Prima esperienza con Windows Server

[fcorbelli]

Quote:

Originariamente inviato da malatodihardware

Intendevo dire ironicamente che se hai qualche infezione/tentata infezione non hai configurato bene..
Scherzi a parte, di solito noi abbiamo un set di policy base che mettiamo sull'Active Directory che non permette quasi nulla, neanche di cambiare lo sfondo del desktop. Uniche concessioni sono alcune porzioni di registro necessarie per la registrazione di OCX e DLL del gestionale, per il resto non l'utente è completamente bloccato e può eseguire solo gli exe già installati sulla macchina

E sono contenti?

[malatodihardware]

Premessa: così estremizzata è solo un'azienda, le altre sono ridotte le restrizioni fino a un compromesso..
Sulla felicita nn lo so, i titolari sì perché ce lo hanno chiesto loro.. alla fine col pc ci devi lavorare e basta (teoricamente )

Inviato con TapaTalk2

[WarDuck]

Quote:

Originariamente inviato da fcorbelli

Mah... vedi... gira la "leggenda metropolitana" che dice: togli quasi tutti i diritti all'utente windows, e non ti infetterai.

purtroppo non solo ti infetterai lo stesso, ma nel contempo gli utenti saranno incazzati blu perchè non potranno fare praticamente nulla col loro computer, chiamando a ogni ora del giorno e della notte l'amministratore perchè vogliono installare questo, devono fare l'aggiornamento java sennò cliens non funziona, devono andare sul sito solcazzo e devon o accettare il certificato, devono collegare il telefonino blablabla.

Stiamo parlando di un ufficio, quindi quello che possono e dovrebbero fare è probabilmente il loro lavoro, e si troveranno tutti gli strumenti per farlo e solo quelli.

Se devono fare altro aspettano la fine dell'orario di lavoro e la fanno a casa con il loro PC personale.

Java non ci dovrebbe stare proprio sul PC, se non strettamente necessario per far girare eventualmente una applicazione di lavoro.

In ogni caso ti faccio presente che è possibile distribuire gli aggiornamenti di qualsiasi programma in maniera centralizzata anche con Windows (a patto di avere installer msi), ma certamente lo saprai.

Quote:

Originariamente inviato da fcorbelli

Riguardo a non usare antivirus su windows... non l'ho mai usato, nè lo faccio usare ai miei dipendenti, da oltre 25 anni. Ma c'è una "piccola" differenza rispetto all'utente medio, l'utente smanettone, l'utente che crede di sapere qualcosa perchè ha fatto due volte "avanti-avanti-avanti" in un qualche wizard windows, lurkato 4 guidine su un forum o amministrato al massimo un server con 5 utenti.

Però devo riconoscere che una volta le mie segretarie sono riuscite ad infettarsi, nonostante tutto. Un tasso di una volta in 25 anni senza antivirus è basso?
No, per me è stata una sconfitta epica, neppure io son perfetto.

Lo scopo dell'utente limitato non è proteggere i dati dell'utente, ma proteggere il sistema stesso e a confinare gli effetti di qualsiasi eseguibile sul sistema.

In ogni caso basta identificare le fonti di rischio. E no, non basta usare un sistema diverso per garantire che non ti succederà nulla.

Quote:

Originariamente inviato da fcorbelli

Riguardo al tempo per configurare *nix per avere una sicurezza enormemente maggiore di windows è... zero. Sì, proprio zero. Anche senza far nulla di particolare il livello è incomparabilmente superiore a Windows con utenti in grado di cliccare solo su un'icona e senza DNS, con risoluzione hosts statica.

Argomenta dai, sennò rimane l'ennesima fesseria detta da uno che consiglia di seguire i propri consigli.

Quote:

Originariamente inviato da fcorbelli

*nix è perfetto? No di certo, ma se non conosci perfettamente (e per "perfettamente" intendo "perchè li sai SCRIVERE, non solo USARE)
-Windows
-Linux
-BSD
-Solaris
-Mac (sì, esistono anche i mac server..., se "server" si possono chiamare)
come fai a dare un consiglio sensato?
---

Non so, attraverso la religione?

[WarDuck]

Quote:

Originariamente inviato da fcorbelli

E' una battuta ("pienamente sicuro") ?

Mica sono ostile a Windows: ci campo. Ma il termine "sicurezza" accostato a Windows fa ridere, diciamo che è sicuro a livello hobbystico, casereccio, o per chi non sa cosa significhi un sistema "sicuro" (che non significa perfetto).

PS "filtri di rete"? "policy"?

E tu su che basi valuti la sicurezza di un sistema rispetto ad un altro? Spero che quantomeno vengano paragonati nelle medesime condizioni.

Ad esempio, quanto è sicuro Apache rispetto a IIS?

[WarDuck]

Quote:

Originariamente inviato da paleas

beh, almeno il lavoro e' salvo, dici poco ?

Tu dici? Mi raccomando attenzione a ext4 e la delayed allocation...

Mi raccomando a quelle edizioni di Ubuntu che usano componenti in BETA.

Mi raccomando agli aggiornamenti che sputtanano il sistema.

Insomma per essere salvo devi usare componenti un po' vecchiotti, d'altronde è naturale visto il ciclo di rilascio di Linux.

Posso capire magari mi dici Solaris che usa ZFS, quantomeno è robusto.

A parte gli scherzi, non mi pare che Linux ti garantisca il lusso di non fare dei backup... d'altro canto non vedo come può NTFS che ha comunque il journaling, essere meno affidabile di ext3 o 4.

Magari portando dei dati a favore della tua tesi potrei anche cambiare idea, altrimenti l'impressione è solo quella di leggere tanti luoghi comuni.

Quote:

Originariamente inviato da paleas

fatto un mesetto fa in 15 minuti
ho messo un Ubuntu 10.04, e' stato piu' facile che windows, Firefox+Thunderbird+Openoffice sono sempre quelli, Gnome e' piaciuto immediatamente nella sua semplicita' e facilita', il concetto di /home e' piaciuto molto
Ah, l'unica cosa che ho dovuto ripetere varie volte, perche' non erano convinte, e' stato:"no, non ci sono virus, stai tranquilla"

Questo a casa mia si chiama dire fesserie all'utenza ed illuderla.

http://en.wikipedia.org/wiki/Linux_malware

Al massimo puoi dire che ce ne sono pochi, questo è più corretto. Dettagli? Forse si forse no.

Ma tanto fa fico dire che hai installato un sistema operativo a prova di virus. Ti rende un quasi dio probabilmente agli occhi delle segretarie...

Come d'altro canto ha dimostrato MacOS, che è un sistema unix-based.


Quello che serve per la sicurezza è l'educazione dell'utente, anche perché dal phishing non salvi nessuno con Linux.

L'anello debole della catena è SEMPRE l'utente, e tanto per la cronaca caro corbelli, Windows può essere sicuro quanto Linux.

[fcorbelli]

Quote:

Originariamente inviato da WarDuck

Stiamo parlando di un ufficio, quindi quello che possono e dovrebbero fare è probabilmente il loro lavoro, e si troveranno tutti gli strumenti per farlo e solo quelli.

Magari fosse così: gli utenti, soprattutto dei piccolo uffici, studi professionali, piccole azienda <1000 dipendenti, col loro computerino ci vogliono fare di tutto, e di più

Quote:

Se devono fare altro aspettano la fine dell'orario di lavoro e la fanno a casa con il loro PC personale.

Magari fosse così

Quote:

Java non ci dovrebbe stare proprio sul PC, se non strettamente necessario per far girare eventualmente una applicazione di lavoro.

E' invece indispensabile per tutte quelle attività (e sono ormai legione) di firma digitale, a partire da avvocati (indispensabile), commercialisti (indispensabile), società di capitali che si tengono la contabilità (indispensabile).

Quote:

In ogni caso ti faccio presente che è possibile distribuire gli aggiornamenti di qualsiasi programma in maniera centralizzata anche con Windows (a patto di avere installer msi), ma certamente lo saprai.

No, francamente non lo so, "qualsiasi programma" intendi... microsoft? Perchè tutti i principali gestionali aziendali, piccoli, medi e pure grandi [in realtà ce n'è uno che si chiama Business che fa eccezione, ma lasciamo stare] non li puoi affatto aggiornare così.

Quote:

Lo scopo dell'utente limitato non è proteggere i dati dell'utente, ma proteggere il sistema stesso e a confinare gli effetti di qualsiasi eseguibile sul sistema.

Lo scopo dell'uso di un computer è quello di... usarlo. Altrimenti basta davvero un emulatore terminale AS/400. Nel mondo di oggi, ove internet è pervasivo ovunque e comunque, la tua tesi mi pare davvero lontana da un utilizzo non dico universale, ma anche solo non strettamente di nicchia.

Quote:

In ogni caso basta identificare le fonti di rischio. E no, non basta usare un sistema diverso per garantire che non ti succederà nulla.

Certo che non v'è garanzia. Ma un conto sono (così a stima) 100.000 virus, più altre 5000 vulnerabilità varie, un conto sono 50, un conto sono 2

Quote:

Argomenta dai, sennò rimane l'ennesima fesseria detta da uno che consiglia di seguire i propri consigli.

Ti ringrazio di considerare "fesserie" quello che scrivo, ho una mia opinione su quanto scrivi ma, evidentemente con un abitudini educative diverse, le tengo per me.

Quote:

Non so, attraverso la religione?

Sei tu quello "religioso", maniche, Windows-forever

[fcorbelli]

Quote:

Originariamente inviato da WarDuck

Tu dici? Mi raccomando attenzione a ext4 e la delayed allocation...

Che i filesystem Linux non siano il massimo della vita è un fatto. Così come NTFS fa ridere i polli in ambito enterprise

Quote:

Mi raccomando a quelle edizioni di Ubuntu che usano componenti in BETA.

L'intero software è sempre in BETA, questa è una conclusione che certamente conoscerai.

Quote:

A parte gli scherzi, non mi pare che Linux ti garantisca il lusso di non fare dei backup...

Questa è un'altra conclusione del tutto risibile, giacchè l'integrale della probabilità di un guasto hardware è uno

Quote:

d'altro canto non vedo come può NTFS che ha comunque il journaling, essere meno affidabile di ext3 o 4.

Spero fosse una battuta, o meglio diciamo che rappresenta un'ignoranza pressochè totale sul funzionamento di entrambi i file syste,

Quote:

Magari portando dei dati a favore della tua tesi potrei anche cambiare idea, altrimenti l'impressione è solo quella di leggere tanti luoghi comuni.

E' inutile cercar di convincere un fanboy. Altro dato di fatto

Quote:

Al massimo puoi dire che ce ne sono pochi, questo è più corretto. Dettagli? Forse si forse no.

Ma tanto fa fico dire che hai installato un sistema operativo a prova di virus. Ti rende un quasi dio probabilmente agli occhi delle segretarie...

Bhè ti segnalo che esistono - e uso correntemente - anche sistemi operativi "davvero" a prova di virus, ma non è il caso di consigliarli a utenti e smanettoni, richiedono un livello di conoscenza superiore

Quote:

Come d'altro canto ha dimostrato MacOS, che è un sistema unix-based.

Per la precisione è FREEBSD-based.
Ma l'hai mai usato un mac, giusto per curiosità?

Quote:

Quello che serve per la sicurezza è l'educazione dell'utente, anche perché dal phishing non salvi nessuno con Linux.

E che c'entra il phishing?

Quote:

L'anello debole della catena è SEMPRE l'utente, e tanto per la cronaca caro corbelli, Windows può essere sicuro quanto Linux.

L'anello debole della catena è ANCHE l'utente, non SOLO l'utente.
Certo che Windows può essere sicuro quanto Linux, basta non collegarlo a Internet o consentire di cliccare solo l'icona "lanciami"

PS che poi "linux" non significa nulla. Mentre Windows, nelle sue varie incarnazioni, è un concetto abbastanza ben definito, su "linux" esistono notevoli differenze, con alcuni accorgimenti (tipo SELinux) che sono reputati, universalmente, secondi solo ai sistemi "davvero" sicuri.
Con "davvero" intendo quelli che - nel mondo intero - sono risultati meno soggetti a buchi di sicurezza (non esenti, attenzione, meno).
Perchè il relativismo ("tutti i sistemi sono uguali") non funziona, alcuni sono vere e proprie gruviere, altri sono pareti d'acciaio a prova di esplosione nucleare.
E' chiaro però che per i secondi non esiste "avanti-avanti-avanti", non esistono policy, non esiste nulla che si riesca ad usare produttivamente senza un 10 o 15 anni almeno di esperienza sistemistica nei campi più disparati, non in quelli dell'aziendina sotto casa, o del serverino web per 50 utenti.

[ally]

...se posso dire la mia un server non lo si assembla...lo si compra...

[fcorbelli]

Quote:

Originariamente inviato da realgordonfreeman

La loro risposta è che la softwarehouse del gestionale ha dato delle indicazioni e vorrebbero rispettarle. Le indicazioni sono (...)
--------------------
PC con la configurazione scritta sopra.
Raid 1.
SBS 2011 Essential.
--------------------
Posta con protocollo IMAP.
--------------------
Kaspersky Small Office.
DNS Norton.
Client con utenti limitati.
----------------------

Tornando quindi un pochino in tema la risposta è: va bene.
Dal momento che ti obbligano => forza Windows. ATTENZIONE PERO' ad essere sicuro al 101% che essential gli vada bene (ritengo quasi certo abbiano un "qualcosa" che richiede SQL Server), cosa che non è del tutto scontata. Fattelo mettere per iscritto, basta una email nel caso.
Il RAID-1, come accennato, non è sufficiente, ti servono (almeno) 3 dischi, uguali (ma dovresti averli, quindi la cosa non ti turba più di tanto)

Quello che potresti, nel caso, aggiungere è un programma di terze parti per fare i backup a immagine, purtroppo però sono piuttosto cari (un migliaio di euro se ci metti un po' di "optional") per le versioni server.

Paradossalmente il suggerimento di Windows 7 come server risulta pienamente giustificato SE la software house NON richiede un dominio (e il loro programma può funzionare su 7): in questo caso con un centinaio di euro puoi acquistare la versione "workstation" (ad esempio di acronis) ed ottenere i backup del tuo server a costi estremamente più bassi.
Le versioni desktop di windows consentono fino a 20 connessioni SMB di client, costano poco e sono conosciute dagli utenti, anche quelli meno esperti.
L'elemento-chiave, come accennato, per un piccolo ufficio è la funzione di PDC (in realtà l'intera active directory, ma in ambiti limitati essenzialmente è l'autenticazione degli utenti a far aggio).

Attenzione infine che - in teoria - secondo le norme del DPS (che avete fatto?) Windows 7 "standard" non è in grado di garantire le modalità di aggiornamento delle password (aging), sicchè O vengono fatte a mano, O vengono ignorate del tutto (questo è il caso tipico), oppure bisognerebbe avere un server di autenticazione centralizzato (Windows, Linux o solcazzo)

Ovviamente siamo sempre nel caso in cui il budget sia limitato e si voglia uno strumento più flessibile del meccanismo di backup integrato in Windows
---
Ultima annotazione: in altri casi non dovresti pagar nulla per questi backup (anzi, fatti pure meglio), però ti devi tenere microsoft? => paga.

[fcorbelli]

Quote:

Originariamente inviato da ally

...se posso dire la mia un server non lo si assembla...lo si compra...

E cosa cambia tra un server "assemblato" e uno acquistato?
Nell'ipotesi, ovviamente, di montare componenti della stessa fascia?

Nel caso di specie l'ufficio è talmente piccolo che non vedo grandi differenze rispetto a una macchina server "vera" di fascia bassa.

Un ultimo suggerimento: l'uomo timido (che significa "l'informatico con esperienza") acquisterebbe DUE macchine identiche (identiche come scheda madre e scheda video, se non integrata), una usata come server (con più dischi), l'altra come client (con meno dischi).

Questo perchè, quando il server si guasterà (e questa è una certezza), si potranno "trapiantare" i dischi sull'altra macchina con l'unico problema di riattivare Windows (nel caso si usi Windows, ovviamente), o perfino no (se la configurazione è davvero molto simile), garantendo un tempo di risposta notevolmente inferiore a tutti i casi non virtualizzati, diciamo un "RAID-1\HA" del server

[ally]

Quote:

Originariamente inviato da fcorbelli

E cosa cambia tra un server "assemblato" e uno acquistato?
Nell'ipotesi, ovviamente, di montare componenti della stessa fascia?

Nel caso di specie l'ufficio è talmente piccolo che non vedo grandi differenze rispetto a una macchina server "vera" di fascia bassa.

...la reperibilità dei componenti...l'assistenza sull'hardware e altri crucci sono totalmente gestiti dal produttore...poi sta a te decidere la tipologia di macchina...se posso pero' consiglierei qualcosa di professionale...

[paleas]

Quote:

Originariamente inviato da WarDuck

Magari portando dei dati a favore della tua tesi potrei anche cambiare idea,

scusa ma non penso proprio

Quote:

Originariamente inviato da WarDuck

Ma tanto fa fico dire che hai installato un sistema operativo a prova di virus. Ti rende un quasi dio probabilmente agli occhi delle segretarie...

Hanno solo espresso qualcosa tipo:"oh finalmente, che palle questi virus"
Ad una impiegata se il computer esplode non gliene frega nulla.
Da quanto mi sembra di capire, l'accettazione del modello "sistema operativo bacato+antivirus" sembra piu' diffusa fra la categoria degli informatici medi-gamer-smanettoni.

Quote:

Originariamente inviato da WarDuck

Questo a casa mia si chiama dire fesserie all'utenza ed illuderla.

http://en.wikipedia.org/wiki/Linux_malware

Al massimo puoi dire che ce ne sono pochi, questo è più corretto. Dettagli? Forse si forse no.

dal tuo link: "few if any are in the wild, and most have been rendered obsolete by Linux updates"

comunque grazie, la prossima volta per le impiegate della contabilita' che ricevono le fatture per email, preparero' una dissertazione accademica di almeno 8 ore solo sui malware, non vorrei illuderle, se poi qualcuna di loro poi va su internet e legge qualcuno, che corregge un altro, che corregge un altro ancora, sai che figura barbina ci faccio ?

[fcorbelli]

Quote:

Originariamente inviato da ally

...la reperibilità dei componenti...l'assistenza sull'hardware e altri crucci sono totalmente gestiti dal produttore...poi sta a te decidere la tipologia di macchina...se posso pero' consiglierei qualcosa di professionale...

Quale reperibilità? Basta pagare, e si reperisce praticamente tutto. Assistenza hardware? Per computerini come questi? Non è che sia particolarmente difficile (e il produttore, ad es. HP, dopo un tot di anni l'assistenza non te la dà più)
Qualcosa di "professionale" parte da 5000 euro in su, sotto sono macchinine da ipermercato o poco più.
Certamente quindi sono d'accordo col tuo consiglio (in termini astratti) ma, nel caso concreto, per macchine di fascia superbassa meno.

Il "plus" dei server è essenzialmente la possibilità di una diagnosi "coi leddini", che consentono (almeno in teoria, ovviamente non sempre accade) di poter capire cosa è successo (morto il controller, morta la scheda madre etc), in maniera da poter restringere il campo del problema hardware.

Ma con sistemi che hanno zero o un controller e pochi hard disk, un singolo processore, niente schede intellingenti, interfacce in fibra etc non ha un grandissimo senso, o meglio lo ha se il budget lo consente.

[WarDuck]

Quote:

Originariamente inviato da fcorbelli

Magari fosse così: gli utenti, soprattutto dei piccolo uffici, studi professionali, piccole azienda <1000 dipendenti, col loro computerino ci vogliono fare di tutto, e di più
Magari fosse così

Quello che possono fare con i PC lo decide il datore di lavoro in concerto con l'eventuale sistemista.

Quote:

Originariamente inviato da fcorbelli

E' invece indispensabile per tutte quelle attività (e sono ormai legione) di firma digitale, a partire da avvocati (indispensabile), commercialisti (indispensabile), società di capitali che si tengono la contabilità (indispensabile).

Perché mai? Esistono programmi di firma digitale non java-based...

Quote:

Originariamente inviato da fcorbelli

No, francamente non lo so, "qualsiasi programma" intendi... microsoft? Perchè tutti i principali gestionali aziendali, piccoli, medi e pure grandi [in realtà ce n'è uno che si chiama Business che fa eccezione, ma lasciamo stare] non li puoi affatto aggiornare così.

Qualsiasi programma che abbia un'installer MSI.

Quote:

Originariamente inviato da fcorbelli

Lo scopo dell'uso di un computer è quello di... usarlo. Altrimenti basta davvero un emulatore terminale AS/400. Nel mondo di oggi, ove internet è pervasivo ovunque e comunque, la tua tesi mi pare davvero lontana da un utilizzo non dico universale, ma anche solo non strettamente di nicchia.

Infatti l'account limitato non ti impedisce di usare internet o i programmi già installati sulla macchina.

Quote:

Originariamente inviato da fcorbelli

Certo che non v'è garanzia. Ma un conto sono (così a stima) 100.000 virus, più altre 5000 vulnerabilità varie, un conto sono 50, un conto sono 2

Ti ringrazio di considerare "fesserie" quello che scrivo, ho una mia opinione su quanto scrivi ma, evidentemente con un abitudini educative diverse, le tengo per me.

Sei tu quello "religioso", maniche, Windows-forever

Ma infatti conta anche la diffusione, basta vedere quello che sta accadendo ad Android.

La mia unica religione è quella di smentire alcuni luoghi comuni.

Quote:

Originariamente inviato da fcorbelli

Che i filesystem Linux non siano il massimo della vita è un fatto. Così come NTFS fa ridere i polli in ambito enterprise

E perché mai? Comunque tra un po' di tempo NTFS verrà sostituito con ReFS.

Quote:

Originariamente inviato da fcorbelli

Spero fosse una battuta, o meglio diciamo che rappresenta un'ignoranza pressochè totale sul funzionamento di entrambi i file syste,

Vuoi spiegarmi te allora perché ext4 è da considerarsi più affidabile di NTFS?

Portami statistiche alla mano magari di una server farm che usa entrambi i sistemi e portami le statistiche di quanti FS si sono rotti dell'uno e quanti FS si sono rotti dell'altro, a parità di utilizzo del disco chiaramente.

Quote:

Originariamente inviato da fcorbelli

E' inutile cercar di convincere un fanboy. Altro dato di fatto
Bhè ti segnalo che esistono - e uso correntemente - anche sistemi operativi "davvero" a prova di virus, ma non è il caso di consigliarli a utenti e smanettoni, richiedono un livello di conoscenza superiore

Sul serio? Fin tanto che esistono sistemi operativi che consentono di lanciare eseguibili arbitrari ci sarà SEMPRE la possibilità di caricare "virus".

Dopodiché lo scope di questo virus può essere più disparato, keylogging, sniffing dei dati utente, ma tipicamente in un ambiente con privilegi limitati è decisamente difficile buttare giù il sistema.

A meno di usare restrizioni, ma a quel punto è né più né meno attuare delle policy.

Quote:

Originariamente inviato da fcorbelli

Per la precisione è FREEBSD-based.

Che a sua volta è UNIX based o meglio facciamo UNIX-like. Ma vabbè.

Quote:

Originariamente inviato da fcorbelli

Ma l'hai mai usato un mac, giusto per curiosità?

Certo, ma ciò che faccio io persona singola non toglie quello che sta succedendo in questi giorni.

Quote:

Originariamente inviato da fcorbelli

E che c'entra il phishing?

C'entra nel momento in cui confondi la sicurezza dei dati con la sicurezza di un sistema.

Quote:

Originariamente inviato da fcorbelli

L'anello debole della catena è ANCHE l'utente, non SOLO l'utente.

Nel momento in cui non ci sono falle critiche aperte, è SOLO colpa dell'utente, che lancia l'eseguibile infetto.

Quote:

Originariamente inviato da fcorbelli

Certo che Windows può essere sicuro quanto Linux, basta non collegarlo a Internet o consentire di cliccare solo l'icona "lanciami"

E questo non è essere fanboy?

Allora facciamo così, ti do un indirizzo IP di una macchina Windows Server e vedi se riesci a bucarla, ci stai?

E per bucarla intendo eseguire codice arbitrario inviato da te.

Se ce la fai allora ti darò ragione.

Quote:

Originariamente inviato da fcorbelli

PS che poi "linux" non significa nulla. Mentre Windows, nelle sue varie incarnazioni, è un concetto abbastanza ben definito, su "linux" esistono notevoli differenze, con alcuni accorgimenti (tipo SELinux) che sono reputati, universalmente, secondi solo ai sistemi "davvero" sicuri.

E SELinux non è forse un meccanismo per forzare delle policy? Esiste qualcosa di analogo in Windows Enterprise, con AppLocker.

Comunque hai parlato di una cosa chiave. La reputazione di un sistema.

Windows viene considerato poco sicuro perché in passato ci sono state falle eclatanti (penso a Sasser), e comunque sono state attuate policy poco stringenti che consentivano all'utente di fare tutto (account Administrator, autoplay USB...) ma dato che i sistemi evolvono per loro natura non si può certo fare finta che il Windows di 10 anni fa sia il Windows di oggi.

Quote:

Originariamente inviato da fcorbelli

Con "davvero" intendo quelli che - nel mondo intero - sono risultati meno soggetti a buchi di sicurezza (non esenti, attenzione, meno).
Perchè il relativismo ("tutti i sistemi sono uguali") non funziona, alcuni sono vere e proprie gruviere, altri sono pareti d'acciaio a prova di esplosione nucleare.
E' chiaro però che per i secondi non esiste "avanti-avanti-avanti", non esistono policy, non esiste nulla che si riesca ad usare produttivamente senza un 10 o 15 anni almeno di esperienza sistemistica nei campi più disparati, non in quelli dell'aziendina sotto casa, o del serverino web per 50 utenti.

La sicurezza di un server è ben diversa dalla sicurezza di un PC desktop, per tanti motivi, e non è paragonabile.

Non solo, anche le policy di sicurezza sono diverse, ed inoltre c'è il discorso non di poco conto che un server non viene usato come un desktop.

Dunque non ha proprio senso confrontare lo scenario in cui è maggiormente presente GNU/Linux (ambito server), dallo scenario in cui è presente Windows (SO consumer).

Detto ciò ognuno continui ad usare il SO che preferisce, io li uso tutti e non mi faccio problemi.

[ally]

Quote:

Originariamente inviato da fcorbelli

Quale reperibilità? Basta pagare, e si reperisce praticamente tutto. Assistenza hardware? Per computerini come questi? Non è che sia particolarmente difficile (e il produttore, ad es. HP, dopo un tot di anni l'assistenza non te la dà più)
Qualcosa di "professionale" parte da 5000 euro in su, sotto sono macchinine da ipermercato o poco più.
Certamente quindi sono d'accordo col tuo consiglio (in termini astratti) ma, nel caso concreto, per macchine di fascia superbassa meno.

Il "plus" dei server è essenzialmente la possibilità di una diagnosi "coi leddini", che consentono (almeno in teoria, ovviamente non sempre accade) di poter capire cosa è successo (morto il controller, morta la scheda madre etc), in maniera da poter restringere il campo del problema hardware.

Ma con sistemi che hanno zero o un controller e pochi hard disk, un singolo processore, niente schede intellingenti, interfacce in fibra etc non ha un grandissimo senso, o meglio lo ha se il budget lo consente.

...anche una macchina entry level ha i suoi vantaggi...se hai una catena raid e un disco si rompe hai la certezza di poter torvare lo stesso modello dopo x anni senza doverti dannare a rifare completamente l'array...

[WarDuck]

Quote:

Originariamente inviato da paleas

scusa ma non penso proprio

Con calma non ho fretta .

Quote:

Originariamente inviato da paleas

Hanno solo espresso qualcosa tipo:"oh finalmente, che palle questi virus"
Ad una impiegata se il computer esplode non gliene frega nulla.
Da quanto mi sembra di capire, l'accettazione del modello "sistema operativo bacato+antivirus" sembra piu' diffusa fra la categoria degli informatici medi-gamer-smanettoni.

Come ho già detto puoi usare tranquillamente Windows senza antivirus. E non serve mica essere smanettoni.

Ho configurato a mia madre un PC con XP, account limitato e non gli ho installato sopra alcun antivirus.

Lo usa per navigarci e controllare le email. E' configurato dal 2008 così, e funziona senza problemi.

XP eh, manco 7...

Quote:

Originariamente inviato da paleas

dal tuo link: "few if any are in the wild, and most have been rendered obsolete by Linux updates"

Certo, come ogni sistema, quando si scopre una nuova falla, se la si tappa per tempo non hai problemi.

Quote:

Originariamente inviato da paleas

comunque grazie, la prossima volta per le impiegate della contabilita' che ricevono le fatture per email, preparero' una dissertazione accademica di almeno 8 ore solo sui malware, non vorrei illuderle, se poi qualcuna di loro poi va su internet e legge qualcuno, che corregge un altro, che corregge un altro ancora, sai che figura barbina ci faccio ?

Se vuoi leggere un bel report, leggiti IBM XForce di qualche anno fa (2009), ne troverai delle belle.

[fcorbelli]

Quote:

Originariamente inviato da ally

...anche una macchina entry level ha i suoi vantaggi...se hai una catena raid e un disco si rompe hai la certezza di poter torvare lo stesso modello dopo x anni senza doverti dannare a rifare completamente l'array...

Questo è vero in teoria, ma in pratica no.
Nel senso che farsi sostituire da HP (ad esempio) un controller RAID dopo 6 anni vuol dire spendere tranquillamente 1500 euro (tra diagnosi, anzi "diagnosi" con le ", costo del pezzo, mano d'opera del tecnico), mentre il server magari ne vale 1499 e con 2000 lo compri nuovo di prestazioni enormemente più elevate.

Spesso si fa prima ad acquistarlo che so per 199,99 su ebay, ma ovviamente questo si può fare per qualsiasi altra macchina.

Ecco perchè più è piccolo il server, meno è conveniente investire a lungo periodo: non è che l'assistenza post-garanzia lavori gratis, te lo posso assicurare.

[ally]

Quote:

Originariamente inviato da fcorbelli

Questo è vero in teoria, ma in pratica no.
Nel senso che farsi sostituire da HP (ad esempio) un controller RAID dopo 6 anni vuol dire spendere tranquillamente 1500 euro (tra diagnosi, anzi "diagnosi" con le ", costo del pezzo, mano d'opera del tecnico), mentre il server magari ne vale 1499 e con 2000 lo compri nuovo di prestazioni enormemente più elevate.

Spesso si fa prima ad acquistarlo che so per 199,99 su ebay, ma ovviamente questo si può fare per qualsiasi altra macchina.

Ecco perchè più è piccolo il server, meno è conveniente investire a lungo periodo: non è che l'assistenza post-garanzia lavori gratis, te lo posso assicurare.

...parlavo di un singolo disco non dell'intero array + controller...

[ally]

Quote:

Originariamente inviato da ally

...parlavo di un singolo disco non dell'intero array + controller...

...qui da noi comunque risolviamo comprando un disco in piu' per ogni server da tenere spento direttamente nello chassis...in caso di quasto si sostituisce il disco difettoso con quello di scorta...

[fcorbelli]

Quote:

Originariamente inviato da WarDuck

Quello che possono fare con i PC lo decide il datore di lavoro in concerto con l'eventuale sistemista.

Certamente: puoi anche decidere che esiste solo un emulatore terminale AS400 lanciato da floppy disk (sì, ho pure quei clienti). Lì stai proprio tranquillo: non si infetta.

Quote:

Perché mai? Esistono programmi di firma digitale non java-based...

Purtroppo no, devo segnalarti che non sono compatibili con accesso alla giustizia (obbligatorio per gli avvocati), i vari "cliens" e programmelli simili di ampia diffusione

Quote:

Qualsiasi programma che abbia un'installer MSI.

Magari...

Quote:

Infatti l'account limitato non ti impedisce di usare internet o i programmi già installati sulla macchina.

L'account limitato ove appaiono ogni 2 secondi finestrine sullo schermo con richieste di autorizzazioni, o peggio ancora "fallisce silenziosamente"?

Quote:

Ma infatti conta anche la diffusione...

Hai scritto bene. ANCHE, non SOLO

Quote:

La mia unica religione è quella di smentire alcuni luoghi comuni.

In ambito informatico non direi, ma sono opinoni e vale perfettamente quanto nelle vignette sopra.

Quote:

E perché mai? Comunque tra un po' di tempo NTFS verrà sostituito con ReFS.

Quando uno si chiede "perchè mai" già, ontologicamente, dimostra di non avere un'idea. "un po' di tempo" poi fa - leggermente - ridere, sia perchè tutto doveva già essere pronto per vista (sì, per vista...) sia perchè un cambio di file system in produzione fatto OGGI diventerà (forse) utilizzabile tra 5 anni.
Bhè, magari per i fanboy windows il giorno dopo

Quote:

Vuoi spiegarmi te allora perché ext4 è da considerarsi più affidabile di NTFS?

Perchè non c'è niente (o quasi, vedi HFS+) di peggio di NTFS. Non ho una grandissima voglia di spiegarti per filo e per segno come funziona NTFS, come funziona ext, quali sono i pregi e i difetti.
Semplicemente non ne ho la forza nè la voglia.

Quote:

Portami statistiche alla mano magari di una server farm che usa entrambi i sistemi e portami le statistiche di quanti FS si sono rotti dell'uno e quanti FS si sono rotti dell'altro, a parità di utilizzo del disco chiaramente.

Ma che senso ha? Già questa domanda prova che, tecnicamente, non hai idea.

Quote:

Sul serio? Fin tanto che esistono sistemi operativi che consentono di lanciare eseguibili arbitrari ci sarà SEMPRE la possibilità di caricare "virus".

Davvero? Nuovamente non hai idea di cosa si sta trattanto, ma vabbè.

Quote:

Dopodiché lo scope di questo virus può essere più disparato, keylogging, sniffing dei dati utente, ma tipicamente in un ambiente con privilegi limitati è decisamente difficile buttare giù il sistema.

E' buffo, cerchi di "spacciare" come novità del secolo i privilegi limitati, quando in TUTTI gli altri sistemi (non Windows) sono decenni che si adotta la medesima strategia (molto meglio, ovviamente).
Windows non fa altro che copiare (male e in ritardo) l'acqua "fredda", neppure l'acqua "calda"

Quote:

A meno di usare restrizioni, ma a quel punto è né più né meno attuare delle policy.

Di nuovo è "l'acqua fredda".
Un sistema con decine-centinaia di processi PER DEFAULT in esecuzione è una groviera.
Non ci sono "se", non ci sono "ma". E' così.

Quote:

Che a sua volta è UNIX based o meglio facciamo UNIX-like. Ma vabbè.

Non tanto vabbè, visto che so perfettamente cos'è un sistema UNIX-like, visto che ne ho scritto uno, e come funzionano quelli UNIX (visto che li conosco praticamente tutti, oddio diciamo tutti quelli usati a partire da XENIX- del mitico Bill)

Quote:

Certo, ma ciò che faccio io persona singola non toglie quello che sta succedendo in questi giorni.

E cosa starebbe "succedendo"?

Quote:

C'entra nel momento in cui confondi la sicurezza dei dati con la sicurezza di un sistema.

Mha... sono abbastanza sicuro ( ) di sapere cosa siano l'uno e cosa l'altra.
Evidentemente però ne abbiamo concezioni diverse, tutto lì.

Quote:

Nel momento in cui non ci sono falle critiche aperte, è SOLO colpa dell'utente, che lancia l'eseguibile infetto.

Come niente "falle critiche"? Ogni sistema ha "falle critiche".
E, inoltre, l'eseguibile "infetto" è "roba" del mondo Windows.
In altri non esistono proprio.

Quote:

E questo non è essere fanboy?
Allora facciamo così, ti do un indirizzo IP di una macchina Windows Server e vedi se riesci a bucarla, ci stai?
E per bucarla intendo eseguire codice arbitrario inviato da te.
Se ce la fai allora ti darò ragione.

Da me? Ma che vuoi che ne sappia io? Sono un esperto di gatti...

Quote:

E SELinux non è forse un meccanismo per forzare delle policy? Esiste qualcosa di analogo in Windows Enterprise, con AppLocker.

Mah... Guarda... lascio stare direttamente...

Quote:

Comunque hai parlato di una cosa chiave. La reputazione di un sistema.
Windows viene considerato poco sicuro perché in passato ci sono state falle eclatanti (penso a Sasser), e comunque sono state attuate policy poco stringenti che consentivano all'utente di fare tutto (account Administrator, autoplay USB...) ma dato che i sistemi evolvono per loro natura non si può certo fare finta che il Windows di 10 anni fa sia il Windows di oggi.

Questo è vero. Come è altrettanto vero che il Windows di oggi (e di domani), nuovamente, è una groviera.
(- per inciso l'autoplay USB esiste come default in windows 7 SP1, tutt'ora - fine inciso).
Così come la pervicacia nel non mostrare le estensioni (!!!) e la cosa ancora più fantastica di non gestire una doppia estensione con un avviso qualora ci sia (superbona.jpg .exe).
Quanto ci vuole per Explorer a verificare che ci sono due punti nel file quando si fa un doppio click e fare un avviso "attenzione questo file ha più di una estensione che devo fare"?
Forse 15 minuti di programmazione (avendone il sorgente, ovviamente)?
Eppure non si fa. Come mai?
Dai su gli esempi di come Windows POTREBBRE essere (ovvero pessimo, ma non devastante come ora) ce ne sono a centinaia.

Quote:

La sicurezza di un server è ben diversa dalla sicurezza di un PC desktop, per tanti motivi, e non è paragonabile.

Per me sempre sicurezza è. Non è che un server sia qualcosa di diverso da un elaboratore digitale programmabile, esattamente come un PC desktop.
Una vera differenza però c'è: che un server "vero" va configurato da un professionista. Il mio sistema operativo prediletto è OpenBSD.
Lì, semplicemente, non c'è niente. Nessun servizio. C'è solo ssh.
Tutto il resto te lo devi attivare e configurare, uno per uno.
Certamente però mi ci vogliono anche 15 giorni per finire, cosa decisamente improponibile nel mondo "avanti-avanti-avanti".

Quote:

Non solo, anche le policy di sicurezza sono diverse, ed inoltre c'è il discorso non di poco conto che un server non viene usato come un desktop.

E chi l'ha stabilita, quest'ultima "regola" ?

Quote:

Dunque non ha proprio senso confrontare lo scenario in cui è maggiormente presente GNU/Linux (ambito server), dallo scenario in cui è presente Windows (SO consumer).

I server Windows esistono, eccome, hanno un loro market share non per nulla trascurabile (=>tipicamente per l'uso di software dedicato, SQL Server al primissimo posto seguito subito dopo da Exchange)

Quote:

Detto ciò ognuno continui ad usare il SO che preferisce, io li uso tutti e non mi faccio problemi.

Fai benissimo.
Magari puoi darmi una mano: sto bestemmiando parecchio per fare un PDC Linux con autenticazione LDAP+Kerberos, perchè devo collegare una Solaris 11 e mi servono le home condivise in CIFS (e il malefico Solaris "digerisce" solo kerberos)
Purtroppo però Solaris non ha winbind, quindi bisogna gestire "a mano" l'individuazione del realm e quindi, tanto per divertirsi, bisogna mettere dentro Linux la corretta configurazione di BIND per l'RR del controller dominio.
Puoi darmi una mano? Nel caso pago pure (poco), perchè ci sto perdendo un sacco di tempo, più di quanto potrei fatturare al cliente.