1 / 47

Implementazione della protezione dei server su Windows 2000 e Windows Server 2003

Implementazione della protezione dei server su Windows 2000 e Windows Server 2003. Fabrizio Grossi. Prerequisiti della sessione. Familiarità con Windows 2000 Server o Windows Server 2003 Esperienza con gli strumenti di gestione Windows

Download Presentation

Implementazione della protezione dei server su Windows 2000 e Windows Server 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. ImplementazionedellaprotezionedeiserversuWindows2000eWindowsServer2003ImplementazionedellaprotezionedeiserversuWindows2000eWindowsServer2003 Fabrizio Grossi

  2. Prerequisitidellasessione • FamiliaritàconWindows2000ServeroWindowsServer2003 • EsperienzaconglistrumentidigestioneWindows • ConoscenzadeiconcettirelativiadActiveDirectoryeCriteridigruppo Livello200

  3. Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserver dedicati • Protezioneavanzatadeiserverautonomi

  4. ConsiderazionisullaprotezioneinaziendedipiccoleemediedimensioniConsiderazionisullaprotezioneinaziendedipiccoleemediedimensioni Risorselimitateperl'implementa-zione disoluzionidi protezione Serverconpiùruoli Utilizzodisisteminonaggiornati Minacciainternaoaccidentale Mancanzadiesperienzasullaprotezione L'accessofisicoimpediscemoltemisurediprotezione Conseguenzelegali

  5. Riservatezza Principidellaprotezione Integrità Disponibilità Principidellaprotezionedeiserver • Lariservatezzaassicuralaprotezionedell'accessoalleinformazioni • L'integritàassicural'assenzadimodifichenelleinformazioni • Ladisponibilitàassicuralapossibilitàdiaccessoalleinformazioni

  6. Valutazionedelleminacceecompromessi sulla protezione • Valutazionedelleminacce • Documentazionedell'ambiente • Eseguireun'analisidibasedeisistemiedelsoftware • UtilizzarediagrammiDFDperillustrareilflussodeidati,l'interazionedeisistemieleminacce • Separazionedeisistemi • Separareisistemiinbasearequisitidiapplicazionieprotezione • Assicurarsicheirequisitidiprotezionetrasistemiaffidabilisianoequivalenti • Assicurarsichelaprotezionedeisistemimenosensibilidipendadasistemipiùsensibili • Limitarel'ambienteeiprivilegi • Assegnareaccountconleautorizzazioniminimepossibili • Limitareeproteggerelacomunicazione • Disabilitareorimuovereleporteeiserviziinutilizzati • Compromessiperlaprotezione • Ènecessarioraggiungereuncompromessotraprotezioneeutilizzo

  7. Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserverdedicati • Protezioneavanzatadeiserverautonomi

  8. Procedurediprotezionedibasedeiserver Applicareilservicepackpiùaggiornatoe tuttelepatchdiprotezionedisponibili UtilizzareCriteridiGruppoperlaprotezioneavanzatadeiserver -Disabilitareiservizinonrichiesti -Implementarecriteri per passwordsicure -Disabilitarel'autenticazioneLANManagereNTLMv1 Limitarel'accessofisicoedireteaiserver

  9. Gestionedegliaggiornamentidelsoftware • Implementareunasoluzionedigestionedellepatch perlaprotezionecontrolevulnerabilità • Partecipareallasessionediformazionesullagestionedellepatchorivederelaguidaall'indirizzo: http://www.microsoft.com/technet/security/patch (inlinguainglese)

  10. LivellidigravitàeintervalliditempoperladistribuzionedellepatchLivellidigravitàeintervalliditempoperladistribuzionedellepatch

  11. Coerentie ripetibili Prodotti,strumenti eautomazione Competenze,ruoli eresponsabilità Gestioneefficientedellepatch Processi Personale Tecnologia

  12. Consigliperlaprotezioneavanzatadeiserver • RinominaregliaccountAdministratoreGuest • Limitarel'accessodapartediaccountincorporatiediaccountdiservizionondelsistemaoperativo • Nonconfigurareunservizioperl'accessomedianteunaccountdidominio • UtilizzareNTFSperproteggerefileecartelle

  13. Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserverdedicati • Protezioneavanzatadeiserverautonomi

  14. ComponentidiActiveDirectory • Foreste • Una Foresta svolge la funzione di confine di sicurezza in Active Directory • Dominio • Unitàorganizzativa • Criteridigruppo • Criteridigruppoèunostrumentochiaveperl'implementazioneelagestionedellaprotezionedirete

  15. PianificazionedellaprotezioneActiveDirectory • Analizzarel'ambiente • CentrodatiIntranet • Ufficiodifiliale • CentrodatiExtranet • Analizzareleminacce • IndividuareleminacceadActiveDirectory • Individuareitipidiminacce • Individuareleoriginidelleminacce • Determinare le misure di protezione dalle minacce • Stabilirepianidiemergenza

  16. Specificarelimitidiprotezioneeamministrativi ProgettareunastrutturadiActiveDirectorybasatasulleesigenzedidelega DefinizionedilimitidiprotezionediActiveDirectory ImplementarelimitidiprotezionebasatisuBestPracticeGuide

  17. Potenziamentodelleimpostazionideicriterididominio Potenziare le impostazioni nell'oggetto Criterio predefinito di dominio o creare un nuovo oggetto Criteri di gruppo a livello di dominio Assicurarsicheicriteridipasswordeaccountsianoconformiairequisitidiprotezionedell'organizzazione Rivedereleimpostazionidicontrollosuglioggetti importanti di Active Directory

  18. Criterididominio Progettazionedominio Dominio Servermembri Controllerdidominio Criteridibasedeiservermembri Criterideicontrollerdidominio Amministrazioneoperazioni Criterideiserverdistampa Serverdistampa Amministrazioneoperazioni Criterideifileserver Fileserver AmministrazioneservizioWeb CriterideiserverIIS ServerWeb Definizionediunagerarchiadelleunitàorganizzativebasatasuiruoli • Unagerarchiadelleunitàorganizzativebasatasuiruoli: • semplificaleproblematichedigestionedellaprotezione • consentediapplicareimpostazionideicriteridiprotezioneaserverealtrioggettiinciascunaunitàorganizzativa

  19. ComecreareunagerarchiadiunitàorganizzativeperlagestioneelaprotezionedeiserverComecreareunagerarchiadiunitàorganizzativeperlagestioneelaprotezionedeiserver • Creareun'unitàorganizzativadenominataServermembri • Creareunitàorganizzativeall'internodell'unitàorganizzativaServermembriperogniruolodiserver • Spostareognioggettoservernell'unitàorganizzativaappropriataasecondadelruolo • Delegare il controllo di ogni unità organizzativa basata sul ruolo al gruppo di sicurezza appropriato

  20. Procedureamministrativeconsigliate Distingueretraruolidiamministrazionedelservizioedeidati Stabilireprocedureprotetteperilserviziodidirectoryeperl'amministrazionedeidati Delegareleautorizzazioniminimenecessarie

  21. Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezione avanzata dei server dedicati • Protezione avanzata dei server autonomi

  22. Serverdiinfrastruttura Fileservereserverdistampa Applicareimpostazioni di sicurezzaincrementalibasatesuiruoli ServerIIS Applicazionedeicriteridibase deiservermembri ProtezionediActiveDirectory Procedurediprotezioneavanzata ServerRADIUS(IAS) Serverdiservizicertificati Firewall Panoramicasullaprotezioneavanzatadeiserver • Applicareimpostazioni di sicurezzadibaseatuttiiservermembri • Applicareimpostazioniaggiuntivesecondolospecificoruolodelserver • UtilizzareGPResultperassicurarsicheleimpostazionivenganoapplicatecorrettamente

  23. Modello di sicurezzaMemberServerBaseline • Modificareeapplicareilmodello di sicurezzaMemberServerBaselineatuttiiservermembri • Impostazionidelmodello di sicurezzaMemberServerBaseline: • Critericontrollo • Assegnazionedirittiutente • Opzionidiprotezione • Registroeventi • Servizi di sistema

  24. Dimostrazione2UtilizzodiMBSAe applicazionediunmodellodiprotezioneUtilizzodiMBSAperprodurreunrapportoVisualizzazionedelmodello di sicurezzaMemberServerBaselineApplicazionedelmodello di sicurezzaMemberServerBaselineUtilizzodiMBSAperverificarechesiastatoapplicato ilmodello

  25. Procedureconsigliateperl'utilizzodimodellidiprotezione Rivedereemodificareimodellidiprotezioneprimadiutilizzarli Utilizzareglistrumentidianalisieconfigurazionediprotezioneperrivedereleimpostazioniprimadiapplicarle Verificareinmodoapprofonditoimodelliprimadidistribuirli Memorizzareimodellidiprotezioneinunpercorsoprotetto

  26. Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezione avanzata dei server dedicati • Protezione avanzata dei server autonomi

  27. Configurazionedellaprotezionepericontrollerdidominio Proteggerel'ambientedigenerazionedeicontrollerdidominio Stabilireproceduredigenerazionedeicontrollerdidominiochegarantiscanoprotezione Mantenerelasicurezzafisica

  28. Dimostrazione3ProtezioneavanzatadeicontrollerdidominioApplicazionedelmodello di sicurezzaDomainController

  29. ProcedureconsigliateperlaprotezioneavanzatadeicontrollerdidominioProcedureconsigliateperlaprotezioneavanzatadeicontrollerdidominio Utilizzaremetodidiprotezioneappropriatipercontrollarel'accessofisicoaicontrollerdidominio Implementareimpostazioniappropriatedicontrolloediregistroeventi UtilizzareCriteridigruppoperapplicareilmodello di sicurezzaDomainControlleratuttiicontrollerdidominio Disabilitareiservizinonrichiesti

  30. Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserverdedicati • Protezioneavanzatadeiserverautonomi

  31. Utilizzodimodellidiprotezioneperruolidiserverspecifici • Iserverchesvolgonoruolispecificipossonoessereorganizzatiperunitàorganizzativaall'internodell'unitàorganizzativaServermembri • Innanzitutto,applicareilmodelloMemberServerBaselineall'unitàorganizzativaServermembro • Quindi,applicareilmodello di sicurezzaappropriatobasatosuiruoliaogniunitàorganizzativaall'internodell'unitàorganizzativaServermembri • Personalizzareimodellidiprotezioneperiservercheeseguonopiùruoli

  32. Protezioneavanzatadeiserverdiinfrastruttura • Applicareleimpostazioni di sicurezzadelmodello di sicurezzaInfrastructureServer • Configuraremanualmenteleimpostazioniaggiuntivesuogniserverdiinfrastruttura • Configurarelaregistrazione degli eventi DHCP • DefinireprotezionicontrogliattacchiDHCPDoS • UtilizzareilsistemaDNSintegratoin ActiveDirectoryperlezone ActiveDirectory • Proteggeregliaccountdiservizio • AbilitaresololeportenecessarieperleapplicazioniserverutilizzandofiltriIPSec

  33. Protezioneavanzatadeifileserver • Applicareleimpostazioni di sicurezzadelmodello di sicurezzaFileServer • Configuraremanualmenteleimpostazioniaggiuntivesuognifileserver • DisbilitareDFSeFRS,senonrichiesti • ProteggereifileelecartellecondiviseutilizzandoNTFSeleautorizzazionidicondivisione • Abilitareilcontrollodeifilecritici • Proteggeregliaccountdiservizio • AbilitaresoloportespecificheutilizzandofiltriIPSec

  34. Protezioneavanzatadeiserverdistampa • Applicareleimpostazioni di sicurezzadelmodello di sicurezzaPrintServer • Configuraremanualmenteleimpostazioniaggiuntivesuogniserverdistampa • AssicurarsicheilservizioSpoolerdistampasiaabilitato • Proteggeregliaccount ben-conosciuti • Proteggeregliaccountdiservizio • AbilitaresoloportespecificheutilizzandofiltriIPSec

  35. ProtezioneavanzatadeiserverIIS • Applicareleimpostazioni di sicurezzadelmodello di sicurezzaIISServer • ConfiguraremanualmenteogniserverIIS • InstallareIISLockdowneconfigurareURLScansututteleinstallazioniIIS5.0 • AbilitaresoloicomponentiIISessenziali • ConfigurareleautorizzazioniNTFSpertuttelecartellechecontengonocontenutoWeb • InstallareIISememorizzareilcontenutoWebsuunvolumedidiscodedicato • Sepossibile,nonabilitareentrambeleautorizzazionidiesecuzioneediscritturasullostessositoWeb • SuiserverIIS5.0,eseguireleapplicazioniutilizzandolaprotezioneapplicazionemediaoalta • UtilizzareifiltriIPSecperabilitaresololeporte80e443

  36. Dimostrazione4ProtezioneavanzatadiruolidiserverspecificiRevisionedellaprotezioneIISpredefinitaApplicazionedelmodello di sicurezzaFileServer

  37. ProcedureconsigliateperlaprotezioneavanzatadeiserverperruolispecificiProcedureconsigliateperlaprotezioneavanzatadeiserverperruolispecifici Proteggeregliaccountutenteben-conosciuti Abilitaresoloiservizirichiestidalruolo Abilitarelaregistrazionedeiserviziperacquisireleinformazionirelative UtilizzareifiltriIPSecperbloccareportespecificheinbasealruolodelserver Modificareimodellisecondolenecessitàperiserverconpiùruoli

  38. Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserverdedicati • Protezioneavanzatadeiserverautonomi

  39. Protezioneavanzatadeiserverautonomi • Ènecessarioapplicaremanualmenteleimpostazioni di sicurezzaaogniserverautonomoanzichéutilizzareCriteridigruppo • Puòesserenecessariocreareunmodello di sicurezzapersonalizzatoperogniserverautonomo • UtilizzarelostrumentoAnalisieconfigurazionediprotezioneoSeceditperapplicareleimpostazionideimodellidiprotezione • Analisieconfigurazionediprotezione • Consenteilconfrontoel'applicazionedivarimodellidiprotezione • Secedit • VersionedellarigadicomandodellostrumentoAnalisieconfigurazionediprotezionecheconsentel'applicazionetramitescriptdeimodellidiprotezione

  40. Dimostrazione5ProtezioneavanzatadiunserverautonomoConfrontodimodellidiprotezioneApplicazionediunmodello di sicurezzaaunserverautonomo

  41. ComeutilizzareSeceditperlaprotezioneavanzatadeiserverautonomiComeutilizzareSeceditperlaprotezioneavanzatadeiserverautonomi • Configurareunmodello di sicurezzapersonalizzatoconleimpostazioni di sicurezzadesiderateperilserverautonomo • Aprireunpromptdeicomandisulserverautonomo • Creareundatabasediimpostazionidalmodello di sicurezzapersonalizzato,digitando: secedit/import/dbc:\security.sdb/cfgnomemodello di sicurezza • Applicareleimpostazionipresentineldatabasealserverautonomo,digitando: secedit/configure/dbc:\security.sdb

  42. Procedureconsigliateperlaprotezioneavanzatadeiserverautonomi UtilizzarelostrumentoAnalisieconfigurazionediprotezioneperapplicaremodelliaiserverautonomi Configurareleimpostazionideiserviziinbaseairequisitidelruolodelserver Abilitarelaregistrazionedeiserviziperacquisireleinformazionirelative UtilizzareIPSecperfiltrareleporteinbasealruolodelserver

  43. Riepilogodellasessione • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserverdedicati • Protezioneavanzatadeiserverautonomi

  44. Passaggisuccessivi • Peresseresempreaggiornatinelcampodellaprotezione • Abbonarsiaibollettinisullaprotezioneall'indirizzo: http://www.microsoft.com/security/security_bulletins/alerts2.asp(inlinguainglese) • InformazioniaggiornaterelativeallaprotezioneMicrosoftsonodisponibiliall'indirizzo: http://www.microsoft.com/security/guidance/ (in lingua inglese) • Accessoamaterialediformazioneaggiuntivosullaprotezione • Seminaridiformazioneon-lineeconistruttoresonodisponibiliall'indirizzo: http://www.microsoft.com/seminar/events/security.mspx(inlinguainglese) • PertrovareunCTECdizonacheoffrecorsidiformazionepratica,visitareilsitoWeball'indirizzo: http://www.microsoft.com/italy/traincert/Default.mspx

  45. Ulterioriinformazioni • SitoMicrosoftdedicatoallaprotezione(pertuttigliutenti) • http://www.microsoft.com/italy/security/default.mspx • SitoTechNetdedicatoallaprotezione(perprofessionistiIT) • http://www.microsoft.com/italy/technet/sicurezza.asp • SitoMSDNdedicatoallaprotezione(persviluppatori) • http://msdn.microsoft.com/security(inlinguainglese)

  46. Domandeerisposte

More Related