65 servizi installati da Windows 2003 Server

Strumenti e suggerimenti per la gestione dei componenti fondamentali dell'architettura di Windows.

Per impostazione predefinita, con Windows 2003 Server (senza service pack) vengono installati 65 servizi (gli altri prodotti Windows 2003 Server e Windows 2000 Professional installano servizi diversi. Per una descrizione dei 65 servizi predefiniti installati da Windows 2000 Server, vedere la tabella 1 all'indirizzo http://www.win2000mag.com/, InstantDoc ID 22762). L'articolo "Servizi di Windows 2000 Server - Parte 1", contiene informazioni generali su questi servizi, ne illustra il ruolo e fornisce suggerimenti e indicazioni sugli strumenti da utilizzare per gestirli. Partendo da queste nozioni di base, è possibile iniziare a esaminare i servizi in esecuzione nel sistema e configurarli in base alle esigenze specifiche.

 

Servizi installati

Per scoprire quali servizi vengono installati per impostazione predefinita in Windows 2000 Server, è necessario eseguire una nuova installazione di questo sistema operativo, accettando tutte le impostazioni predefinite, tranne quelle relative agli strumenti di gestione e monitoraggio, che non vengono installati per impostazione predefinita. Successivamente, è necessario eseguire l'Installazione guidata di Active Directory (dcpromo.exe) e accettare tutte le impostazioni predefinite, impostare il server come primo domain controller (DC) del nuovo dominio homedomain.com e installare il servizio DNS localmente. Mediante la procedura di installazione di Active Directory (AD) viene installato un solo servizio nuovo, il servizio server DNS, che risponde alle query relative ai nomi DNS e alle richieste di aggiornamento.

Anche se installa solo questo servizio, l'Installazione guidata di Active Directory modifica da Disattivato o Manuale ad Automatico lo stato di alcuni dei servizi predefiniti di Windows 2000 Server. Nella tabella 1 sono indicati i servizi richiesti da Active Directory ma che non vengono eseguiti nella configurazione predefinita di un server autonomo, a meno che non vengano attivati manualmente.

Tabella 1 Servizi che cambiano stato in seguito all'installazione di Active Directory

Servizio
Tipo di avvio
Nuovo tipo di avvio
Manutenzione collegamenti distribuiti server

Manuale

Automatico

Replica file

Manuale

Automatico

Messaggistica tra siti

Disattivato

Automatico

Centro distribuzione chiave Kerberos

Disattivato

Automatico

Accesso rete

Manuale

Automatico

Provider supporto protezione LM NT

Manuale

Manuale

RPC Locator

Manuale

Automatico

Telefonia

Manuale

Manuale

Windows Installer

Manuale

Manuale

Strumentazione gestione Windows

Manuale

Automatico

(WMI, Windows Management Instrumentation)

Automatico

Automatico

Ora di Windows

Manuale

Automatico

Infine, utilizzando l'applet Installazione applicazioni del Pannello di controllo, è necessario installare tutti i servizi nativi di Windows disponibili, accettando tutti i parametri di configurazione predefiniti (questa operazione è sconsigliata nei server di produzione; in questo caso, viene eseguita al solo scopo di individuare i servizi disponibili e le relative opzioni). Durante questa fase dell'installazione vengono aggiunti altri 24 servizi e il parametro Tipo di avvio dei Servizi terminal di Windows 2000, installati in precedenza, viene modificato da Disattivato ad Automatico. I 24 servizi aggiunti sono descritti nella tabella 2.

Tabella 2 Servizi facoltativi di Windows 2000
Servizio
Descrizione
Stato
Tipo di avvio
Account di accesso
Livello negoziazione informazioni di avvio

Consente di installare Windows 2000 Professional in computer client abilitati all'avvio remoto PXE (Pre Execution Environment).

Non avviato

Manuale

LocalSystem

Servizi certificati

Emette e revoca certificati X.509 per tecnologie di crittografia a chiave pubblica.

Avviato

Automatico

LocalSystem

Server DHCP

Esegue l'assegnazione dinamica degli indirizzi IP e imposta la configurazione della rete per i client DHCP.

Avviato

Automatico

LocalSystem

File server per Macintosh

Consente agli utenti Macintosh di memorizzare e accedere ai file nel server locale.

Avviato

Automatico

LocalSystem

Servizio di autenticazione Internet (IAS, Internet Authentication Service)

Gestisce l'autenticazione, l'autorizzazione e l'amministrazione degli account per gli utenti che si connettono mediante l'accesso remoto o una rete privata virtuale (VPN, Virtual Private Network). IAS supporta il protocollo RADIUS (Remote Authentication Dial-In User).

Avviato

Automatico

LocalSystem

Accodamento messaggi

Implementa un'infrastruttura di comunicazione per le applicazioni distribuite di messaggistica asincrona.

Avviato

Automatico

LocalSystem

NNTP (Network News Transfer Protocol)

Trasmette le news attraverso la rete.

Avviato

Automatico

LocalSystem

Trasmissione presentazione in linea

Descrizione non disponibile.

Non avviato

Manuale

LocalSystem

Server di stampa per Macintosh

Consente ai client Macintosh di inviare i processi di stampa allo spooler di un computer Windows 2000 Server.

Avviato

Automatico

LocalSystem

Modulo di gestione Archiviazione remota

Coordina i servizi e gli strumenti amministrativi per l'archiviazione dei dati utilizzati con minor frequenza.

Avviato

Automatico

LocalSystem

File di Archiviazione remota

Gestisce le operazioni sui file archiviati in posizioni remote.

Avviato

Automatico

LocalSystem

Supporti di Archiviazione remota

Controlla i supporti utilizzati per archiviare i dati in modalità remota.

Avviato

Automatico

LocalSystem

Notifica di Archiviazione remota

Invia al client un notifica riguardante i dati richiamati.

Non avviato

Manuale

LocalSystem

Servizi semplici TCP/IP

Supporta i seguenti servizi TCP/IP: Character Generator, Daytime, Discard, Echo e Quote of the Day.

Avviato

Automatico

LocalSystem

Agente di archiviazione istanza singola

Cerca i file duplicati nei volumi di archiviazione a istanza singola e li sostituisce con puntatori a un singolo punto di archiviazione, in modo da risparmiare spazio.

Non avviato

Manuale

LocalSystem

Servizio di individuazione Internet (ILS)

Attiva il multicast IP per le conferenze in rete.

Avviato

Automatico

LocalSystem

Server di stampa TCP/IP

Supporta la stampa TCP/IP basata sul protocollo Line Printer.

Avviato

Automatico

LocalSystem

Gestione licenze Servizi terminal

Installa un server per le licenze e fornisce licenze client registrate per la connessione a un server per i servizi terminal.

Avviato

Automatico

LocalSystem

Trivial FTP Daemon

Implementa lo standard Trivial FTP Internet, che non richiede l'immissione di nome utente e password. Fa parte dei Servizi di installazione remota (RIS).

Non avviato

Manuale

LocalSystem

Servizio di monitoraggio di Windows Media

Esegue il monitoraggio delle connessioni client e server ai servizi Windows Media.

Avviato

Automatico

.\NetShowServices

Programma di Windows Media

Raggruppa i flussi Windows Media in un programma sequenziale per il servizio di stazione di Windows Media.

Avviato

Automatico

.\NetShowServices

Servizio di stazione di Windows Media

Offre servizi di multicasting e distribuzione per flussi di contenuto Windows Media.

Avviato

Automatico

.\NetShowServices

Servizio unicast di Windows Media

Fornisce contenuti di flusso Windows Media su richiesta a client connessi alla rete.

Avviato

Automatico

.\NetShowServices

WINS

Fornisce un servizio per la risoluzione dei nomi NetBIOS per i client TCP/IP che devono registrare e risolvere nomi di tipo NetBIOS.

Avviato

Automatico

LocalSystem

 
Valutazione dei rischi

L'esecuzione di 90 servizi in un sistema Windows 2000 Server rischia tuttavia di comprometterne seriamente le prestazioni. Tutto dipende naturalmente dalla potenza del computer server. La maggior parte di questi servizi consuma risorse di sistema solo quando è attiva. Ad esempio, se il server non ospita alcun sito Web attivo, l'esecuzione di Microsoft IIS non comporta una riduzione apprezzabile delle prestazioni del sistema.

Per impostazione predefinita, la maggior parte dei servizi è disattivata o configurata per l'avvio manuale. Tuttavia, all'aumentare del numero dei servizi caricati automaticamente aumenta anche la quantità di memoria e di risorse della CPU necessarie per il normale funzionamento del sistema. Per questo motivo, se il numero dei servizi in esecuzione viene ridotto, il sistema potrà disporre di più risorse e quindi offrire prestazioni superiori. Di conseguenza, per aumentare le prestazioni, è necessario caricare automaticamente solo le applicazioni effettivamente necessarie e disattivare o rimuovere, oppure impostare per l'avvio manuale, gli altri servizi disponibili nel server.

Tabella 3 Servizi che è possibile disattivare o rimuovere
Servizio
Considerazioni
Avvisi

Disattivare questo servizio solo se non è necessario inviare messaggi di avviso agli utenti.

Client DHCP

Disattivare questo servizio solo se si esegue l'assegnazione statica degli indirizzi IP.

File system distribuito

Disattivare questo servizio solo se non si utilizzano i volumi DFS.

Client DNS

Disattivare questo servizio solo negli ambienti di sviluppo o di test.

Servizio di amministrazione di IIS

Disattivare questo servizio solo se non si esegue un server Web. È tuttavia necessario ricordare che Windows 2000 include molti componenti basati sul Web, che potrebbero risentire della disattivazione di questo servizio.

Messenger

La disattivazione di questo servizio potrebbe influire negativamente sulle applicazioni che hanno l'esigenza di scambiare messaggi con altri sistemi o applicazioni.

Spooler di stampa

Disattivare questo servizio solo se il sistema non viene utilizzato come server di stampa.

Registro di sistema remoto

La disattivazione di questo servizio può proteggere il sistema dagli attacchi esterni.

RunAs

Disattivare questo servizio solo se non è necessario utilizzare il comando “Esegui come” per avviare un'applicazione nel contesto di protezione di un altro utente.

SMTP

Disattivare questo servizio solo se non si utilizza il protocollo SMTP.

SNMP

Disattivare questo servizio solo se non si utilizzano applicazioni di gestione basate su SNMP. Tuttavia, la maggior parte delle applicazioni di gestione utilizza SNMP.

I servizi da disattivare o rimuovere devono essere scelti con estrema attenzione. Come regola generale, è preferibile evitare di rimuovere o disattivare i servizi di cui non si conosce la funzione. La disattivazione di un servizio necessario o dipendente può provocare il blocco di un'applicazione, danneggiare file o causare l'arresto del sistema. La possibilità di disattivare o rimuovere determinati servizi dipende dalla configurazione del server utilizzato. La disattivazione dei servizi elencati nella tabella 3 può comportare un notevole aumento delle prestazioni, purché non vengano utilizzati dal sistema o da altre applicazioni. Per rimuovere correttamente un servizio, è necessario aprire l'applet Installazione applicazioni e fare clic sul pulsante Installazione componenti di Windows per avviare l'Aggiunta guidata componenti di Windows, che visualizza l'elenco dei servizi disponibili in Windows 2000. La casella di controllo accanto ai servizi installati è selezionata. Per rimuovere un servizio è necessario deselezionare la casella di controllo corrispondente, mentre per specificarne la configurazione è necessario selezionare la casella di controllo e scegliere Avanti, per completare i passaggi della procedura che consentono di configurare i servizi selezionati (alcuni servizi comprendono più componenti). Deselezionare solo le caselle di controllo corrispondenti ai servizi da rimuovere.

Per quanto riguarda l'attivazione dei servizi che non vengono eseguiti automaticamente, tutto dipende dalla situazione specifica. Ad esempio, anche se il Servizio di indicizzazione può essere molto utile, è necessario ricordare che durante l'indicizzazione del contenuto le prestazioni del server vengono ridotte. Se è necessario utilizzare la funzionalità fax o RRAS, occorre attivare i servizi corrispondenti. I servizi che può essere necessario attivare sono elencati nella tabella 4.

Tabella 4 Servizi di sistema utili che può essere necessario attivare
Servizio
Motivo dell'attivazione
Accesso rete

Attivare questo servizio solo se il server dovrà supportare l'accesso degli utenti attraverso la rete.

Condivisione desktop remoto di NetMeeting

Può essere utile per supportare le attività di Help desk remoto.

RRAS

Consente di supportare direttamente l'accesso remoto e attraverso Internet.

Trap SNMP

Necessario per l'esecuzione di applicazioni di gestione che utilizzano SNMP.

Telnet

Può essere utile per consentire l'accesso al server in ambienti misti che comprendono sistemi Windows e UNIX.

Ora di Windows

Consente agli altri computer della rete di sincronizzare i propri orologi con il server.

Quando si esegue l'ottimizzazione dei servizi di sistema, è necessario creare una copia di backup completa prima di alterare in modo significativo la configurazione del server e registrare tutte le modifiche apportate. Le copie di backup e i registri costituiscono i principali strumenti per la risoluzione dei problemi, nel caso in cui la modifica della configurazione impedisca il funzionamento di un'applicazione o provochi una riduzione delle prestazioni.

Vai a inizio pagina
Ottimizzazione della protezione

La disattivazione dei servizi di sicurezza di un server, soprattutto se si tratta di un domain controller, riduce il livello di protezione del sistema e rischia di mettere in pericolo tutto l'ambiente di rete. È tuttavia possibile ottimizzare le impostazioni del servizio in modo da semplificare la gestione del sistema.

Nella Parte 1 dell'articolo è stato spiegato come creare account di servizio per applicazioni e servizi. Tali account determinano il contesto di protezione nell'ambito del quale vengono eseguiti i servizi e le applicazioni, semplificano il controllo dei diritti di accesso e l'interazione di più servizi correlati, oltre a proteggere le principali funzioni di gestione del sistema e le applicazioni.

Utilizzando il modello di oggetti di protezione nativo di Windows 2000, è possibile controllare l'accesso a singole azioni e proprietà del server. È ad esempio possibile stabilire quali servizi saranno accessibili per i tecnici dell'Help desk, quali azioni potranno eseguire e quali informazioni di gestione potranno visualizzare. Definendo gli ACL dei singoli servizi, è possibile delegare il controllo e i diritti di accesso relativi a tali servizi. In alternativa, è possibile utilizzare Microsoft BackOffice Server 2000 per determinare le azioni consentite a ciascun tecnico, mediante le credenziali di accesso e i file bloccati di Microsoft Management Console (MMC). Ad esempio, è possibile personalizzare un determinato menu di scelta rapida in modo da visualizzare solo il comando per avviare il servizio e non quello per arrestarlo. Lo strumento Service ACL Editor di Microsoft Windows 2000 Resource Kit consente di amministrare i servizi con un livello di dettaglio anche superiore (per un elenco completo degli strumenti del Resource Kit correlati, vedere la Parte 1 dell'articolo).

È possibile impostare le credenziali di accesso per i servizi, immettere le password e configurare l'interazione con i desktop mediante la scheda Connessione della finestra delle proprietà del servizio. Impostando l'account di accesso è possibile specificare i diritti di cui un determinato servizio o applicazione potrà disporre sul server. Pertanto, è possibile limitare l'accesso alle risorse del server da parte dei servizi che possono costituire un pericolo per la sicurezza. È possibile creare un account utente unico e assegnarlo manualmente ai gruppi che dispongono delle autorizzazioni necessarie per utilizzare il servizio. In questo caso, è necessario creare l'account utente nel contenitore Utenti e gruppi locali (se il sistema è un domain controller, è necessario creare un account unico per il dominio, anziché un account locale o di sistema) e limitarne il più possibile l'ambito funzionale, ossia attribuire diritti di accesso limitati, evitando di consentire l'accesso generale al server, a meno che il servizio non lo richieda. L'impostazione di account di gestione dei servizi con nomi diversi e password sicure contribuisce a proteggere la rete dagli attacchi degli hacker.

Tuttavia, la presenza di un numero elevato di account di servizio può costituire un problema, al momento di modificare le password secondo quanto previsto dai criteri in vigore nella società. Per risolvere il problema, è possibile attribuire a questi account password prive di scadenza, in modo da evitare che la scadenza di una password possa impedire completamente al servizio associato di accedere al server per l'esecuzione. Questa soluzione comporta tuttavia un rischio di protezione. Anziché creare numerosi account dotati di password prive di scadenza, è possibile creare pochi account di servizio non privilegiati e sviluppare un processo per modificarne le password quando necessario.

Per un servizio, l'interazione con i desktop implica la visualizzazione di una finestra nell'ambiente del desktop Windows allo scopo di accettare l'input da parte di qualsiasi utente connesso al sistema. Se si seleziona la casella di controllo Consenti al servizio di interagire col desktop nella finestra delle proprietà del servizio, si espone l'interfaccia utente del servizio, permettendo agli utenti di modificare le impostazioni. Evitando di selezionare questa casella di controllo, si impedisce agli utenti di interferire con il servizio. Questa opzione di configurazione è disponibile solo per i servizi eseguiti con l'account LocalSystem. In genere è preferibile evitare di modificare le impostazioni relative all'interazione dei componenti e dei servizi di Windows comuni, poiché eventuali modifiche potrebbero influire negativamente sul funzionamento del server. Tuttavia, in un ambiente di sviluppo o nelle applicazioni eseguite come servizi può essere necessario consentire l'interazione con il desktop, allo scopo di controllare il servizio o per poter accettare l'input dell'utente.

È tuttavia possibile che il servizio Server venga accidentalmente configurato per l'esecuzione con un account utente a cui corrisponde una password scaduta. In questo caso, non è più possibile accedere al sistema, ma sarà sufficiente riavviare il server in modalità provvisoria, una configurazione che contiene solo i servizi e i driver essenziali, e utilizzare una delle opzioni di avvio disponibili per accedere a Windows e correggere l'errore.

 
Regolazione ottimale del server

In questi articoli sono state fornite le nozioni di base sulle interfacce e gli strumenti di amministrazione dei servizi ed è stato spiegato come utilizzare tali strumenti per attivare e disattivare i servizi e per modificare le impostazioni relative alla sicurezza. Questi articoli possono essere utilizzati come punto di partenza per la gestione dei servizi di Windows 2000, mentre per ottenere ulteriori informazioni sull'ottimizzazione dei servizi di sistema è consigliabile consultare la Guida in linea di Windows e la documentazione del Resource Kit.

Windows & .NET Magazine UPDATE è una newsletter gratuita, inviata tramite posta elettronica, che contiene notizie, suggerimenti e altre risorse dedicate ai professionisti IT che lavorano con i sistemi Windows. Per abbonarsi, visitare il sito http://www.win2000mag.net/Email/Index.cfm?ID=1.

Copyright(c) 2000 - 3000 by. Ing. Eduardo Palena - Napolifirewall.com