Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Sicurezza nei servizi di Windows

Come tenere sotto controllo i servizi automatici di Windows per minimizzare i rischi di attacchi informatici. Visualizzare, riconoscere e terminare i servizi inutili al sistema
Come tenere sotto controllo i servizi automatici di Windows per minimizzare i rischi di attacchi informatici. Visualizzare, riconoscere e terminare i servizi inutili al sistema
Link copiato negli appunti

I servizi sono particolari applicazioni caratteristiche dei sistemi operativi Windows appartenenti alla famiglia NT (NT/XP/2000/2003). Quello che li differenzia dalle normali applicazioni è il fatto che mettono a disposizione del sistema funzionalità di basso livello e che vengono lanciati in background in modo indipendente da una particolare sessione utente. Molti sono infatti già attivi prima del
login.

Nonostante Windows avvii in modo predefinito solo alcuni dei tanti componenti disponibili, molti di questi risultano del tutto superflui per la maggior parte degli utenti. La minimizzazione di questi servizi produce benefici per quanto riguarda il tempo di avvio della macchina, l'occupazione della memoria e la velocità globale del sistema.

Dal punto di vista specifico della sicurezza la disabilitazione dei componenti non necessari contribuisce a limitare l'esposizione del sistema ad attacchi esterni e ad accessi non autorizzati.

A tal proposito si ricorda la vulnerabilità nella gestione del servizio, raramente utilizzato, Universal Plug and Play che permetteva l'esecuzione di codice arbitrario da una postazione remota. La sua disabilitazione preventiva ci avrebbe messo al riparo dal problema.

Altro aspetto da non sottovalutare è l'apertura di porte TCP e UDP da parte di alcuni servizi di rete. Limitare il numero di porte aperte, soprattutto sui sistemi in cui non è installato un firewall, è sempre una buona regola e arrestare i servizi di rete non utilizzati può risolvere il problema in modo efficace.

Prima di cominciare è inoltre bene precisare che opereremo a basso livello su componenti del sistema operativo. L'arresto di un servizio vitale per il sistema può portare al blocco completo della macchina e all'impossibilità di un suo riavvio. Sarà quindi necessario prendere tutte le precauzioni possibili per evitare di trovarsi in questa spiacevole situazione.

In questo primo articolo si illustreranno gli strumenti messi a disposizione da Windows per la gestione dei servizi e vedremo come "fare esperimenti" senza correre rischi. Nel prossimo si parlerà in dettaglio di quali possano essere disabilitati senza importanti perdite di funzionalità.

Il modello per i nostri test sarà Windows Xp professional con Service Pack 1 ma le considerazioni svolte possono applicarsi ad altri sistemi. In questo caso le differenze si limiteranno al numero di servizi presenti e alla loro impostazione predefinita.

Lo snap-in Servizi

Questo snap-in sarà la nostra centrale di comando per il controllo dei servizi.
E possibile trovarlo tra gli Strumenti di amministrazione presenti nel Pannello di controllo oppure cliccando su Start -> Esegui e digitando services.msc. Per poter operare modifiche alle impostazioni si raccomanda l'accesso con credenziali amministrative.

Nella finestra che ci compare troviamo l'elenco di tutti i servizi installati nel sistema. Di ognuno sarà presente un nome in lingua italiana, una breve descrizione delle funzionalità supportate, il suo stato attuale, la modalità di avvio
e il tipo di connessione.

Cliccando con il tasto destro su una particolare voce e scegliendo Proprietà avremo accesso ad informazioni più dettagliate:

Generale

  • Nome del servizio: è il vero nome del servizio, l'unico che lo individua in modo univoco qualsiasi sia la localizzazione linguistica di
    Windows.
  • Nome visualizzato: è un nome puramente descrittivo presentato nella lingua della versione di Windows utilizzata ed è anche l'unico visualizzato nella finestra principale dello snap-in. Di questo bisogna tener conto se si consulta documentazione sui servizi in lingua inglese.
  • Descrizione: una breve descrizione delle funzionalità.
  • Percorso eseguibile: ci indica quale file nel sistema si occupa della sua gestione.
  • Tipo di avvio: visualizza e permette la modifica delle modalità di avvio del servizio.
    • Automatico: viene attivato all'avvio del sistema.
    • Manuale: viene attivato solo quando ne viene richiesto esplicitamente l'utilizzo. Un caso tipico di attivazione è quello in cui un altro servizio dipendente lo richieda per poter funzionare (vedi in seguito Relazioni di dipendenza).
    • Disabilitato: non verrà mai avviato.
  • Stato del servizio: è lo stato attuale. Da qui possiamo anche forzare manualmente il suo avvio o il suo arresto con gli appositi pulsanti.

Proprieta' del servizio

Dopo questa breve panoramica è bene fare alcune precisazioni molto importanti:

  • Il Tipo di avvio ha validità a livello dell'intero sistema. Se si disabilita un servizio questo avverrà per tutti gli account utente impostati sul computer.
    Per questo motivo è necessario prestare molta attenzione ai moduli che
    vengono disabilitati.
    Per rendere effettivi i cambiamenti a questa proprietà è necessario riavviare la macchina.
     
  • L'arresto o l'avvio del servizio attraverso gli appositi pulsanti ha invece effetto solo per la corrente sessione di lavoro. Ad un riavvio del sistema le impostazioni saranno quelle indicate in Tipo di avvio.

Per gli amanti della shell comandi si accenna infine alla possibilità di avviare o arrestare un servizio tramite i comandi NET START e NET STOP.
Per un controllo completo è possibile usare il comando SC di cui si consiglia la lettura dell'help in linea.

Relazioni di dipendenza

Questa è una sezione che bisognerebbe sempre consultare prima di modificare lo stato o il tipo di avvio.

Nella prima parte troviamo l'elenco dei servizi da cui dipende quello di cui stiamo analizzando le proprietà. Senza di questi il servizio non può funzionare.

Nel secondo elenco troviamo invece tutti i servizi da questo dipendenti. L'arresto del servizio impedirà a tutti quelli dipendenti di funzionare correttamente. Per non arrecare danni al sistema è sempre bene consultare queste relazioni in caso di modifiche alle impostazioni.

Proprietà

Profili hardware

Come abbiamo visto le impostazioni nello snap-in Servizi agiscono in modo globale. Questo significa che se i nostri esperimenti si sono spinti oltre il lecito rischiamo di non riuscire più ad avviare il sistema. In tale evenienza il recupero può risultare davvero problematico e per questo motivo si raccomanda la massima attenzione nell'effettuare modifiche di cui non si conosce esattamente gli effetti.

Per operare in tutta sicurezza e per garantirsi una utile via di fuga in caso di problemi, si consiglia l'uso dei Profili hardware. Definendo un nuovo profilo è possibile creare un ambiente alternativo a quello principale nel quale si può decidere se determinate periferiche debbano essere attivate o meno. L'aspetto interessante è che in questo contesto i servizi vengono gestiti dal sistema in modo simile alle risorse hardware. Sarà quindi possibile disabilitare alcuni servizi all'interno dell'ambiente di test definito dal profilo alternativo lasciando inalterato quello principale. All'avvio del sistema, prima di qualsiasi login, un menu ci chiederà quale profilo desideriamo caricare.

Per creare un nuovo profilo è necessario aprire l'applet Sistema presente nel pannello di controllo, selezionarne la scheda Hardware e premere il pulsante Profili hardware.

Proprietà del sistema

L'elenco dei profili disponibili conterrà l'unico attualmente presente cioè quello
corrente.
A questo punto procederemo alla creazione di una copia del profilo attuale tramite l'apposito pulsante.
Verrà cosi creato un Profilo 2 identico a quello esistente. È prevista anche la possibilità di rinominare i
profili e decidere come il sistema debba comportarsi all'avvio.
Da questo momento in poi si consiglia di lasciare inalterato il Profilo 1 che sarà la nostra "àncora di salvezza" e di operare le modifiche solo sulla copia appena creata.

Profili Hardware

Per disabilitare un determinato servizio nel nuovo profilo dovremo aprire lo snap-in Servizi, selezionare le proprietà del servizio su cui desideriamo operare e selezionare la scheda Connessione.
A questo punto sarà sufficiente selezionare il profilo
su cui vogliamo operare le modifiche, nel nostro caso il Profilo 2, e
abilitare o disabilitare il servizio.

Profili

È importante ribadire che le impostazioni della scheda
Generale
continuano ad avere valenza globale. L'unico modo per operare in
modo selettivo è la procedura appena descritta che permette l'inclusione o meno
del servizio nel profilo hardware selezionato.

Per concludere l'opera sarà necessario riavviare il sistema e dal menu
scegliere di caricare il profilo alternativo per verificare l'effetto delle
nostre modifiche. Nel caso si riscontrassero problemi tali non riuscire ad
avviare la macchina sarà sempre possibile selezionare il Profilo 1.

Tasklist e Netstat

Per completezza si riportano alcune informazioni su due strumenti che in
seguito ci serviranno per verificare l'effetto della disattivazione di alcuni
servizi di rete.

Tasklist e Netstat sono due comandi che è possibile lanciare dalla shell del
prompt dei comandi. Il primo, disponibile solo in Windows XP e successivi, permette la visualizzazione dei processi
attualmente caricati in memoria. Il secondo ci consente di visualizzare le
connessioni di rete attive e, cosa più importante per i nostri scopi, ci
fornisce l'elenco delle porte locali aperte da un processo server.

Questa è la sintassi del comando Tasklist che useremo. Sono di seguito anche
riportate le possibili informazioni fornite dal comando su un sistema windows XP pro sp1.

c:>tasklist /svc

Nome immagine                PID Servizi
========================= ====== ==================================
System Idle Process            0 N/D
System                         4 N/D
smss.exe                     468 N/D
csrss.exe                    516 N/D
winlogon.exe                 540 N/D
services.exe                 584 Eventlog, PlugPlay
lsass.exe                    596 PolicyAgent, ProtectedStorage, SamSs
svchost.exe                  776 RpcSs
svchost.exe                  840 AudioSrv, Browser, CryptSvc, Dhcp,
				dmserver, ERSvc, EventSystem,
				FastUserSwitchingCompatibility,
				helpsvc, lanmanserver,
				lanmanworkstation, Messenger,
				Netman, Nla, RasMan, Schedule,
				seclogon, SENS, SharedAccess,
				ShellHWDetection, srservice,
				TapiSrv, TermService, Themes,
				TrkWks, uploadmgr, W32Time,
				winmgmt, WmdmPmSp, wuauserv,
				WZCSVC
svchost.exe                  956 Dnscache
svchost.exe                 1004 LmHosts, RemoteRegistry, SSDPSRV,
				WebClient
explorer.exe                1200 N/D
spoolsv.exe                 1252 Spooler
alg.exe                     1348 ALG
mdm.exe                     1384 MDM
ctfmon.exe                  1868 N/D
msmsgs.exe                  1924 N/D
devldr32.exe                2044 N/D
wuauclt.exe                 1280 N/D
svchost.exe                 2008 stisvc
cmd.exe                      284 N/D
tasklist.exe                 396 N/D
wmiprvse.exe                 736 N/D 

Si possono notare il nome del processo, il suo PID cioè il suo identificatore
numerico univoco all'interno del sistema e i servizi compresi in ciascun
processo.

È interessante notare che i processi che inglobano servizi sono proprio
quelli indicati nella voce Percorso file eseguibile nella scheda
Generale
delle proprietà nello snap-in. È evidente che alcuni di
questi processi gestiscono molti servizi contemporaneamente e che svchost.exe
è presente addirittura in quattro istanze diverse in modo da gestire quattro
gruppi distinti di servizi.

Il comando netstat lo useremo con la seguente sintassi:

c:>netstat -ano
Connessioni attive
  Proto  Indirizzo locale       Indirizzo esterno      Stato           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       776
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       840
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:5000           0.0.0.0:0              LISTENING       1004
  TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       1348
  TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       840
  TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       840
  TCP    192.168.254.1:7779     0.0.0.0:0              LISTENING       1736
  UDP    0.0.0.0:135            *:*         776
  UDP    0.0.0.0:445            *:*         4
  UDP    0.0.0.0:500            *:*         596
  UDP    0.0.0.0:1026           *:*         840
  UDP    0.0.0.0:3014           *:*         956
  UDP    0.0.0.0:3091           *:*         956
  UDP    0.0.0.0:3483           *:*         1736
  UDP    127.0.0.1:123          *:*         840
  UDP    127.0.0.1:1900         *:*         1004
  UDP    192.168.254.1:123      *:*         840
  UDP    192.168.254.1:1900     *:*         1004
  UDP    192.168.254.1:8244     *:*         1736
  UDP    192.168.254.1:35327    *:*         1736

Il comando è stato eseguito sullo stesso sistema XP precedente dotato di interfaccia di rete avente indirizzo IP privato 192.168.254.1. L'opzione -o (disponibile solo sui sistemi XP e seguenti) inclusa nel comando permette di visualizzare il PID del processo che ha aperto una particolare porta. Attraverso l'analisi incrociata delle informazioni fornite dal comando Tasklist sarà possibile risalire tramite il PID al nome del processo che gestisce le porte.

Le informazioni fornite dal comandi possono variare a seconda dei servizi attivi e delle impostazioni di sistema. Per ulteriori informazioni sulle porte e sul comando netstat si può consultare l'articolo: Le porte del protocollo TCP/IP.

In questa seconda puntata sui servizi di Windows si illustreranno alcune impostazioni che permettono di chiudere molte delle porte TCP/IP aperte automaticamente dal sistema.

Prima di cominciare si raccomanda l'attenta lettura del
Sicurezza nei servizi di Windows - I
per imparare ad operare in tutta sicurezza. Il metodo caldamente consigliato per
disabilitare i servizi è quello che prevede l'uso dei profili hardware. Se
invece si intende agire direttamente sul tipo di avvio si
consiglia, se non si è sicuri degli effetti della disabilitazione, l'impostazione su
manuale . Dopo ogni modifica eseguita riavviare il sistema per
verificarne gli effetti.

La macchina presa a modello per il test avrà un utilizzo "casalingo": non
saranno necessari particolari servizi di rete, il sistema avrà una
connessione a internet e al più una piccola rete priva di dominio.
Le prove sono state effettuate su una macchina dotata di una installazione
standard di Windows XP professional con service pack 1. Il collegamento ad Internet a banda
larga sarà garantito da una scheda di rete collegata ad un modem Ethernet ADSL.
Sulla sola connessione Internet sarà attivato il firewall di windows.

Sul sistema di riferimento Tasklist e Netstat forniscono il seguente
risultato:

c:> tasklist /svc
Nome immagine                PID Servizi
========================= ====== =============================================
System Idle Process            0 N/D
System                         4 N/D
smss.exe                     452 N/D
csrss.exe                    508 N/D
winlogon.exe                 536 N/D
services.exe                 584 Eventlog, PlugPlay
lsass.exe                    596 PolicyAgent, ProtectedStorage, SamSs
svchost.exe                  776 RpcSs
svchost.exe                  840 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
                                 ERSvc, EventSystem,
                                 FastUserSwitchingCompatibility, helpsvc,
                                 lanmanserver, lanmanworkstation, Messenger,
                                 Netman, Nla, RasMan, Schedule, seclogon,
                                 SENS, SharedAccess, ShellHWDetection,
                                 srservice, TapiSrv, TermService, Themes,
                                 TrkWks, uploadmgr, W32Time, winmgmt,
                                 WmdmPmSp, wuauserv, WZCSVC
svchost.exe                  912 Dnscache
svchost.exe                  996 LmHosts, RemoteRegistry, SSDPSRV, WebClient
explorer.exe                1200 N/D
spoolsv.exe                 1288 Spooler
ctfmon.exe                  1380 N/D
msmsgs.exe                  1388 N/D
alg.exe                     1832 ALG
mdm.exe                     1876 MDM
devldr32.exe                 352 N/D
wmiprvse.exe                1532 N/D
cmd.exe                      824 N/D
tasklist.exe                1608 N/D


c:> netstat -ano
Connessioni attive

  Proto  Indirizzo locale       Indirizzo esterno      Stato           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       776
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       840
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:5000           0.0.0.0:0              LISTENING       996
  TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       1832
  TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       840
  TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       840
  TCP    192.168.254.1:139      0.0.0.0:0              LISTENING       4
  TCP    192.168.254.1:8612     0.0.0.0:0              LISTENING       1388
  UDP    0.0.0.0:135            *:*                                    776
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    596
  UDP    0.0.0.0:1026           *:*                                    840
  UDP    0.0.0.0:3007           *:*                                    1388
  UDP    127.0.0.1:123          *:*                                    840
  UDP    127.0.0.1:1900         *:*                                    996
  UDP    192.168.254.1:123      *:*                                    840
  UDP    192.168.254.1:137      *:*                                    4
  UDP    192.168.254.1:138      *:*                                    4
  UDP    192.168.254.1:1900     *:*                                    996
  UDP    192.168.254.1:15029    *:*                                    1388
  UDP    192.168.254.1:31185    *:*                                    1388

Oltre alle classiche porte di sistema si noterà l'apertura di porte dinamiche appartenenti
a due particolari gruppi:

  • Porte 1025 e seguenti: sono per lo più aperte dinamicamente dal servizio
    RPC
    che le assegna a servizi che ne facciano richiesta attraverso la sua
    interfaccia.
  • Porte 3001 e seguenti: sono aperte dinamicamente da vari servizi
    tra i quali  Firewall della
    connessione Internet (ICF)/Condivisione connessione Internet (ICS)
    , Servizio gateway di livello applicazione (ALG),
    ClientDNS (Dnscache) e altri

Si tenga presente che dopo un riavvio del sistema i PID dei processi possono cambiare
rispetto alla sessione precedente.

È importate far notare inoltre che non tutti i sistemi XP restituiscono lo stesso risultato poiché in seguito all'installazione di programmi, di server o altri componenti software o hardware la configurazione può essere profondamente diversa. Quello proposto è solo un esempio su cui basare le proprie personalizzazioni.

Minimizzare le porte aperte

In questa sezione ci occuperemo di ridurre considerevolmente il numero delle
porte TCP/IP aperte dal sistema disabilitando alcuni servizi di rete, rimuovendo
programmi o agendo sulle impostazioni delle connessioni di rete.
Si fa presente che alcune delle modifiche proposte possono non adattarsi alle
necessità dell'utente. In questo caso si consiglia naturalmente di mantenere le
proprie impostazioni.

Ora di Windows (W32Time)

Questo servizio si occupa della sincronizzazione dell'orologio tra i sistemi in
una rete locale. Il servizio è indispensabile se si possiede un server che
autentica i client attraverso il protocollo Kerberos.

Disabilitando il servizio verrà automaticamente chiusa la porta UDP 123 (NTP-
Network Time Protocol) su tutte le interfacce di rete.

Messenger (messenger)

Servizio da non confondere con il famoso programma di instant messaging MSN
Windows Messenger.
Questo componente permette di spedire messaggi a sistemi remoti da riga di comando
tramite il comando NET SEND. Questo strumento è stato spesso usato
impropriamente dagli spammer per inviare messaggi pubblicitari sulla rete
internet.

Messaggio di Windows

La sua disabilitazione causa la chiusura della porta UDP 1026 assegnatagli
dinamicamente dal servizio RPC. Sul sistema di test, Messenger risulta l'ultimo servizio
UDP gestito da RPC e per questo motivo la sua disattivazione provoca anche la chiusura
automatica della porta UDP 135. Si noti che al riavvio la porta 1026 potrebbe essere riassegnata a qualche altro
servizio basato su RPC.

Servizio di rilevamento SSDP (SSDPSRV)

Permette il rilevamento di periferiche Universal Plug and Play (UPnP) presenti
in rete. Essendo queste piuttosto rare la sua disabilitazione è relativamente
sicura. Il servizio non va confuso con il fondamentale Plug and Play che
gestisce l'hardware presente sulla macchina.

L'arresto del servizio produce la chiusura delle le porte TCP 5000 e UDP 1900 su
tutte le interfacce.
A complemento della procedura si consiglia la disabilitazione del servizio
descritto di seguito.

Host di periferiche Plug and Play universali (upnphost)

Fornisce supporto per ospitare periferiche Universal Plug and Play e funziona
assieme al precedente SSDPSRV. Disabilitandoli entrambi avremo operato la disattivazione completa di UPnP.

Servizi IPSEC (PolicyAgent)

PolicyAgent si occupa di protezione a livello del protocollo IP. Il servizio
permette di negoziare comunicazioni protette IPsec e lo scambio sicuro delle
chiavi crittografiche tramite il protocollo IKE. Gestisce inoltre il filtraggio
dei pacchetti attraverso le policy IPsec definite dall'utente.
A meno che dobbiate autenticarvi su un server di dominio tramite Kerberos o che
usiate connessioni protette VPN il servizio non vi serve.

La sua disattivazione provoca la chiusura della porta UDP 500.

Utilità di pianificazione (schedule)

Questo servizio gestisce le Operazioni pianificate e la relativa forma a riga di
comando AT.
In generale la disattivazione di questo servizio non è raccomandata. Molti
antivirus usano questa funzione per pianificare scansioni periodiche del
sistema.

Nel caso siate sicuri di non averne bisogno potete disabilitare il servizio e
così chiudere la porta TCP 1025. Essendo questa gestita dinamicamente da RPC al
riavvio verrà probabilmente riassegnata ad altri servizi.

Disinstallazione di MSN Windows Messenger

Dall'analisi dell'output del comando netstat si nota che il processo avente PID
1388 apre diverse porte UDP e TCP. Tasklist rivela che tale processo non è un
servizio ma il programma di instant messaging Windows Messenger. Le porte aperte
da tale programma sono arbitrarie e variano ad ogni avvio della macchina.

Se si utilizza Messenger sarà inevitabile tenere aperte tali porte.
In caso
contrario potremo disinstallare il programma:

Pannello di controllo->Installazione applicazioni->
Installazione componenti di
windows->
deselezionare Windows messenger

Al riavvio del sistema su ogni interfaccia di rete si chiuderanno una porta TCP
e due porte UDP oltre ad una ulteriore UDP allocata nell'intervallo 3001 e
seguenti.

Disabilitare NetBios over TCP/IP:

Netbios over TCP/IP (NBT) è una interfaccia di programmazione usata per
trasportare sulle reti TCP/IP i messaggi del protocollo SMB (Server Message
Block) usato in rete per la condivisione di file e stampanti. NBT usa a tal scopo
le porte TCP 139 e UDP 137 e 138.

A partire da Windows 2000 il protocollo SMB può fare a meno di Netbios ed essere
incapsulato direttamente nei pacchetti TCP. In questo caso le porte usate sono
le TCP e UDP 445. NBT dovrebbe essere usato solo nel caso si desideri condividere file e stampanti
con i vecchi sistemi Windows NT/95/98/Me oppure con altri sistemi non Windows che
utilizzano Netbios. Linux con Samba è uno di questi.
Negli altri casi la condivisione file e stampanti sarà possibile attraverso la porta 445.

Di seguito viene illustrata la procedura per la disabilitazione che deve
essere effettuata su tutte le connessioni di rete (Pannello di
controllo->Connessioni di rete
).

Aprire le Proprietà della connessione. Nella scheda Generale
oppure, a seconda della connessione, nella scheda Rete, selezionare la
voce Protocollo Internet (TCP/IP) e cliccare sul pulsante Proprietà.

Proprietà di rete

Nelle proprietà del protocollo TCP/IP selezionare la scheda WINS e tra
le impostazioni NetBIOS selezionare Disabilita NetBIOS su TCP/IP.

Wins

La procedura causerà la chiusura automatica delle porte TCP 139 e UDP 138-137 su tutte le interfacce su cui era attivo
NetBios.
A complemento della procedura si consiglia la disabilitazione del servizio
descritto di seguito.

Helper NetBIOS di TCP/IP (LmHost)

LmHost è il servizio che attiva il Supporto NetBIOS su TCP/IP (NetBT) e la
risoluzione nomi NetBIOS. Se precedentemente avete provveduto a disabilitare NBT
su tutte le  interfacce di rete il servizio risulta inutile e potete
disabilitarlo.

Firewall della connessione Internet (ICF)/Condivisione connessione Internet
(ICS) e Servizio Gateway di livello applicazione (ALG)

Per la nostra connessione internet abbiamo saggiamente scelto di attivare
Internet Firewall (ICF)
disponibile con windows XP.
Lo stesso servizio gestisce anche la Condivisione connessione internet (ICS)
nelle piccole reti prive di router che usano un unico PC come gateway verso
l'esterno. In entrambi i casi quindi il servizio sarà attivo.
Servizio Gateway di livello applicazione (ALG) è un servizio da cui il
precedente dipende.

Nel caso decidessimo di affidarci ad un Firewall di terze parti e nel caso
non si utilizzasse la condivisione della connessione sarebbe possibile
disattivare il servizio (In Connessioni di rete: Proprietà della
connessione->Avanzate
). In questo caso il servizio ALG verrebbe
automaticamente disattivato.

La disabilitazione di tali servizi produce la chiusura sull'interfaccia di
loopback 127.0.0.1 di tre porte TCP nel range 3001 e seguenti: una gestita da ALG, le
altre due da ICF/ICS.
La presenza di tali porte aperte per altro non costituisce una potenziale
fragilità per il sistema

Conclusioni

Attraverso l'analisi dei risultati forniti dal comando netstat è possibile
ora apprezzare i frutti del nostro lavoro.
Il sistema di test a cui sono state effettuate tutte le modifiche descritte
nell'articolo presenta le seguenti porte in ascolto:

c:> netstat -ano
Connessioni attive

  Proto  Indirizzo locale          Indirizzo esterno        Stato           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       776
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       4
  UDP    0.0.0.0:445            *:*                                    4

Rimangono ancora aperte le porte TCP e UDP 445 (SMB) e la porta TCP 1025 gestite
dal processo System (PID 4).
La porta TCP 135 è invece aperta dal servizio RPC (RpcSs) di cui si
sconsiglia vivamente la disabilitazione
pena gravi instabilità e possibile
impossibilità di riavvio.

Risulta evidente quindi che attraverso la disabilitazione di servizi e programmi
è stato possibile ridurre drasticamente il numero delle porte aperte e quindi
migliorare la sicurezza e la leggerezza del sistema.

Minimizing Windows network services
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en

Descrizione dei servizi in Windows Server 2003 e Windows XP
http://www.microsoft.com/technet/security/guidance/secmod54.mspx

Elenco servizi Windows 2000 server:
http://www.microsoft.com/windows2000/techinfo/howitworks/management/w2kservices.asp

Le ottime pagine di BlackViper sulla disabilitazione dei servizi di windows XP:
http://www.blackviper.com/WinXP/servicecfg.htm
http://www.blackviper.com/WinXP/service411.htm

In questa terza ed ultima puntata sui servizi di Windows si procederà alla
descrizione di una ulteriore serie di componenti che possono essere disabilitati
nelle configurazioni casalinghe di windows XP per aumentarne la sicurezza.

Il modello che prenderemo in considerazione sarà il consueto
sistema Windows XP professional con service pack 1 usato nei precedenti
test.

L'elenco che segue suggerisce la disabilitazione di alcuni servizi raramente
utilizzati dagli utenti comuni. Si è voluto dare risalto soprattutto ad alcuni
di quei componenti che possono consentire  l'accesso locale o remoto al
sistema o che tendono a comunicare informazioni via internet.

Accesso secondario (seclogon)

Permette di eseguire programmi con i privilegi di un utente diverso da quello
attualmente in uso, tipicamente quelli di amministratore. Nei sistemi Windows
2000 tale servizio è chiamato RunAs.

Per poter lanciare un file eseguibile con credenziali alternative è sufficiente
premere il tasto shift e contemporaneamente cliccare con il tasto destro sulla
sua icona. Nel menu contestuale bisognerà selezionare la voce Esegui come...
e quindi indicare nome utente e password.
Dopo l'autenticazione il programma verrà eseguito con le credenziali
dell'utente scelto.

Dal prompt dei comandi il servizio può essere invece attivato tramite il comando
runas. Questa funzione è utilizzata anche da molti programmi che necessitano di
diritti elevati per essere installati. Se l'utente attuale appartiene ad un
gruppo con restrizioni, è possibile che compaia una finestra in cui si
richiede di autenticarsi come amministratore per portare a termine
l'installazione.

Se si ritiene di non avere bisogno di queste caratteristiche è possibile
disabilitare il servizio. La sicurezza globale non potrà che trarne benefici.

Per ulteriori informazioni sul servizio:

http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/seclogon.mspx

Registro di sistema remoto (RemoteRegistry)

Questo servizio, assente nella versione Home di Windows XP, permette ad un
amministratore di rete di compiere modifiche al registro di sistema del nostro
computer da una postazione remota.
Per collegarsi ad un registro remoto è sufficiente invocare il programma regedit e selezionare File->Connetti a registro di sistema in rete.
Indicando il nome o l'indirizzo IP di un computer avente il servizio attivo potremo navigare attraverso le chiavi
del suo registro.

È evidente che la modifica del registro da
parte di un estraneo, benché necessiti dell'autenticazione come amministratore,
può costituire un grosso problema di sicurezza. Se non usate questa caratteristica è importante disabilitala per
evitare che possa essere usata in modo improprio.

Browser di computer (Browser)

Lo scopo del servizio è quello di mantenere un elenco aggiornato di tutti gli
oggetti condivisi presenti nella LAN e di fornirli ai computer che richiedano
tali informazioni attraverso la finestra Risorse di rete.
Normalmente in una rete locale basata su computer Windows una macchina viene
eletta Master Browser in base alle caratteristiche del suo sistema operativo (si
da la precedenza ai sistemi server, poi alle macchine di classe NT ed infine a
quelle 9x). Tramite il servizio Browser di computer questa macchina sarà la
responsabile della gestione dell'elenco delle risorse condivise (file, cartelle,
computer, stampanti) per tutta la rete. Ogni altro sistema farà riferimento al
Master Browser per ottenere tali informazioni.

Se non si possiede una rete o non si condividono risorse tra computer il
servizio può essere disabilitato. Se si possiede una rete LAN è comunque importante che almeno un sistema abbia il
servizio abilitato. In questo caso per il corretto funzionamento della rete tale macchina dovrà
essere sempre accesa per prima.

Per approfondimenti sul servizio Browser:

http://support.microsoft.com/default.aspx?scid=kb;it;188001


http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/cnet/cnfi_brs_oynw.asp

Server (lanmanserver)

Si occupa della condivisione delle nostre risorse in rete. Ogni volta che una
macchina nella rete richiede l'accesso a file o stampanti condivisi dal nostro
PC il servizio Server provvederà a fornire i dati richiesti.
Altra funzione svolta da questo componente è la gestione delle named pipe usate
dal servizio RPC per la comunicazione tra processi residenti su macchine
differenti. Disattivando il servizio non sarà più possibile condividere file e stampanti nè
sarà possibile usare i servizi basati su RPC. Se il nostro sistema non
appartiene ad una rete è possibile disabilitarlo in tutta sicurezza.

Condivisione desktop remoto di NetMeeting (mnmsrvc)

Permette di usare il programma di videoconferenza Netmeeting come strumento
di amministrazione remota per fare accedere al sistema un utente di un altro
computer. Il servizio non è attivato automaticamente all'avvio ma per questioni
di sicurezza è importante portare l'impostazione sul tipo di avvio da Manuale
a Disabilitato. In questo modo non rischiamo di condividere per errore il
nostro Desktop.

Gestione sessione di assistenza mediante desktop remoto (RDSessMgr)

Gestisce la funzione di assistenza remota di Windows XP che permette il
controllo del sistema da una postazione collegata in rete. Anche in questo caso
il servizio ha un tipo ti avvio manuale ma per ragioni di sicurezza si consiglia
la sua completa disabilitazione.

Servizi terminal (TermService)

Consente a più utenti di connettersi contemporaneamente allo stesso computer
effettuando un login remoto sul nostro sistema. In alcune circostanze il
servizio è di grandissima utilità ma nella maggior parte dei casi risulta
superfluo. Si consiglia di non disabilitare questo componente agli utenti che
facciano uso dell'assistenza mediante desktop remoto o che utilizzino il
cambio rapido utente in quanto da questo dipendono.

Telnet (TlntSvr)

Il servizio gestisce il server telnet. Questo componente, presente solo nella
versione professional di windows XP, permette ad un utente remoto di collegari
tramite telnet al nostro sistema. Il tipo di avvio è normalmente impostato su
manuale. Per ragioni di sicurezza si consiglia di disabilitalo completamente.

Servizio di segnalazione errori (ERSvc)

Monitora l'esecuzione dei programmi e delle applicazioni di sistema e
provvede a contattare Microsoft via internet per fornire i dettagli di eventuali
malfunzionamenti o di terminazioni inaspettate. L'intento del servizio è quello
di fornire informazioni che permettano di rilasciare patch che migliorino la
stabilità del sistema operativo.
Nel caso il servizio non risulti gradito è possibile disabilitarlo senza troppi
problemi in modo da
liberare preziose risorse di sistema.

WebClient (WebClient)

Consente alle applicazioni di creare, leggere e scrivere dati su particolari
file server presenti su internet attraverso il protocollo WebDAV. A meno che
siate a conoscenza di applicazioni sul vostro sistema che ne facciano uso si consiglia di disabiliare il servizio.

Altri servizi disabilitati col service pack 2

Il service pack 2 per windows XP è stato creato principalmente per rafforzare
la sicurezza. Può essere interessante quindi analizzare come sono state
modificate a tal scopo le impostazioni di alcuni servizi:

Avvisi (Alerter): si occupa di notificare avvisi amministrativi ai
computer in rete. Con SP2 il tipo di avvio è passato da manuale a
disabilitato
.

Clip Book (clpsrv): permette la condivisione degli oggetti copiati
negli appunti tra computer in rete. Con SP2 il tipo di avvio è passato da
manuale
a disabilitato.

Messenger (messenger): invia messaggi pop-up a computer remoti tramite
il comando net send. Con SP2 il tipo di avvio è passato da automatico
a disabilitato.

DDE di rete (NetDDE): si occupa del trasporto e della protezione di
oggetti DDE (Dynamic Data Exchange) tra processi sullo stesso computer o in
rete.  È usato dal servizio Clip Book. Con SP2 il tipo di avvio è passato
da manuale a disabilitato.

DDE DSDM di rete (NetDDEdsdm): si occupa della gestione gli oggetti
DDE. Usato dal servizio DDE di rete. Con SP2 il tipo di avvio è passato da
manuale
a disabilitato.

Numero di serie del supporto portatile (WmdmPmSp): fornisce al sistema
il numero di serie di eventuali lettori musicali portatili collegati al PC. Con
SP2 il tipo di avvio è passato da automatico a manuale.

Descrizione dei servizi in Windows Server 2003 e Windows XP

http://www.microsoft.com/technet/security/guidance/secmod54.mspx

Elenco servizi Windows 2000 server:

http://www.microsoft.com/windows2000/techinfo/howitworks/management/w2kservices.asp

Le ottime pagine di BlackViper sulla disabilitazione dei servizi di windows
XP:

http://www.blackviper.com/WinXP/servicecfg.htm


http://www.blackviper.com/WinXP/service411.htm


Ti consigliamo anche