyzer e l’Office Update Inventory e la loro distribuzione da parte degli amministratori è assistita da una procedura guidata. I risultati delle scansioni per individuare le patch vengono poi memorizzate in un database centrale, aggiornato in tempo reale. In questo modo i dati sono sempre pronti per la generazione dei report e la distribuzione mirata.

Anche la velocità di trasferimento è regolata automaticamente, grazie alla tecnologia BITS (Background Intelligent Transfer Service) che consente di rilevare la capacità della banda dei client e gestire di conseguenza tutte le connessioni. In caso di disconnessione, i download incompleti vengono ripresi inviando i soli byte del pacchetto che non sono stati ancora trasferiti. Terminato il download i pacchetti rimangono nella cache, in attesa di essere installati ed eseguiti.

Infine, la funzione di rilevamento della posizione, consente agli utenti mobili di poter sempre scaricare aggiornamenti e pacchetti software dalla più vicina origine di installazione, senza necessariamente connettersi alla rete WAN aziendale.

Come ultimo scenario prendiamo in considerazione l’integrazione di SMS 2003 con i servizi di gestione di Windows. SMS 2003 rileva automaticamente le proprietà di Active Directory riguardo utenti e sistemi ed è quindi in grado di effettuare tutte le altre operazioni (come la già citata distribuzione software) a partire da queste informazioni. In questo modo, ad esempio, utilizzando i nomi di Active Directory è possibile stabilire i confini dei siti, senza utilizzare la subnet IP.  Allo stesso modo possiamo utilizzare gli account del computer e del sistema locale, per tutte le funzioni server, semplificando la gestione degli account in SMS 2003 3 migliorando il livello di sicurezza.

È presente anche il supporto per le funzionalità Assistenza remota di Windows XP, in grado di risolvere i problemi direttamente della console di amministrazione. Anche attraverso tutte queste possibili modalità di applicazione, è evidente come SMS sia in grado di agevolare il compito aziendale di amministrazione dei vari computer presenti e di ridurre i costi tecnici di gestione.

Per chi avesse voglia di approfondire ulteriormente questa applicazione, Microsoft, sul proprio sito ufficiale, mette a disposizione, previa registrazione, una pagina per il download della versione di prova.