All'RSA Conference 2008, Craig Mundie, Chief Research and Strategy Officer di Microsoft, ha presentato la prima Beta di Stirling, uno strumento altamente integrato dedicato alla sicurezza delle infrastrutture IT. L'obiettivo di questo prodotto targato Microsoft è quello di rendere più semplice ed efficace il processo di protezione delle risorse aziendali; centralizzando sia il controllo, mediante l'utilizzo di Dashboard, sia l'attività di amministrazione e protezione mediante la definizione di Policy...

La profonda integrazione di Striling con Microsoft SCOM 2007 (System Center Operation Manager), NAP(Network Access Protection), WSUS e l'utilizzo di agenti specializzati - Forefront Client, Forefront Client for Exchange, Forefront Client for Sharepoint - permette di raggiungere elevati livelli di automazione e controllo. Gli agenti come il Forefront Client sono componenti attivi della soluzione Forefront. Il Forefront Client integra al suo interno un efficace motore di scansione per virus, spyware ed altre forme di malware mantenuto costantemente aggiornato tramite WSUS, oltre ad un'intelligente integrazione con il servizio di protezione NAP. Tutta la nuova suite di prodotti di sicurezza Microsoft Forefront che saranno rilasciati, è progettata per integrarsi con Stirling: i nuovi client per Exchange e Sharepoint, così come la nuova versione di ISA Server - ribattezzata appositamente Forefront TMG -. L'integrazione spinta, fra le varie tecnologie Microsoft, ha l'obiettivo di limitare, con interventi automatizzati e tempestivi, condizioni che possono mettere in pericolo la stabilità e l'operativita dell'intero sistema informativo - es. propagazione di virus, worm -.

PROCURIAMOCI STIRLING
Addentriamoci ora nell'analisi delle funzionalità della versione Beta di Microsoft Stirling, lo installeremo e ne esploreremo la consolle di comando. Verifichiamo che siano soddisfatti i requisiti hardware e software indicati nella tabella a fondo pagina e procediamo al download gratuito di Stirling. L'installazione di Stirling non è stata immediata, e per non incorrere in eventuali inconvenienti seguite scrupolosamente le indicazioni di seguito riportate. Per procedere occorre possedere un account Passport o Windows Live ID. Se non lo avete già vi sarà chiesto di crearne uno. Sono presenti diversi file, noi abbiamo utilizzato la versione a 32bit: ForefrontCodenameStirlingBetax86.exe (56MB). Il processo d'installazione utilizzato nel seguito di questa guida prevede l'utilizzo di un unico server, obbligatoriamente membro del dominio active directory, su cui saranno installati tutti i componenti software necessari. É importante ricordare che la versione di Stirling attualmente disponibile è una Beta, quindi lo installeremo in un ambiente di test. Per prima cosa dobbiamo procurarci la versione in lingua inglese di Windows Server 2003 - noi abbiamo utilizzato la versione R2 Enterprise Edition SP2 a 32bit -, inoltre dovremo installare il sistema operativo utilizzando obbligatoriamente le impostazioni regionali, layout tastiera e time settings di default. La fase di preparazione dell'ambiente per l'installazione di Stirling è piuttosto lunga. Una volta completata l'installazione del sistema operativo, aggiornato all'ultimo service pack, possiamo rendere il server membro del dominio active directory - es. edmaster.it -.

I COMPONENTI NECESSARI
Prima di procedere con l'installazione dei pacchetti software è necessario installare i seguenti componenti di Windows Server 2003: ASP.NET, COM+, IIS, MSQM. Basta agire direttamente da Control Panel -> Add or Remove Programs - > Add/Remove Windows Components | Application Server -> Details. Nella sezione Details occorre selezionare ASP.NET, Enable Network COM+ access, Internet Information Services (IIS) ed infine Message Queuing. Fate clic su OK per avviare l'installazione. Completata l'operazione dobbiamo procedere con l'installazione, nell'ordine, di: Microsoft .NET framework 3.0, PowerShell 1.0, Microsoft Visual C++ 2005 Redistributable Package with Service Pack 1 (SP1), Windows Update Agent 3.0. Possiamo far riferimento alla pagina Web dedicata per avere l'elenco completo delle URL da cui scaricare i pacchetti software indicati. Tutti i pacchetti che installeremodovranno essere in lingua inglese. In caso contrario l'installazione non andrà a buon fine. Dovremo installare, nell'ordine, SQL Server 2005 SP2 e SCOM 2007 SP1. L'installazione di entrambi i prodotti, per quanto lunga, è abbastanza semplice. Al termine dovremo necessariamente abilitare il supporto dei protocolli TCP/IP e Named Pipes su SQL Server Configuration Manager -> SQL server 2005 Network Configuration. In caso contrario l'installazione non andrà a buon fine (Figura 1).

Figura 1 - L'abilitazione dei protocolli TCP/IP e Named Pipes nell'SQL Server 2005 Configuration

L'INSTALLAZIONE
Prima di procedere è consigliabile fare un backup completo del server così da poterlo rapidamente reinstallare in caso di problemi. La rimozione completa di Stirling (Beta) si ha solo formattando il server, non basta l'operazione da pannello di controllo. Una volta decompresso il file ForefrontCodenameStirlingBetax86.exe possiamo lanciare il programma di setup da Cdmedia\server\serversetup.exe. Prima di avviare l'installazione vera e propria il programma verifica se sono soddisfatti i requisiti minimi software e hardware (Figura 2).

Figura 2 - L'installazione di Stirling prevede la verifica dei requisiti software e hardware

É importante ricordare che i requisiti software sono bloccanti quindi, se non abbiamo installato un componente software, oppure se è stato installato in maniera non corretta, non potremo proseguire. Tuttavia, se sul nostro server abbiamo meno di 2GB di RAM ed un solo processore, l'installazione non è pregiudicata ma condiziona la velocità di installazione e le performance finali di Stirling. Accettiamo le condizioni di licenza, e inseriamo l'account utilizzato per l'accesso al database dei report: nella sezione Reporting Account inseriremo l'account dell'amministratore di dominio - es. edmaster\ Administrator - e la relativa password, solo in questa fase di test. Nelle altre sezioni possiamo accettare i valori di default ed avviare l'installazione di Stirling.

UNA CONSOLLE COMPLETA
Lanciamo la consolle da Start -> All Programs -> Microsoft Forefront -> Microsoft Forefront Codename 'Stirling' console. Connettiamoci al server su cui è in esecuzione Stirling inserendo il nome del server nel campo Management Server Name e poi clic su Connect. La consolle di gestione è abbastanza semplice, sono previste solo due sezioni, visibili in basso a sinistra: Dashboard e Policy Management. La semplicità dell'interfaccia non deve ingannare, infatti la quantità di funzioni che nasconde è davvero notevole. La Dashboard permette di tenere sotto controllo tutti gli asset - computer server e client sotto il controllo di Stirling - ed avere una visione costantemente aggiornata del livello di protezione e delle condizioni di rischio (come infezione da virus o presenza di worm) a cui sono esposti i nostri computer. Con il Dashboard Client Protection Summary possiamo tenere sotto controllo 5 aree d'interesse: Malware, Windows Firewall, Network Access Protection, Security State Assessment, Security Update (Figura 3). I dati visualizzati dal Dashboard provengono direttamente dagli agenti installati sui computer e memorizzati nel database SQL Server.

Figura 3 - La consolle di Stirling quando si visualizza un Dashboard è semplice ma completa 

Ciascuna di queste è collegata ad un proprio Dashboard di dettaglio. Grazie all'integrazione con i Reporting Services di SQL Server 2005 è possibile generare tre report: Enterprise Security Summary Report, Exchange Protection Summary Report, Malware Summary Report. Tutti esportabili in vari formati (es. PDF) e stampabili (Figura 4).

Figura 4 - L'integrazione con i reporting Services di SQL Server 2005 permette la generazione di report direttamente dalla consolle di Stirling

LE POLICY DI GESTIONE
La parte di gestione e automazione avviene nella sezione Policy Management mediante la creazione di Policy. Sono disponibili di default tre policies (Default Client Security Policy, Default Exchange Security Policy, Monitoring and response Policy) ciascuna delle quali associata a un gruppo di computer, i Target Groups. Questi ultimi sono gruppi di computer popolati dinamicamente da Stirling sulla base di informazioni inviate dagli agenti.Al termine dell'installazione vengono creati i seguenti: All assets, All ESAS Agents, All Exchange Servers. Un asset (client o server sotto il controllo di Stirling) può essere membro di più Target group. Le regole a cui è sottoposto un computer sono definite mappando il Target group alla Policy.Ad ogni Target group, infatti, è associata una Policy, in questo modo è possibile definire una Default Client security Policy applicabile al Target group generico All assets. Così come è possibile definire policy specifiche come la Default Exchange Security Policy applicabile solo al Target group All Exchange Servers. In questo modo si ha un controllo molto granulare sul comportamento da seguire per ciascun tipo di asset. La policy addestra l'agente non solo a tenere sotto controllo componenti sensibili per la sicurezza - es. i servizi - ma anche a reagire adottando forme di contenimento - es. impedendo la comunicazione in rete -. Il livello di controllo che si può raggiungere è davvero notevole e l'integrazione fra i prodotti permette un elevato livello di automazione, come ad esempio modificare in tempo reale la configurazione del firewall (Forefront TMG) per bloccare l'accesso ad Internet ad asset non conformi alle Policy. Tutto questo in maniera automatica, senza l'intervento dell'operatore. Un'infrastruttura dinamica e flessibile in grado di reagire automaticamente a condizioni che mettono a rischio la sicurezza e la stabilità dei servizi. Tutto questo è ottenibile lavorando solo sulle policy di Stirling.