cyber security

Fine aggiornamenti Windows 7 e 2008, a rischio i PC della PA: ecco i consigli

Circa la metà dei PC delle PA risultano ancora con Windows 7 e diversi server (circa un 20%) sono Windows 2008 e non potranno essere aggiornati in tempo per il prossimo 20 gennaio, quando Microsoft interromperà gli aggiornamenti. Ecco allora come difendersi, anche se non si può cambiare l’hardware o migrare a Windows 10

12 Nov 2019
Andrea Tironi

Project Manager - Digital Transformation

windows 7

Dal 20 gennaio 2020, Microsoft non renderà più disponibili aggiornamenti per i sistemi client Windows 7 e per i sistemi server Windows 2008.

Questo renderà questi sistemi estremamente vulnerabili (in verità più vulnerabili di quanto non lo siano già adesso), come mostrato dalla botnet Smominru e certificato dal Cert-Pa e queste vulnerabilità rischiano di impattare pesantemente sulla nostra pubblica amministrazione.

Oltre il 50% dei personal computer delle PA secondo nostre statistiche sul parco macchine in gestione, risultano infatti ancora con Windows 7 e non verranno aggiornati per tempo a Windows 10. Inoltre diversi server (circa un 20%) sono Windows 2008 (e alcuni ancora windows 2003 anche se in dismissione quasi totale o con software poco utilizzati).

Questo rende la superficie di attacco molto ampia a partire dalla data di stop agli aggiornamenti.

Come difendersi da questa situazione?

Il modo più semplice è il cambio completo del dispositivo. Si cambia Pc o server e si passa ad una versione più nuova: ovviamente il problema sono i fondi da reperire per farlo ed eventuali compatibilità di alcuni programmi da verificare, in modo da essere sicuri che il passaggio a Windows 10 ne permetta l’installazione. L’architettura di Windows 7 e Windows 10 comunque non è molto differente, quindi questi tipi di incompatibilità sono piuttosto ridotti.

WHITEPAPER
Come proporre soluzioni di Unified Communications: una guida per System Integrator
Cloud
Networking

Per i server consigliamo caldamente la strada del passaggio da Windows server 2008 o precedente all’ultima versione di Windows Server (o la penultima, se per sicurezza si preferisce utilizzare una versione più stabile e per cui diversi utenti hanno già affrontato ed evidenziato incompatibilità o problemi di base).

Una seconda possibilità, se l’hardware permette l’installazione di Windows 10 (ovvero l’hardware è certificato Windows 10 o perlomeno compatibile e ci sono tutti i driver adatti alle periferiche, cosa da verificare sul sito del vendor dell’hardware stesso), allora la soluzione è l’upgrade da windows 7 a windows 10. Questo può comportare l’acquisizione della licenza windows 10, ed eventualmente un upgrade hardware perché windows 10 pur funzionando correttamente anche con 4 gb di ram, è meglio se utilizzato con 8 gb di ram, un processore core I5 o superiore ed eventualmente un disco SSD per una buona performance (il tutto allo scopo di avere una buona macchina, adeguata ai tempi. Comunque, ribadiamo, gira anche con meno risorse).

Per i server è possibile effettuare lo stesso meccanismo (tenere l’hardware e cambiare il sistema operativo), anche se rifare un server ha un costo e una criticità tale per cui è giustificabile acquisto di un nuovo hardware (che abbia così anche la copertura della garanzia corrispondente. Nel caso invece si tratti di una macchina virtuale, se c’è spazio disco, ram e cpu adeguate e l’hypervisor (bvmware o hyperv) è compatibile, allora è comunque possibile installare una nuova macchina virtuale e migrare i carichi di lavoro o i servizi ospitati dalla macchina da sistema operativo obsoleto.

Quanto indicato sopra (cambio hardware e sistema operativo, e reinstallazione nuovo sistema operativo su hardware non nuovo) rientra nelle cose migliori da fare.

Alcuni accorgimenti alternativi (sconsigliati ma utili)

Se proprio non è possibile cambiare l’hardware e non si riesce a fare una migrazione a Windows 10 o Windows server 2012 (o superiore, ovviamente consigliamo almeno Windows 2016 o 2019 in modo da avere un tempo di vista del nuovo sistema più lungo), allora ci sono alcuni accorgimenti possibili. Non sono consigliati, sono solo palliativi nel caso non si possa migrare a sistemi operativi aggiornati allo scopo di mitigare la superficie di attacco derivante da un sistema operativo non aggiornabile.

Ricordiamo che per i server è altamente sconsigliata questa strada!

Il primo suggerimento è quello di utilizzare un utente non amministratore. Le statistiche di Microsoft dicono che utilizzare un utente non amministratore riduca gli attacchi informatici dell’85%. L’utente amministratore viene quindi utilizzato solo ed esclusivamente per installazioni od operazioni speciali ed è il sistema stesso che richiede di inserire la password per admin. Quindi serve un intervento umano per poter accedere completamente al sistema.

Il secondo suggerimento è usare dei DNS che siano sicuri e facciano già loro da filtro “sicuro” per i domini a cui accedere. Esempio di DNS “sicuro” è il 9.9.9.9. Quindi non sarà possibile navigare su siti pericolosi perché non risolti dal DNS e visti nel browser come siti non raggiungibili.

Il terzo metodo può essere quello di mettere un firewall/proxy o proxy per la navigazione, in modo da filtrare il traffico internet prima che arrivi al pc windows 7. In tale modo un altro dispositivo (ad esempio pfsense) può fare da bastione di difesa rimanendo aggiornato sui meccanismi di attacco e di difesa. Ci si affida quindi al potenziamento della difesa perimetrale. Questo aiuta contro gli attacchi esterni.

Il quarto suggerimento è tenere controllati Security Bulletin di Microsoft nel Patch Tuesday, qualora uscissero particolari falle per Windows 7. Questo è già stato utile per XP, ad esempio dopo il worm Wannacry. Microsoft ha comunque rilasciato un aggiornamento anche per sistemi non più aggiornati mensilmente, come ad esempio XP e Windows 2003, in modo da mitigare la propagazione.

Il quinto metodo è tenere un sistema antivirus/antimalware aggiornato. Questa difesa con il tempo purtroppo viene meno perché i sistemi antivirus con gli aggiornamenti progressivi non supporteranno più l’ormai “vecchio” windows 7.

Il sesto metodo è fare delle copie di sistema “System Restore Point” periodiche dei client, in modo da avere un punto di ripristino in caso di attacco che riporti il sistema esattamente al punto del restore point. Questo andrebbe schedulato almeno settimanalmente in modo da perdere al massimo 6 giorni di vita del sistema.C’è da dire che a volte i ransomware e in generale i malware se hanno accesso admin alla macchina distruggono anche i restore point. Per questo ricordiamo il punto 1.

Il settimo metodo, che però diamo per attivo già adesso, è salvare i dati su server o su disco esterno da tenere offline, in modo che i dati vengano comunque salvati ogni notte (se su server con backup locale o remoto) e siano al sicuro (con backup remoto e con disco usb offline). In tale modo un malware non può danneggiarli (se sono offline) o comunque la complessità è maggiore per un danneggiamento (se sono online) e si preserva il dato e l’informazione. Volendo si potrebbero fare copie del singolo pc, anche se lo riteniamo articolato.

L’ottavo e ultimo, è avere tutti i dati in cloud, ad esempio su Office 365 o GSuite e far diventare il pc un mero “appoggio” per accedere i dati che sono solo remoti (niente installazioni locali).

Tutti questi metodi valgono sia per client che per server.

Rimane il fatto che l’unica vera opzione consigliabile è quella di passare a windows 10 o Windows Server 2012 o superiore, in modo da avere un sistema sicuro e aggiornabile periodicamente in modo da essere più sicuri e tranquilli sul proprio sistema in un’epoca in cui il tema è “quando il mio sistema è stato violato?” ovvero non è più in discussione il se, ma solo il quando (e il quando spesso è già avvenuto senza che ce ne accorgiamo, altrimenti non esisterebbero botnet da migliaia di personal computer sparse per il mondo e pronte ad attivarsi).

WHITEPAPER
Report Gartner: guida all’innovazione dell’analisi con la composizione in cloud
Cloud
Cloud storage
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4