Windows 2000/XP: Applicazione di patch ed aggiornamenti. Windows Update, MBSA e HFNetChkPro.

Abbiamo già ampiamente evidenziato, nelle pagine de IlSoftware.it, come virus e componenti maligni di ogni genere sfruttino vulnerabilità insite all'interno del sistema operativo e dei software che si utilizzano per eseguirsi in modo au...

Abbiamo già ampiamente evidenziato, nelle pagine de IlSoftware.it, come virus e componenti maligni di ogni genere sfruttino vulnerabilità insite all’interno del sistema operativo e dei software che si utilizzano per eseguirsi in modo automatico, senza intervento alcuno da parte dell’utente, per compiere operazioni pericolose sui nostri personal computer e per diffondersi ulteriormente.

L’applicazione delle patch di sicurezza e degli aggiornamenti periodicamente rilasciati da Microsoft e da parte degli altri produttori software è quindi un aspetto che sta assumendo un ruolo sempre più importante non solo in ambito aziendale ma anche negli scenari domestici.

Il servizio gratuito che Microsoft mette a disposizione in tutte le versioni di Windows si chiama Windows Update: interfacciandosi con il browser (previo scaricamento di un apposito componente ActiveX), il servizio provvede ad analizzare la configurazione software del sistema proponendo l’elenco degli aggiornamenti che sarebbe bene installare immediatamente. Nonostante prodotti come Windows 98 e Windows NT 4.0 (versione Workstation) non siano più supportati da Microsoft (ved. questa pagina), Windows Update è sempre e comunque utilizzabile per installare le patch di sicurezza più importanti.

Il servizio è accessibile collegandosi all’indirizzo windowsupdate.microsoft.com o facendo riferimento all’apposita funzione contenuta nel menù Start di Windows.

Windows XP e Windows 2000 (solo dopo l’installazione del Service Pack 3) includono la speciale funzione Aggiornamenti automatici accessibile dal Pannello di controllo di Windows cliccando l’icona Sistema quindi la scheda omonima. Nel caso in cui la funzione sia attiva (lo è per default), durante la connessione Internet verranno prelevati in background tutti gli aggiornamenti più importanti. In particolare, attivando l’opzione Mantieni aggiornato il computer verranno proposte tre differenti opzioni. Nel primo caso viene sempre visualizzato un messaggio di notifica prima di scaricare e di installare i nuovi aggiornamenti; con la seconda possibilità si richiede il prelievo automatico ma si riceverà un messaggio prima dell’effettiva installazione; la terza opzione scarica automaticamente gli aggiornamenti ma provvede ad installarli solo in un determinato momento (per esempio, tutti i giorni alle ore 17).

Va sottolineato che la funzione Aggiornamenti automatici non provvede a scaricare e ad installare alcun aggiornamento precedente alla data di configurazione del servizio stesso. E’ quindi bene, almeno per la prima volta, ricorrere al servizio Windows Update: cliccando sul link Analizza e proponi aggiornamenti verrà avviata una scansione del personal computer alla ricerca dei componenti mancanti. Al termine dell’operazione il servizio proporrà l’elenco degli aggiornamenti critici da effettuare, inclusi gli eventuali Service Pack. Nella lista Visualizza gli aggiornamenti disponibili, facendo clic sulla voce Aggiornamenti importanti e Service Pack verrà stilato un elenco degli aggiornamenti appropriati per il personal computer (gli aggiornamenti critici risulteranno automaticamente selezionati per il download). Nella sezione Verifica e installa aggiornamenti, selezionate gli aggiornamenti da installare quindi cliccate su Installa. Al termine dell’installazione potrebbe essere necessario riavviare il personal computer. Verificate, quindi, immediatamente dopo il riavvio, se sono disponibili ulteriori aggiornamenti visitando nuovamente il sito Windows Update.

MBSA (Microsoft Baseline Security Analyzer) è un tool gratuito, sviluppato direttamente da Microsoft, che rappresenta l’evoluzione del servizio Windows Update. Giunto alla versione 1.2 (prelevabile all’indirizzo da qui (sito Microsoft) oppure da questa pagina), è compatibile con tutti i sistemi Windows NT 4.0, Windows 2000, Windows XP e Windows Server 2003. Il programma si occupa di controllare lo stato del sistema operativo e di proporre il download delle ultime patch disponibili. Alcuni lettori si chiederanno perché non limitarsi all’uso di Windows Update. Effettuando qualche prova, spesso accade che il servizio Windows Update informi l’utente che il sistema non necessita dell’installazione di nuove patch; se si prova, invece, ad utilizzare MBSA, capita, invece, che il programma proponga l’installazione di alcuni aggiornamenti. Questo avviene perché Windows Update viene aggiornato a cadenza periodica: MBSA è invece in grado di informare circa l’uscita di patch ed aggiornamenti che possono essere inseriti in Windows Update anche con settimane di ritardo. MBSA inoltre, è uno strumento assai utile per tutti gli amministratori di sistema e per coloro che desiderano mantenere ottimi livelli di sicurezza sul proprio personal computer ed all’interno della propria rete locale. Questo strumento fornisce, infatti, alcuni utili suggerimenti per mettere in sicurezza aspetti del sistema che potrebbero essere sfruttati da utenti malintenzionati per violare la vostra privacy o per far danni.

MBSA si installa semplicemente facendo doppio clic sul file MBSASetup-en.msi e seguendo le istruzioni a video (MBSA non è disponibile in italiano ma la versione in inglese funziona perfettamente anche sui sistemi localizzati nella nostra lingua). Dopo aver avviato MBSA, facendo clic sulla voce Pick a computer to scan o su Pick multiple computers to scan si può scegliere, rispettivamente, se analizzare un singolo sistema o più personal computer collegati, ad esempio, in rete locale. Nella casella Security report name viene indicato il nome che verrà attribuito al file (report) contenente le informazioni su tutte le patch che è bene provvedere ad installare. Le opzioni elencate immediatamente più sotto, indicano quali aspetti di Windows si desidera controllare: vulnerabilità del sistema, scelta delle password, vulnerabilità del server IIS, vulnerabilità del server SQL, presenza di aggiornamenti (hotfix). Per avviare la scansione del sistema, in modo da determinare quali aggiornamenti devono essere scaricati ed installati, è sufficiente cliccare su Start scan. Consigliamo di lasciare selezionata la voce this computer all’interno del campo Computer name: in questo modo MBSA controllerà il personal computer sul quale è stato installato (in alternativa, è possibile verificare pc di rete o computer singoli specificandone il relativo indirizzo IP).

MBSA provvederà ad effettuare i controlli sul proprio computer e a verificare la disponibilità di eventuali patch. Qualora vi venga richiesto di installare ed eseguire il MSSecure XML File cliccate sul pulsante Sì. Il sommario finale, restituito da MBSA, consente di controllare quali problemi di sicurezza sono stati diagnosticati sul personal computer. Il report sarà tanto più completo quanti più controlli si è scelto di effettuare. La sezione Windows vulnerabilities mostra la lista di tutte le vulnerabilità ancora presenti. Cliccando sul link Results details si otterranno consigli pratici (in inglese) sulle azioni da compiere per mettere in sicurezza il proprio pc. Cliccando sul link Results details posto accanto alla voce Windows Hotfixes, verrà proposta la lista completa delle patch che è bene provvedere ad installare. MBSA informa l’utente anche su alcuni dettagli che consentono di rendere il sistema ancora più sicuro (il programma, ad esempio, notifica – tra le altre cose – se qualche disco fisso/partizione non è formattato con il file system NTFS (che offre un maggior livello di sicurezza), se è stata attivata la funzione di accesso automatico a Windows (autologon),…).
MBSA è utile anche per chi utilizza uno o più computer Windows 2000/XP come server web basati sull’uso di IIS (Internet Information Services): grazie alle indicazioni del programma è possibile risolvere tutte le possibili vulnerabilità.

Shavlik Technlogies, l’azienda che ha collaborato con Microsoft nello sviluppo di MBSA, commercializza HFNetChkPro. L’interfaccia utente, piacevole e pratica da usare, consente di stabilire con precisione quali aree del sistema verranno analizzate, quando verrà effettuato il controllo e così via. Le informazioni restituite per ciascuna patch mancante sono davvero molte ed estremamente esplicative. Lo speciale Shavlik’s PatchPush Tracker consente di ottenere un riscontro istantaneo sull’installazione di ogni singola patch. Il programma dà il meglio di sé in una rete locale: è infatti possibile conoscere istantaneamente lo stato dell’aggiornamento di ogni singolo personal computer e provvedere alla distribuzione e alla successiva installazione di ogni patch eventualmente mancante. HFNetChkPro è un software commerciale che il buon amministratore di sistemi non dovrebbe lasciarsi sfuggire.

Tra l’altro, Shavlik ha appena reso possibile il download di una versione “free” di HFNetChkPro. Dopo aver effettuato la registrazione gratuita sul sito web dell’azienda (www.shavlik.com) si riceverà, via e-mail, uno speciale codice personale che permetterà di utilizzare il software senza restrizioni particolari.

Ti consigliamo anche

Link copiato negli appunti