La corretta configurazione di Windows (Windows 7, 8, 10 e Server Edition) è composta da molti aspetti. È necessario disabilitare i servizi non necessari, configurare correttamente il registro del sistema, abilitare il firewall, configurare correttamente il browser e altro.
In precedenza abbiamo discusso i concetti del firewall. Per ora, esaminiamo gli altri fattori importanti nella configurazione della sicurezza di Windows.
Account, utenti, gruppi e password
Qualsiasi sistema Windows viene fornito con determinati account utente e gruppi predefiniti. Questi possono spesso essere un punto di partenza per gli intrusi che vogliono decifrare le password per quegli account e ottenere l’accesso a un server o una rete. Rinominare o disabilitare semplicemente alcuni di questi account predefiniti può migliorare la tua sicurezza.
Account amministratore
L’account amministratore windows predefinito dispone dei privilegi di amministratore e gli hacker cercano spesso di ottenere informazioni di accesso per un account amministratore. Indovinare un accesso è un processo in due passaggi per identificare prima il nome utente e quindi la password. Gli account predefiniti consentono all’hacker di ignorare la prima metà di questo processo. Gli amministratori dovrebbero disabilitare questo account.
Avere un account con privilegi di amministratore è necessario per mantenere il tuo server. Il prossimo passo è aggiungere un nuovo account, uno con un nome standar che segue precise policy e dare a quell’account i privilegi di amministratore. In questo modo il compito di un hacker è più difficile, poiché deve prima scoprire quale account ha effettivamente i privilegi di amministratore prima ancora di poter tentare di comprometterlo.
Alcuni esperti suggeriscono semplicemente di rinominare l’account amministratore o di utilizzare un account amministratore con un nome utente che ne indica lo scopo.
Il punto è che un hacker non dovrebbe essere in grado di identificare quale nome utente ha i privilegi di amministratore.
Rinominare semplicemente l’account amministratore con un nome diverso, ma quello che indica ancora i suoi diritti amministrativi non aiuterà questa situazione.
Altri account
L’account amministratore è quello più spesso preso di mira dagli hacker, ma Windows include anche altri account utente predefiniti. Applicare un comportamento altrettanto impegnativo a tutti gli account predefiniti è una buona idea. Qualsiasi account predefinito può essere un gateway per un hacker per compromettere un sistema. Alcuni account a cui dovresti prestare particolare attenzione sono:
- IUSR_Machine name: quando si esegue IIS, viene creato un account utente predefinito per IIS. Il suo nome è IUSR_ e il nome della tua macchina.
- ASP.NET: se il computer esegue ASP.NET, viene creato un account predefinito per le applicazioni Web. Un hacker che abbia familiarità con .NET potrebbe scegliere come target questo account.
- Account del database: molti sistemi di gestione del database relazionale, come SQL Server, creano account utente predefiniti. Un intruso, in particolare uno che vuole ottenere i tuoi dati, potrebbe scegliere come target questi account
Quando aggiungi un nuovo account, assegna sempre all’utente o al gruppo del nuovo account il numero e il tipo di privilegi minimi necessari per svolgere il proprio lavoro, anche gli account per i membri dello staff IT. Di seguito sono riportati alcuni esempi:
Un tecnico PC non ha bisogno dei diritti amministrativi sul server database. Anche se appartiene al dipartimento IT, non ha bisogno di accedere a tutto in quel reparto.
- I manager possono utilizzare applicazioni che risiedono su un server Web, ma certamente non dovrebbero avere diritti su quel server.
- Solo perché un programmatore sviluppa applicazioni in esecuzione su un server non significa che dovrebbe avere diritti completi su quel server.
- Questi sono solo alcuni esempi di cose da considerare quando si impostano i diritti utente.
Ricorda: dai sempre il minimo accesso necessario a quella persona per svolgere il suo lavoro. Questo concetto è spesso chiamato il minimo privilegio ed è una pietra miliare della sicurezza.