Come accaduto nel caso di Windows XP, oltre un anno fa, adesso è giunta la volta del definitivo abbandono, da parte di Microsoft, di un prodotto software destinato alle realtà d’impresa, ancor’oggi molto utilizzato. Stiamo parlando di Windows Server 2003.
Rilasciato ormai 12 anni fa, Windows Server 2003 è ancora oggi impiegato in molte aziende oltre che presso diversi provider Internet. Il supporto di Windows Server 2003 terminerà martedì 14 luglio 2015 e non ci saranno posticipi, come accadde invece tempo fa nel caso di Windows XP.
È stato calcolato che ad oggi Windows Server 2003 sarebbe ancora attivamente utilizzato su oltre 2,7 milioni di server, solamente considerando il mercato europeo. Dal prossimo luglio, quindi, i tecnici Microsoft non rilasceranno più alcun aggiornamento, neppure per gravi problematiche di sicurezza, che sia destinato ai sistemi Windows Server 2003.
Mentre Microsoft sta caldeggiando il tempestivo aggiornamento (vedere questa pagina di supporto) ad una successiva versione di Windows Server (Windows Server 2008 R2 andrà in pensione a gennaio 2020 mentre Windows Server 2012 ad ottobre 2023), diverse società attive nel campo della sicurezza informatica stanno iniziando a proporre le loro soluzioni commerciali per venire incontro a coloro che non potranno immediatamente migrare ad una successiva versione di Windows Server oppure passare ad un’altra piattaforma.
Trend Micro, ad esempio, propone la sua soluzione Deep Security proprio per consentire ai clienti di pianificare con maggiore calma il passaggio a Windows Server 2012, Azure o altre piattaforme.
Secondo Intel, l’importante è non rimanere fermi attendendo il 14 luglio prossimo. I percorsi individuati da Intel sono essenzialmente tre: aggiornamento da Windows Server 2003 alla versione più recente di Windows Server (Windows Server 2012 R2), migrazione a Windows Server 2003 su cloud, prosecuzione dell’utilizzo di Windows Server 2003.
In quest’ultimo caso, bisognerà valutare con attenzione tutte le misure di protezione che permetteranno di continuare ad usare in sicurezza Windows Server 2003. La riduzione della superficie d’attacco (esponendo solo porte e servizi strettamente necessari) è senza dubbio una soluzione che dovrebbe essere sempre applicata (almeno nel caso di macchine accessibile dalla rete WAN). Va detto, tuttavia, che eventuali vulnerabilità che dovessero essere scoperte nei componenti server attivamente utilizzati in Windows Server 2003 non saranno più risolvibili mediante l’installazione di patch (potrebbero essere identificati solamente dei workaround).
Fine del supporto anticipato per Windows Server 2003?
Abbiamo detto che, ufficialmente, Microsoft cesserà di supportare Windows Server 2003 a partire dal 15 luglio 2015 (il 14 luglio, teoricamente, potrebbero essere rilasciati gli ultimi aggiornamenti per il sistema operativo).
Esaminando le patch rilasciate martedì scorso (e siamo appena a maggio!), però, è facile evincere come Microsoft stia già abbandonando, almeno parzialmente, il supporto di Windows Server 2003. Si provi a leggere, ad esempio, quanto riportato nella pagina descrittiva dell’aggiornamento di sicurezza MS15-050 (la traduzione è stata da noi elaborata a partire dalla nota Microsoft in lingua inglese):
“Windows Server 2003 è uno dei sistemi operativi interessati dall’applicazione dell’aggiornamento di sicurezza tuttavia non è stata rilasciata alcuna patch per Windows Server 2003. Microsoft non ha rilasciato un aggiornamento di sicurezza (a fronte delle vulnerabilità risolvibili sugli altri sistemi operativi mediante l’installazione della patch MS15-050, n.d.r.) perché in forza dell’architettura complessiva di Windows Server 2003, il rilascio di un update per questo sistema ne comprometterebbe la stabilità e potrebbe verosimilmente causare problemi di compatibilità alle varie applicazioni installate. Microsoft raccomanda ai clienti più responsabili e maggiormente consci dei problemi di sicurezza, l’aggiornamento ad una successiva versione di Windows“.
Sebbene la cosa non sia stata ad oggi pubblicizzata, quindi, Microsoft sta di fatto progressivamente già abbandonando Windows Server 2003 non mettendo a disposizione degli utenti le patch per mettere in sicurezza il sistema. Non è quindi detto, come d’altra parte appena accaduto, che da qui al prossimo 14 luglio Microsoft rilasci patch per tutte le problematiche di sicurezza che riguardano anche Windows Server 2003.
Chi ancora oggi usa macchine Windows Server 2003 è bene ne prenda nota.