Post on 06-Jan-2016
description
Sicurezza e Policy Sicurezza e Policy in in
Active DirectoryActive Directory
SommarioSommario Amministrazione della sicurezza in Amministrazione della sicurezza in
una rete Windows 2003una rete Windows 2003 Gestione dei permessi di accesso Gestione dei permessi di accesso
alle cartelle di retealle cartelle di rete Amministrazione della sicurezza Amministrazione della sicurezza
localelocale Autorizzazioni per la stampaAutorizzazioni per la stampa Le policy: politiche di sicurezza in Le policy: politiche di sicurezza in
un dominioun dominio
Gestione della Gestione della sicurezzasicurezza
Windows 2003 permette di definire dei Windows 2003 permette di definire dei meccanismi di protezione per le meccanismi di protezione per le
risorse della reterisorse della rete
I principali meccanismi di sicurezza sono:I principali meccanismi di sicurezza sono: Le Le PermissionPermission per l’accesso per l’accesso alle cartelle di retealle cartelle di rete condivisecondivise Le Le PermissionPermission per l’accesso per l’accesso a file e cartelle a file e cartelle localilocali Le Le politiche di sicurezza del dominiopolitiche di sicurezza del dominio: GPO : GPO (Group Policy Object) (Group Policy Object)
Tutte le impostazioni relative Tutte le impostazioni relative alla sicurezza sono registrate in alla sicurezza sono registrate in
Active Directory dei Domain Active Directory dei Domain ControllerController
AmministratoriAmministratori
Gestione della Gestione della sicurezzasicurezza
Tecniche di impostazione della Tecniche di impostazione della sicurezzasicurezza
Per assegnare i permessi di accesso alle risorse, Per assegnare i permessi di accesso alle risorse, si applica la strategia:si applica la strategia:
A A GG DL DL P P
La tecnica La tecnica AA GG DLDL PP prevede di: prevede di:
A A creare user Accountcreare user Account
GG inserire gli user account in Gruppi globali inserire gli user account in Gruppi globali
DLDL inserire i gruppi globali in Domain Local inserire i gruppi globali in Domain Local groupgroup
PP assegnare i permessi per l’accesso alle assegnare i permessi per l’accesso alle risorse, ai singoli gruppi locali al dominiorisorse, ai singoli gruppi locali al dominio
??AGDLPAGDLP
risorsarisorsa
user user
AAccountccount
Gestione della Gestione della sicurezzasicurezza
La strategia La strategia A A GG DL DL P P significa quindi…significa quindi…
File serverFile server
GGlobal lobal groupgroup
PPermissionermission
DDomain omain
LLocal ocal groupgroup
Cartelle Cartelle condivise di condivise di
reterete
Creazione di una directory Creazione di una directory condivisa in una retecondivisa in una rete
Una Una cartella condivisa di retecartella condivisa di rete (shared folder) è una (shared folder) è una directory accessibile agli utenti autenticati, da tutti directory accessibile agli utenti autenticati, da tutti
i computer della rete.i computer della rete.
Cartella Cartella condivisacondivisa
File serverFile server
Cartelle Cartelle condivise di condivise di
reterete
Creazione di una cartella Creazione di una cartella condivisa di retecondivisa di rete
Nel file server…Nel file server…
Per default, dopo aver condiviso una Per default, dopo aver condiviso una cartella, tutti gli utenti (gruppo cartella, tutti gli utenti (gruppo EveryoneEveryone) )
possono accedere al suo contenuto possono accedere al suo contenuto senza limitazioni (senza limitazioni (Full controlFull control).).
AmministratoriAmministratori
Permessi di Permessi di accesso alle accesso alle
cartelle di retecartelle di rete
Protezione delle cartelleProtezione delle cartelledi retedi rete
La sicurezza delle cartelle di rete è regolata dai La sicurezza delle cartelle di rete è regolata dai permessi di condivisionepermessi di condivisione, che sono:, che sono:
PermissionPermission di di condivisionecondivisione
L’utente può compiere le L’utente può compiere le seguenti azioni:seguenti azioni:
completo controllo del completo controllo del contenuto della cartellacontenuto della cartella
leggere, scrivere e cancellare leggere, scrivere e cancellare file, eseguire programmifile, eseguire programmi
leggere file ed eseguire leggere file ed eseguire programmiprogrammi
Permessi di Permessi di accesso alle accesso alle
cartelle di retecartelle di rete
Protezione delle cartelleProtezione delle cartelledi retedi rete
I permessi di condivisione seguono I permessi di condivisione seguono le regolele regole::1.1. I permessi assegnati alla cartella condivisa, si propagano I permessi assegnati alla cartella condivisa, si propagano
nelle sottodirectory e in tutti i file contenutinelle sottodirectory e in tutti i file contenuti
2.2. Se un utente compare in più gruppi, il permesso di Se un utente compare in più gruppi, il permesso di accesso complessivo è la somma di quelli dei gruppi a accesso complessivo è la somma di quelli dei gruppi a cui appartienecui appartiene
3.3. La regola 2. ha una eccezione: se ad un utente è negato La regola 2. ha una eccezione: se ad un utente è negato un permesso, l’accesso gli sarà sempre negato anche se un permesso, l’accesso gli sarà sempre negato anche se appartiene ad altri gruppi in cui dispone appartiene ad altri gruppi in cui dispone dell’autorizzazionedell’autorizzazione
I permessi possono essere:I permessi possono essere:assegnati assegnati oppure oppure negatinegati
a gruppi o a singoli utenti (non consigliato).a gruppi o a singoli utenti (non consigliato).
Permessi di Permessi di accesso alle accesso alle
cartelle di retecartelle di rete
Assegnazione dei Assegnazione dei permessipermessi
Nel file server…Nel file server…
Permessi di Permessi di accesso alle accesso alle
cartelle di retecartelle di rete
Assegnazione dei Assegnazione dei permessipermessi
Con i permessi…Con i permessi…
File serverFile server
AmministratoriAmministratori
Tutti gli user del Tutti gli user del GGstudentiGGstudenti
possono solo possono solo leggere/eseguire leggere/eseguire
file.file.
Permessi di Permessi di accesso localiaccesso locali
Protezione di cartelle e Protezione di cartelle e file localifile locali
La sicurezza delle cartelle e dei file locali è La sicurezza delle cartelle e dei file locali è regolata dai regolata dai permessi NTFSpermessi NTFS, che sono:, che sono:
PermissionPermission NTFS NTFS localilocali
L’utente può compiere le L’utente può compiere le seguenti azioni:seguenti azioni:
completo controllo di file e cartellecompleto controllo di file e cartelle
leggere, scrivere, cancellare ed leggere, scrivere, cancellare ed eseguire programmieseguire programmi
leggere file ed eseguire programmileggere file ed eseguire programmi
creare nuove cartelle/filecreare nuove cartelle/file
leggere file e aprire cartelleleggere file e aprire cartelle
visualizzare i nomi di file e visualizzare i nomi di file e sottocartellesottocartelle
Permessi di Permessi di accesso localiaccesso locali
Protezione di cartelle e Protezione di cartelle e file localifile locali
I permessi NTFS seguono I permessi NTFS seguono regole analoghe regole analoghe a quelle delle a quelle delle cartelle di rete con le aggiunte:cartelle di rete con le aggiunte:
se una cartella condivisa ha impostati i permessi sia di se una cartella condivisa ha impostati i permessi sia di condivisione sia NTFS, si applica per l’accesso via rete il condivisione sia NTFS, si applica per l’accesso via rete il permesso più restrittivo tra i due;permesso più restrittivo tra i due;
i permessi NTFS sono applicati solo sulle i permessi NTFS sono applicati solo sulle partizioni/volumi con file system NTFS.partizioni/volumi con file system NTFS.
I permessi NTFS sono I permessi NTFS sono assegnati assegnati oppure oppure negatinegati:: anche a singoli file;anche a singoli file;
a gruppi o a singoli utenti (non consigliato).a gruppi o a singoli utenti (non consigliato).
Accesso remoto Accesso remoto
(via rete)(via rete)
Permessi di Permessi di accesso localiaccesso locali
Se l’amministratore ha impostato per Se l’amministratore ha impostato per una cartella entrambe i permessi una cartella entrambe i permessi
locali e remoti…locali e remoti…
Accesso localeAccesso locale
File serverFile server
Permessi NTFSPermessi NTFS++
Permessi di condivisionePermessi di condivisione
Permessi NTFSPermessi NTFS
Permessi di Permessi di accesso localiaccesso locali
Assegnazione dei Assegnazione dei permessi NTFSpermessi NTFS
Permessi di Permessi di stampastampa
Protezione delle stampanti Protezione delle stampanti di retedi rete
La sicurezza delle stampanti di rete è regolata dai La sicurezza delle stampanti di rete è regolata dai permessi di stampapermessi di stampa, che sono:, che sono:
PermissionPermission di di stampastampa
L’utente può compiere le L’utente può compiere le seguenti azioni:seguenti azioni:
completo controllo della completo controllo della stampantestampante
possibilità stampare e di gestire la possibilità stampare e di gestire la coda di stampa, con tutti i coda di stampa, con tutti i
documenti contenutidocumenti contenuti
possibilità di stampare e di gestire possibilità di stampare e di gestire esclusivamente il proprio esclusivamente il proprio
documento nella coda di stampadocumento nella coda di stampa
StampanteStampante
Stampa sulla Stampa sulla stampante di retestampante di rete
Permessi di Permessi di stampastampa
Applicazione dei permessi di stampa Applicazione dei permessi di stampa ad un Print Server…ad un Print Server…
Print serverPrint server
Periferica di stampaPeriferica di stampa
Permessi di Permessi di stampastampa
Permessi di Permessi di stampastampa
Assegnazione dei Assegnazione dei permessi di stampapermessi di stampa
Sul print server…Sul print server…
Politiche di Politiche di sicurezzasicurezza
Un GPO permette di definire:Un GPO permette di definire: L’ambiente di lavoro dei computer, in L’ambiente di lavoro dei computer, in
particolare, il desktopparticolare, il desktop L’impostazione di applicazioni e dei servizi, L’impostazione di applicazioni e dei servizi,
mediante l’esecuzione di script al log onmediante l’esecuzione di script al log on Le restrizioni di accesso ai computer e quindi la Le restrizioni di accesso ai computer e quindi la
loro sicurezza (user rights)loro sicurezza (user rights) La gestione centralizzata del software installato La gestione centralizzata del software installato
nel dominio (sia nuove versioni sia nel dominio (sia nuove versioni sia aggiornamenti)aggiornamenti)
Una politica di sicurezza (Una politica di sicurezza (GPOGPO: : Group Policy Group Policy ObjectObject) è un oggetto di Active Directory. ) è un oggetto di Active Directory.
Windows 2000 Server permette di Windows 2000 Server permette di amministrare la sicurezza dei domini amministrare la sicurezza dei domini
impostando impostando politiche di sicurezzapolitiche di sicurezza
Politiche di Politiche di sicurezzasicurezza
Se sono stati definiti più GPO, in un dominio con Se sono stati definiti più GPO, in un dominio con OU, l’ordine di applicazione delle policy è fondato:OU, l’ordine di applicazione delle policy è fondato:
Sulla ereditarietàSulla ereditarietà La gerarchia degli oggetti contenitori in Active La gerarchia degli oggetti contenitori in Active
DirectoryDirectory
I GPO sono oggetti applicati a I GPO sono oggetti applicati a domini e OUdomini e OU
Un GPO può essere applicato a un sito, un dominio Un GPO può essere applicato a un sito, un dominio e una OU. e una OU.
Active Active DirectoryDirectory
Politiche di Politiche di sicurezzasicurezza
Esempi di applicazione delle Esempi di applicazione delle policypolicy
GPO: Policy del dominioGPO: Policy del dominio
GPO: Politiche LAB FisicaGPO: Politiche LAB Fisica
GPO: Politiche DidatticaGPO: Politiche Didattica
GPO: Politiche UfficiGPO: Politiche Uffici
prioritàpriorità
prioritàpriorità
ereditaeredita
ereditaeredita
Creazione di Creazione di una GPOuna GPO
Per creare una nuova GPO a Per creare una nuova GPO a livello di dominio in Active livello di dominio in Active
Directory…Directory…
continua…continua…
Creazione di Creazione di una GPOuna GPO
Per creare una nuova GPO a Per creare una nuova GPO a livello di dominio in Active livello di dominio in Active
Directory…Directory…
Policy dei Policy dei computercomputer
Policy degli Policy degli utentiutenti
Ad esempio, impostiamo le user rightsAd esempio, impostiamo le user rights
Creazione Creazione di una GPOdi una GPO
Impostiamo una GPO, a livello Impostiamo una GPO, a livello di una OU, per di una OU, per bloccare i bloccare i desktopdesktop dei computer… dei computer…
Ordine di Ordine di applicazione applicazione
GPOGPO
L’ordine di applicazione delle L’ordine di applicazione delle policy può essere modificatopolicy può essere modificato
L’ereditarietà di una GPOL’ereditarietà di una GPO (dal dominio nelle sue (dal dominio nelle sue OU) può essere modificata impostando:OU) può essere modificata impostando:
Non sovrascrivereNon sovrascrivere (No Override): blocca la (No Override): blocca la sovrascrittura delle politiche comuni (dominio-sovrascrittura delle politiche comuni (dominio-
OU) nelle OU figlieOU) nelle OU figlie Blocca ereditarietàBlocca ereditarietà (Block Inheritance): blocca (Block Inheritance): blocca
la propagazione delle policy nelle OU figlie, la propagazione delle policy nelle OU figlie, permettendo di creare politiche diverse da quelle permettendo di creare politiche diverse da quelle
del dominio nelle OUdel dominio nelle OU
Active Active DirectoryDirectory
Blocco Blocco dell’ereditarietdell’ereditariet
à delle GPOà delle GPO
In Active Directory, per In Active Directory, per modificare l’ereditarietà delle modificare l’ereditarietà delle
policy nelle OU…policy nelle OU…
continua…continua…
Blocco Blocco dell’ereditarietà dell’ereditarietà
delle GPOdelle GPO
Con le impostazioni Con le impostazioni precedenti, otteniamo…precedenti, otteniamo…
GPO: Policy del dominioGPO: Policy del dominio
GPO: Politiche LAB FisicaGPO: Politiche LAB Fisica
GPO: Politiche DidatticaGPO: Politiche Didattica
GPO: Politiche UfficiGPO: Politiche Uffici
prioritàpriorità
Nuova policyNuova policy
ereditaeredita