320 likes | 495 Views
Sicurezza e Policy in Active Directory. Sommario. Amministrazione della sicurezza in una rete Windows 2003 Gestione dei permessi di accesso alle cartelle di rete Amministrazione della sicurezza locale Autorizzazioni per la stampa Le policy: politiche di sicurezza in un dominio.
E N D
Sommario • Amministrazione della sicurezza in una rete Windows 2003 • Gestione dei permessi di accesso alle cartelle di rete • Amministrazione della sicurezza locale • Autorizzazioni per la stampa • Le policy: politiche di sicurezza in un dominio
Gestione della sicurezza Windows 2003 permette di definire dei meccanismi di protezione per le risorse della rete I principali meccanismi di sicurezza sono: • Le Permission per l’accesso alle cartelle di rete condivise • Le Permission per l’accesso a file e cartelle locali • Le politiche di sicurezza del dominio: GPO (Group Policy Object) Tutte le impostazioni relative alla sicurezza sono registrate in Active Directory dei Domain Controller Amministratori
Gestione della sicurezza Per assegnare i permessi di accesso alle risorse, si applica la strategia: A G DL P ? Tecniche di impostazione della sicurezza AGDLP La tecnica AGDLP prevede di: A creare user Account G inserire gli user account in Gruppi globali DLinserire i gruppi globali in Domain Local group P assegnare i permessi per l’accesso alle risorse, ai singoli gruppi locali al dominio
Gestione della sicurezza Domain Local group Global group user Account La strategia A G DL P significa quindi… File server risorsa Permission
Cartelle condivise di rete Una cartella condivisa di rete (shared folder) è una directory accessibile agli utenti autenticati, da tutti i computer della rete. Creazione di una directory condivisa in una rete Cartella condivisa File server
Cartelle condivise di rete Creazione di una cartella condivisa di rete Nel file server… Per default, dopo aver condiviso una cartella, tutti gli utenti (gruppo Everyone) possono accedere al suo contenuto in sola lettura(Full control per window 2000). Amministratori
Permessi di accesso alle cartelle di rete Protezione delle cartelle di rete La sicurezza delle cartelle di rete è regolata dai permessi di condivisione, che sono:
Permessi di accesso alle cartelle di rete I permessi possono essere: assegnati oppure negati a gruppi o a singoli utenti (non consigliato). Protezione delle cartelle di rete I permessi di condivisione seguono le regole: 1. I permessi assegnati alla cartella condivisa, si propagano nelle sottodirectory e in tutti i file contenuti 2. Se un utente compare in più gruppi, il permesso di accesso complessivo è la somma di quelli dei gruppi a cui appartiene 3. La regola 2. ha una eccezione: se ad un utente è negato un permesso, l’accesso gli sarà sempre negato anche se appartiene ad altri gruppi in cui dispone dell’autorizzazione
Permessi di accesso alle cartelle di rete Assegnazione dei permessi Nel file server…
Permessi di accesso alle cartelle di rete Tutti gli user del GGstudenti possono solo leggere/eseguire file. Assegnazione dei permessi Con i permessi… Amministratori File server
Permessi di accesso locali La sicurezza delle cartelle e dei file locali è regolata dai permessi NTFS, che sono: Protezione di cartelle e file locali
Permessi di accesso locali Protezione di cartelle e file locali I permessi NTFS sono assegnati oppure negati: • anche a singoli file; • a gruppi o a singoli utenti (non consigliato). I permessi NTFS seguono regole analoghe a quelle delle cartelle di rete con le aggiunte: • se una cartella condivisa ha impostati i permessi sia di condivisione sia NTFS, si applica per l’accesso via rete il permesso più restrittivo tra i due; • i permessi NTFS sono applicati solo sulle partizioni/volumi con file system NTFS.
Permessi di accesso locali Se l’amministratore ha impostato per una cartella entrambe i permessi locali e remoti… Permessi NTFS + Permessi di condivisione Accesso remoto (via rete) File server Permessi NTFS Accesso locale
Permessi di accesso locali Assegnazione dei permessi NTFS
Permessi di stampa Protezione delle stampanti di rete La sicurezza delle stampanti di rete è regolata dai permessi di stampa, che sono:
Permessi di stampa Applicazione dei permessi di stampa ad un Print Server… Permessi di stampa Stampa sulla stampante di rete Stampante Print server Periferica di stampa
Permessi di stampa Sul print server… Assegnazione dei permessi di stampa
Windows 2003 Server permette di amministrare la sicurezza dei domini impostando politiche di sicurezza Politiche di sicurezza Una politica di sicurezza (GPO: Group Policy Object) è un oggetto di Active Directory. Un GPO permette di definire: • Le restrizioni di accesso ai computer e quindi la loro sicurezza (user rights) • L’ambiente di lavoro dei computer, in particolare, il desktop • La gestione centralizzata del software installato nel dominio (sia nuove versioni sia aggiornamenti) • L’impostazione di applicazioni e dei servizi, mediante l’esecuzione di script al log on
Active Directory I GPO sono oggetti applicati a domini e OU Politiche di sicurezza Un GPO può essere applicato a un sito, un dominio e una OU. Se sono stati definiti più GPO, in un dominio con OU, l’ordine di applicazione delle policy è fondato: • Sulla ereditarietà • La gerarchia degli oggetti contenitori in Active Directory
Esempi di applicazione delle policy Politiche di sicurezza GPO: Policy del dominio eredita priorità GPO: Politiche LAB Fisica GPO: Politiche Uffici eredita priorità GPO: Politiche Didattica
GPO Predefinita Strumenti di Amministrazione -> gestione utenti e computer- > propietà del dominio-> criterio di gruppo
GPO Predefinita Strumenti di Amministrazione -> criterio di protezione del dominio Un Permesso è assegnabile ad utenti e gruppi
Per creare una nuova GPO a livello di dominio in Active Directory… Creazione di una GPO Una GPO si assegna a tutto il dominio o a una UO continua… http://technet.microsoft.com/it-it/library/cc163076.aspx
Per creare una nuova GPO a livello di dominio in Active Directory… Creazione di una GPO Policy dei computer Policy degli utenti Ad esempio, impostiamo le user rights
Impostiamo una GPO, a livello di una OU, per bloccare i desktop dei computer… Creazione di una GPO
Impostiamo una GPO, per installare automaticamente un sw Creazione di una GPO • Identificare l’unità Organizzativa e la GPO da modificare • Creare il pacchetto di distribuzione: in una cartella condivisa, con accesso in Lettura per Everyone copiare i file msi di installazione • 3. alternativamente (Configurazione Utente ovvero Computer) • Assegnare il sw agli utenti: L'applicazione e indipendentemente dal computer fisico utilizzato viene installata la prima volta che l'utente la attiva • Assegnare il sw al computer: l'installazione viene eseguita in genere, all'avvio del computer, quando non vi sono altri processi in corso • 4. Selezioanre nuovo pacchetto. • 5. Dalla scheda Protezione impostare i gruppi e gli utenti a cui assegnare la Group Policy o (Per default la Group policy è assegnata agli utenti autenticati, ma non ai Domain Admins)
Le politiche di restizione software Creazione di una GPO • I criteri di restrizione software consentono agli amministratori di identificare il software e di controllarne la possibilità di • esecuzione sul computer locale • sono costituiti da due parti: • Una regola predefinita in base alla quale è possibile eseguire i programmi: Senza restrizioni e Non consentito • Un inventario di eccezioni alla regola predefinita • Per creare una regola, è necessario individuare le applicazioni • Regola hash. Viene utilizzata un'impronta digitale crittografica del file eseguibile. • Regola certificato. Viene utilizzato un certificato con firma digitale di un autore di software per il file .exe. • Regola di percorso. Viene utilizzato il percorso UNC (Universal Naming Convention) locale o del Registro di sistema della posizione del file .exe. • Regola area. Viene utilizzata l'area Internet da cui ha avuto origine il file eseguibile (se scaricato mediante Microsoft Internet Explorer).
Gpo: limitare accesso ad alcuni siti • tramite le Group Policy non e possibile consentire ad alcuni pcdella rete l'accesso solo a eterminati siti internet. • Serve • isa server • o un software Proxy gratuito come CCProxy • O delle regole sul router
In Active Directory, per modificare l’ereditarietà delle policy nelle OU… Blocco dell’ereditarietà delle GPO continua…
Con le impostazioni precedenti, otteniamo… Blocco dell’ereditarietà delle GPO GPO: Policy del dominio eredita priorità GPO: Politiche LAB Fisica GPO: Politiche Uffici Nuova policy GPO: Politiche Didattica