Post on 06-Jan-2016
description
Sicurezza e Policy Sicurezza e Policy in in
Active DirectoryActive Directory
SommarioSommario Amministrazione della sicurezza in Amministrazione della sicurezza in
una rete Windows 2003una rete Windows 2003 Gestione dei permessi di accesso Gestione dei permessi di accesso
alle cartelle di retealle cartelle di rete Amministrazione della sicurezza Amministrazione della sicurezza
localelocale Autorizzazioni per la stampaAutorizzazioni per la stampa Le policy: politiche di sicurezza in Le policy: politiche di sicurezza in
un dominioun dominio
Gestione della Gestione della sicurezzasicurezza
Windows 2003 permette di definire dei Windows 2003 permette di definire dei meccanismi di protezione per le meccanismi di protezione per le
risorse della reterisorse della rete
I principali meccanismi di sicurezza sono:I principali meccanismi di sicurezza sono: Le Le PermissionPermission per l’accesso per l’accesso alle cartelle di retealle cartelle di rete condivisecondivise Le Le PermissionPermission per l’accesso per l’accesso a file e cartelle a file e cartelle localilocali Le Le politiche di sicurezza del dominiopolitiche di sicurezza del dominio: GPO : GPO (Group Policy Object) (Group Policy Object)
Tutte le impostazioni relative Tutte le impostazioni relative alla sicurezza sono registrate in alla sicurezza sono registrate in
Active Directory dei Domain Active Directory dei Domain ControllerController
AmministratoriAmministratori
Gestione della Gestione della sicurezzasicurezza
Tecniche di impostazione della Tecniche di impostazione della sicurezzasicurezza
Per assegnare i permessi di accesso alle risorse, Per assegnare i permessi di accesso alle risorse, si applica la strategia:si applica la strategia:
A A GG DL DL P P
La tecnica La tecnica AA GG DLDL PP prevede di: prevede di:
A A creare user Accountcreare user Account
GG inserire gli user account in Gruppi globali inserire gli user account in Gruppi globali
DLDL inserire i gruppi globali in Domain Local inserire i gruppi globali in Domain Local groupgroup
PP assegnare i permessi per l’accesso alle assegnare i permessi per l’accesso alle risorse, ai singoli gruppi locali al dominiorisorse, ai singoli gruppi locali al dominio
??AGDLPAGDLP
risorsarisorsa
user user
AAccountccount
Gestione della Gestione della sicurezzasicurezza
La strategia La strategia A A GG DL DL P P significa quindi…significa quindi…
File serverFile server
GGlobal lobal groupgroup
PPermissionermission
DDomain omain
LLocal ocal groupgroup
Cartelle Cartelle condivise di condivise di
reterete
Creazione di una directory Creazione di una directory condivisa in una retecondivisa in una rete
Una Una cartella condivisa di retecartella condivisa di rete (shared folder) è una (shared folder) è una directory accessibile agli utenti autenticati, da tutti directory accessibile agli utenti autenticati, da tutti
i computer della rete.i computer della rete.
Cartella Cartella condivisacondivisa
File serverFile server
Cartelle Cartelle condivise di condivise di
reterete
Creazione di una cartella Creazione di una cartella condivisa di retecondivisa di rete
Nel file server…Nel file server…
Per default, dopo aver condiviso una Per default, dopo aver condiviso una cartella, tutti gli utenti (gruppo cartella, tutti gli utenti (gruppo EveryoneEveryone) )
possono accedere al suo contenuto in possono accedere al suo contenuto in sola lettura(sola lettura(Full control per window Full control per window
20002000).).AmministratoriAmministratori
Permessi di Permessi di accesso alle accesso alle
cartelle di retecartelle di rete
Protezione delle cartelleProtezione delle cartelledi retedi rete
La sicurezza delle cartelle di rete è regolata dai La sicurezza delle cartelle di rete è regolata dai permessi di condivisionepermessi di condivisione, che sono:, che sono:
PermissionPermission di di condivisionecondivisione
L’utente può compiere le L’utente può compiere le seguenti azioni:seguenti azioni:
completo controllo del completo controllo del contenuto della cartellacontenuto della cartella
leggere, scrivere e cancellare leggere, scrivere e cancellare file, eseguire programmifile, eseguire programmi
leggere file ed eseguire leggere file ed eseguire programmiprogrammi
Permessi di Permessi di accesso alle accesso alle
cartelle di retecartelle di rete
Protezione delle cartelleProtezione delle cartelledi retedi rete
I permessi di condivisione seguono I permessi di condivisione seguono le regolele regole::1.1. I permessi assegnati alla cartella condivisa, si propagano I permessi assegnati alla cartella condivisa, si propagano
nelle sottodirectory e in tutti i file contenutinelle sottodirectory e in tutti i file contenuti
2.2. Se un utente compare in più gruppi, il permesso di Se un utente compare in più gruppi, il permesso di accesso complessivo è la somma di quelli dei gruppi a accesso complessivo è la somma di quelli dei gruppi a cui appartienecui appartiene
3.3. La regola 2. ha una eccezione: se ad un utente è negato La regola 2. ha una eccezione: se ad un utente è negato un permesso, l’accesso gli sarà sempre negato anche se un permesso, l’accesso gli sarà sempre negato anche se appartiene ad altri gruppi in cui dispone appartiene ad altri gruppi in cui dispone dell’autorizzazionedell’autorizzazione
I permessi possono essere:I permessi possono essere:assegnati assegnati oppure oppure negatinegati
a gruppi o a singoli utenti (non consigliato).a gruppi o a singoli utenti (non consigliato).
Permessi di Permessi di accesso alle accesso alle
cartelle di retecartelle di rete
Assegnazione dei Assegnazione dei permessipermessi
Nel file server…Nel file server…
Permessi di Permessi di accesso alle accesso alle
cartelle di retecartelle di rete
Assegnazione dei Assegnazione dei permessipermessi
Con i permessi…Con i permessi…
File serverFile server
AmministratoriAmministratori
Tutti gli user del Tutti gli user del GGstudentiGGstudenti
possono solo possono solo leggere/eseguire leggere/eseguire
file.file.
Permessi di Permessi di accesso localiaccesso locali
Protezione di cartelle e Protezione di cartelle e file localifile locali
La sicurezza delle cartelle e dei file locali è La sicurezza delle cartelle e dei file locali è regolata dai regolata dai permessi NTFSpermessi NTFS, che sono:, che sono:
PermissionPermission NTFS NTFS localilocali
L’utente può compiere le L’utente può compiere le seguenti azioni:seguenti azioni:
completo controllo di file e cartellecompleto controllo di file e cartelle
leggere, scrivere, cancellare ed leggere, scrivere, cancellare ed eseguire programmieseguire programmi
leggere file ed eseguire programmileggere file ed eseguire programmi
creare nuove cartelle/filecreare nuove cartelle/file
leggere file e aprire cartelleleggere file e aprire cartelle
visualizzare i nomi di file e visualizzare i nomi di file e sottocartellesottocartelle
Permessi di Permessi di accesso localiaccesso locali
Protezione di cartelle e Protezione di cartelle e file localifile locali
I permessi NTFS seguono I permessi NTFS seguono regole analoghe regole analoghe a quelle delle a quelle delle cartelle di rete con le aggiunte:cartelle di rete con le aggiunte:
se una cartella condivisa ha impostati i permessi sia di se una cartella condivisa ha impostati i permessi sia di condivisione sia NTFS, si applica per l’accesso via rete il condivisione sia NTFS, si applica per l’accesso via rete il permesso più restrittivo tra i due;permesso più restrittivo tra i due;
i permessi NTFS sono applicati solo sulle i permessi NTFS sono applicati solo sulle partizioni/volumi con file system NTFS.partizioni/volumi con file system NTFS.
I permessi NTFS sono I permessi NTFS sono assegnati assegnati oppure oppure negatinegati:: anche a singoli file;anche a singoli file;
a gruppi o a singoli utenti (non consigliato).a gruppi o a singoli utenti (non consigliato).
Accesso remoto Accesso remoto
(via rete)(via rete)
Permessi di Permessi di accesso localiaccesso locali
Se l’amministratore ha impostato per Se l’amministratore ha impostato per una cartella entrambe i permessi una cartella entrambe i permessi
locali e remoti…locali e remoti…
Accesso localeAccesso locale
File serverFile server
Permessi NTFSPermessi NTFS++
Permessi di condivisionePermessi di condivisione
Permessi NTFSPermessi NTFS
Permessi di Permessi di accesso localiaccesso locali
Assegnazione dei Assegnazione dei permessi NTFSpermessi NTFS
Permessi di Permessi di stampastampa
Protezione delle stampanti Protezione delle stampanti di retedi rete
La sicurezza delle stampanti di rete è regolata dai La sicurezza delle stampanti di rete è regolata dai permessi di stampapermessi di stampa, che sono:, che sono:
PermissionPermission di di stampastampa
L’utente può compiere le L’utente può compiere le seguenti azioni:seguenti azioni:
completo controllo della completo controllo della stampantestampante
possibilità stampare e di gestire la possibilità stampare e di gestire la coda di stampa, con tutti i coda di stampa, con tutti i
documenti contenutidocumenti contenuti
possibilità di stampare e di gestire possibilità di stampare e di gestire esclusivamente il proprio esclusivamente il proprio
documento nella coda di stampadocumento nella coda di stampa
StampanteStampante
Stampa sulla Stampa sulla stampante di retestampante di rete
Permessi di Permessi di stampastampa
Applicazione dei permessi di stampa Applicazione dei permessi di stampa ad un Print Server…ad un Print Server…
Print serverPrint server
Periferica di stampaPeriferica di stampa
Permessi di Permessi di stampastampa
Permessi di Permessi di stampastampa
Assegnazione dei Assegnazione dei permessi di stampapermessi di stampa
Sul print server…Sul print server…
Politiche di Politiche di sicurezzasicurezza
Un GPO permette di definire:Un GPO permette di definire: Le restrizioni di accesso ai computer e quindi la Le restrizioni di accesso ai computer e quindi la
loro sicurezza (user rights)loro sicurezza (user rights) L’ambiente di lavoro dei computer, in L’ambiente di lavoro dei computer, in
particolare, il desktopparticolare, il desktop La gestione centralizzata del software installato La gestione centralizzata del software installato
nel dominio (sia nuove versioni sia nel dominio (sia nuove versioni sia aggiornamenti)aggiornamenti)
L’impostazione di applicazioni e dei servizi, mediante L’impostazione di applicazioni e dei servizi, mediante l’esecuzione di script al log onl’esecuzione di script al log on
Una politica di sicurezza (Una politica di sicurezza (GPOGPO: : Group Policy Group Policy ObjectObject) è un oggetto di Active Directory. ) è un oggetto di Active Directory.
Windows 2003 Server permette di Windows 2003 Server permette di amministrare la sicurezza dei domini amministrare la sicurezza dei domini
impostando impostando politiche di sicurezzapolitiche di sicurezza
Politiche di Politiche di sicurezzasicurezza
Se sono stati definiti più GPO, in un dominio con Se sono stati definiti più GPO, in un dominio con OU, l’ordine di applicazione delle policy è fondato:OU, l’ordine di applicazione delle policy è fondato:
Sulla ereditarietàSulla ereditarietà La gerarchia degli oggetti contenitori in Active La gerarchia degli oggetti contenitori in Active
DirectoryDirectory
I GPO sono oggetti applicati a I GPO sono oggetti applicati a domini e OUdomini e OU
Un GPO può essere applicato a un sito, un dominio Un GPO può essere applicato a un sito, un dominio e una OU. e una OU.
Active Active DirectoryDirectory
Politiche di Politiche di sicurezzasicurezza
Esempi di applicazione delle Esempi di applicazione delle policypolicy
GPO: Policy del dominioGPO: Policy del dominio
GPO: Politiche LAB FisicaGPO: Politiche LAB Fisica
GPO: Politiche DidatticaGPO: Politiche Didattica
GPO: Politiche UfficiGPO: Politiche Uffici
prioritàpriorità
prioritàpriorità
ereditaeredita
ereditaeredita
GPO GPO PredefinitaPredefinita
Strumenti di Amministrazione -> Strumenti di Amministrazione -> gestione utenti e computer- > gestione utenti e computer- > propietà del dominio-> criterio propietà del dominio-> criterio
di gruppodi gruppo
GPO GPO PredefinitaPredefinita
Strumenti di Amministrazione -> Strumenti di Amministrazione -> criterio di protezione del criterio di protezione del
dominiodominioUn Permesso è assegnabile ad utenti e gruppi
Creazione di Creazione di una GPOuna GPO
Per creare una nuova GPO a Per creare una nuova GPO a livello di dominio in Active livello di dominio in Active
Directory…Directory…
continua…continua…
Una GPO si assegna a tutto il dominio o a una UO
http://technet.microsoft.com/it-it/library/http://technet.microsoft.com/it-it/library/cc163076.aspxcc163076.aspx
Creazione di Creazione di una GPOuna GPO
Per creare una nuova GPO a Per creare una nuova GPO a livello di dominio in Active livello di dominio in Active
Directory…Directory…
Policy dei Policy dei computercomputer
Policy degli Policy degli utentiutenti
Ad esempio, impostiamo le user rightsAd esempio, impostiamo le user rights
Creazione Creazione di una GPOdi una GPO
Impostiamo una GPO, a livello Impostiamo una GPO, a livello di una OU, per di una OU, per bloccare i bloccare i desktopdesktop dei computer… dei computer…
Creazione Creazione di una GPOdi una GPO
Impostiamo una GPO, per Impostiamo una GPO, per installare automaticamente un installare automaticamente un
swsw1. Identificare l’unità Organizzativa e la GPO da modificare2. Creare il pacchetto di distribuzione: in una cartella condivisa,
con accesso in Lettura per Everyone copiare i file msi di installazione
3. alternativamente (Configurazione Utente ovvero Computer)•Assegnare il sw agli utenti: L'applicazione e indipendentemente dal computer fisico utilizzato viene installata la prima volta che l'utente la attiva •Assegnare il sw al computer: l'installazione viene eseguita in genere, all'avvio del computer, quando non vi sono altri processi in corso
4. Selezioanre nuovo pacchetto. 5. Dalla scheda Protezione impostare i gruppi
e gli utenti a cui assegnare la Group Policy o (Per default la Group policy è assegnata agli utenti autenticati, ma non ai Domain Admins)
Creazione Creazione di una GPOdi una GPO
Le politiche di restizione Le politiche di restizione softwaresoftware
I criteri di restrizione software consentono agli amministratori di identificare il software e di controllarne la possibilità di esecuzione sul computer locale
sono costituiti da due parti:1.Una regola predefinita in base alla quale è possibile eseguire i programmi: Senza restrizioni e Non consentito2.Un inventario di eccezioni alla regola predefinita
Per creare una regola, è necessario individuare le applicazioni• Regola hash. Viene utilizzata un'impronta digitale crittografica del file
eseguibile.• Regola certificato. Viene utilizzato un certificato con firma digitale di un
autore di software per il file .exe.• Regola di percorso. Viene utilizzato il percorso UNC (Universal Naming
Convention) locale o del Registro di sistema della posizione del file .exe.• Regola area. Viene utilizzata l'area Internet da cui ha avuto origine il file
eseguibile (se scaricato mediante Microsoft Internet Explorer).
GPO le regole per le restrizioni swGPO le regole per le restrizioni swOperazione Regola consigliata
Consentire o non consentire una versione di programma specifica.
Regola hashIndividuare il file per creare una regola hash.
Identificare un programma installato sempre nella stessa posizione.
Regola di percorso con variabili di ambiente%ProgramFiles%\Internet Explorer\iexplore.exe
Identificare un programma che può essere installato in qualunque posizione nei computer client.
Registry path rule %HKEY_LOCAL_MACHINE\SOFTWARE\ ComputerAssociates\InoculateIT\6.0\Path\HOME%
Identificare un set di script in un gruppo di server. Ad esempio, DC01, DC02 e DC03.
Regola di percorso con carattere jolly\\DC??\Share
Non consentire l'esecuzione dei file .vbs a meno che non siano inclusi nella directory dello script di accesso.
Regola di percorso con carattere jolly*.VBS impostato su Non consentito\\LOGIN_SRV\Share\*.VBS impostato su Senza restrizioni
Non consentire l'esecuzione dei file installati da un virus denominato sempre Flcss.exe.
Regola di percorsoFlcss.exe impostato su Non consentito
Identificare un set di script che possa essere eseguito in qualunque posizione.
Regola certificatoUtilizzare un certificato per firmare gli script digitalmente.
Consentire l'installazione del software da siti attendibili dell'area Internet.
Regola areaImpostare Siti attendibili su Senza restrizioni.
Gpo: limitare accesso ad Gpo: limitare accesso ad alcuni sitialcuni siti tramite le Group Policy non e tramite le Group Policy non e
possibile consentire ad alcuni pcpossibile consentire ad alcuni pcdella rete l'accesso solo a della rete l'accesso solo a eterminati siti internet.eterminati siti internet.
Serve Serve isa server isa server o un software Proxy gratuito come o un software Proxy gratuito come
CCProxyCCProxy O delle regole sul routerO delle regole sul router
Blocco Blocco dell’ereditarietdell’ereditariet
à delle GPOà delle GPO
In Active Directory, per In Active Directory, per modificare l’ereditarietà delle modificare l’ereditarietà delle
policy nelle OU…policy nelle OU…
continua…continua…
Blocco Blocco dell’ereditarietà dell’ereditarietà
delle GPOdelle GPO
Con le impostazioni Con le impostazioni precedenti, otteniamo…precedenti, otteniamo…
GPO: Policy del dominioGPO: Policy del dominio
GPO: Politiche LAB FisicaGPO: Politiche LAB Fisica
GPO: Politiche DidatticaGPO: Politiche Didattica
GPO: Politiche UfficiGPO: Politiche Uffici
prioritàpriorità
Nuova policyNuova policy
ereditaeredita