09/01/04 1

SecuritySecuritySicurezza del sistema di reteSicurezza del sistema di rete

•Non è necessaria per il funzionamento della rete, ma è auspicabile per semplificarne la gestione.

•Consente di applicare agli utenti che operano dei criteri di sicurezza che definiscono che cosa ogni utente può o non può fare.

•I criteri più importanti consentono di definire

•il livello di accesso ai dati dei vari utenti

•il livello di accesso ai servizi dei vari utenti

09/01/04 2

SecuritySecurityCriteri di sicurezza per i Criteri di sicurezza per i serversservers

Definiscono le modalità con cui gli utenti possono effettuare operazioni sui servers stessi. Sono particolarmente importanti dato che nei servers risiedono gran parte dei dati e dei servizi accessibili attraverso la rete.

Per un server Win2000 i criteri di sicurezza vengono di norma impostati ad un livello predefinito durante l’installazione (attraverso i gruppi predefiniti).

Sui servers Win2000 è necessario impostare i diritti di accesso alle condivisioni (shareshare) attraverso la rete utilizzando gli utenti e/o gruppi di AD.

09/01/04 3

SecuritySecurityCriteri di sicurezza per i clientsCriteri di sicurezza per i clients

E’ possibile implementare dei criteri di sicurezza anche per i clients. Essi riguardano le operazioni che gli utenti possono effettuare sui clients stessi.

Tali criteri di sicurezza devono poter essere applicati in modo centralizzato, per cui si basano comunque sugli utenti e/o gruppi definiti in AD (nel dominio).

Il livello di criteri di sicurezza e la difficoltà di implementazione dipende dal sistema operativo installato nei clients.

09/01/04 4

SecuritySecuritySicurezza dell’infrastruttura di Sicurezza dell’infrastruttura di comunicazionecomunicazione

Permette di rendere sicure le comunicazioni nella LAN. Strumenti e tecnologie da utilizzare quando i dati che viaggiano sulla LAN sono sensitivi e la loro protezione riveste particolare importanza.

Utilizzano come meccanismo di base la criptazione dei dati (implica rallentamento delle comunicazioni).

La loro implementazione riguarda modifiche di configurazione ai protocolli di comunicazione utilizzati sia dai servers che dai clients.

09/01/04 5

SecuritySecurityConfigurazioni per la sicurezza del sistemaConfigurazioni per la sicurezza del sistema

Politiche di gestione degli Accounts (a livello di dominio e/o locali)

Politiche locali (per la macchina locale)

Gruppi ristretti (gruppi di utenti built-in con diritti particolari: administratorsadministrators, server operatorsserver operators, backup backup operatorsoperators, power userspower users )

Oggetti nell’albero AD

alcuni oggetti in AD possono rappresentare politiche di sicurezza (GPOGPO=group policy object)

alcuni oggetti in AD possono rappresentare il target (o scopescope) di un criterio di sicurezza

09/01/04 6

Active Directory e le GROUP POLICIESActive Directory e le GROUP POLICIES

I GPO (Group Policy Objects) applicano Configurazioni a Siti, Domini, e OU

Le Group Policy vengono ereditate nella gerarchia di Active Directory

Site

GPO

DomainDomain

OUOUOUOU

09/01/04 7

User Rights e PermissionUser Rights e PermissionLe Le user rightsuser rights (diritti utente) definiscono un (diritti utente) definiscono un

insieme di autorizzazioni, predefinite in Active insieme di autorizzazioni, predefinite in Active Directory, che possono essere assegnate ad un Directory, che possono essere assegnate ad un

account utente in un dominio.account utente in un dominio.

Esempi di user rights sono:Esempi di user rights sono: Log on locallyLog on locally un utente può effettuare il log-on in un un utente può effettuare il log-on in un server;server; Shut down the systemShut down the system un utente può spegnere il un utente può spegnere il server(shut down);server(shut down); Change the system timeChange the system time un utente è autorizzato a un utente è autorizzato a modificare l’ora in un server.modificare l’ora in un server.

Active Active DirectoryDirectory

09/01/04 8

User Rights e PermissionUser Rights e Permission

Le Le permissionpermission (permessi) definiscono i tipi di (permessi) definiscono i tipi di accesso alle risorse HW/SW che è possibile accesso alle risorse HW/SW che è possibile

assegnare ad un utente. Le permission sono assegnare ad un utente. Le permission sono diverse e dipendono dal tipo di risorsa.diverse e dipendono dal tipo di risorsa.

Esempi di permessi sono:Esempi di permessi sono:ReadRead permesso di lettura per le files e cartelle permesso di lettura per le files e cartelleExecuteExecute permesso di eseguire un file permesso di eseguire un file eseguibileeseguibilePrintPrint permesso per stampare su una permesso per stampare su una periferica fisica periferica fisica

09/01/04 9

Group PoliciesGroup Policies

Le Group Policy permettono:Le Group Policy permettono:– Impostazione di politiche in modo centralizzato Impostazione di politiche in modo centralizzato

e decentralizzatoe decentralizzato– Assicurare l’ambiente di lavoro opportuno agli Assicurare l’ambiente di lavoro opportuno agli

utentiutenti– Controllo di utenti e computersControllo di utenti e computers– Realizzazione di politiche aziendali riguardo Realizzazione di politiche aziendali riguardo

l’utilizzo delle risorsel’utilizzo delle risorse

SiteSite

DomainDomain

OUOU

Windows 2000 Applies ContinuallyWindows 2000 Applies Continually

UsersUsers

ComputersComputers

Administrator Sets Group Policy OnceAdministrator Sets Group Policy Once

Group PolicyGroup Policy

09/01/04 10

Group PoliciesGroup Policies

Tipi di Group Policy SettingsTipi di Group Policy SettingsTipi di Group Policy SettingsTipi di Group Policy Settings

AdministrativeTemplates

AdministrativeTemplates Impostazioni basate sui RegistryImpostazioni basate sui Registry

SecuritySecurity Impostazioni di sicurezza a livello locale, di dominio e di rete

Impostazioni di sicurezza a livello locale, di dominio e di rete

Software Installation

Software Installation

Impostazioni per la gestione centralizzata delle installazioni software

Impostazioni per la gestione centralizzata delle installazioni software

ScriptsScripts Esecuzione di scripts di Startup, shutdown, logon, e logoffEsecuzione di scripts di Startup, shutdown, logon, e logoff

Remote Installation Services

Remote Installation Services

Impostazioni per il controllo delle impostazioni dei clients di accesso remoto

Impostazioni per il controllo delle impostazioni dei clients di accesso remoto

Internet Explorer Maintenance

Internet Explorer Maintenance

Impostazioni di Microsoft Internet Explorer su computers Windows 2000

Impostazioni di Microsoft Internet Explorer su computers Windows 2000

Folder RedirectionFolder Redirection Impostazioni sulla localizzazione di cartelle utente nei servers di rete

Impostazioni sulla localizzazione di cartelle utente nei servers di rete

09/01/04 11

Group Policies ObjectsGroup Policies Objects

Group Policy Object

Contengono impostazioni di Group Policy

Contenuto memorizzato in due locazioni

memorizzate nella cartella SysvolSysvol dei domain controller

Forniscono impostazioni che verranno reperite e applicate dai clients

memorizzate in Active Directory Forniscono informazioni

utilizzate dai domain controllers

Group Policy Template (GPT)

Group Policy Container (GPC)

09/01/04 12

Group Policy per Computers e UtentiGroup Policy per Computers e UtentiGroup Policy Settings per Computers:

– specificano impostazioni per il sistema operativo, il desktop, la sicurezza, gli scripts di startup e shutdown, le applicazioni assegnate ai computers, e le impostazioni delle applicazioni

– Applicate all’avvio del sistema e durante cicli di refresh periodici

Group Policy Settings per Utenti:– specificano impostazioni per il sistema operativo, il

desktop, la sicurezza, gli scripts di startup e shutdown, le applicazioni assegnate ai computers, e le impostazioni delle applicazioni, la redirezione di cartelle, script di logon e logoff

– Appicate al logon dell’utente e durante cicli di refresh periodici

UsersUsers

ComputersComputers

09/01/04 13

GPO e Active Directory ContainersGPO e Active Directory Containers

la GPO vengono impostate per utenti e computers nei Site, Domini, e OU a cui la GPO è linkata– è possibile linkare una GPO a più siti, domini, OU– è possibile linkare più GPO a un sito, dominio, OU

Non è possibile linkare una GPO a un container di default di Active Directory

SiteSite

DomainDomain

OUOU

OUOUOUOU

OU GPOOU GPO OU GPOOU GPO

Site GPOSite GPODomain GPODomain GPO

09/01/04 14

Security (Strumenti)Security (Strumenti)Security TemplatesSecurity Templates

•Modelli Predefiniti (sono files di testo .inf). Possono essere importati in un database di impostazioni di sicurezza (usando Security Configuration and Analisys) o in un oggetto GPOGPO.

• basicdc.infbasicdc.inf (per domain controller)

• basicsv.infbasicsv.inf (per Win2000 server)

• basicwk.infbasicwk.inf (per Win2000 workstation)

09/01/04 15

Security (strumenti)Security (strumenti)Security Configuration and Analysis (snap-in Security Configuration and Analysis (snap-in mmc)mmc)

•Per default lo snap-in punta al database locale (local computer security database)

•Può essere utilizzato per aprire un altro database:

> Security Configuration and Analysis > Open Database > > Security Configuration and Analysis > Open Database > Import TemplateImport Template

•E’ possibile importare più templates (merge) in un database

• Configure Computer NowConfigure Computer Now applica le impostazioni contenute nel database aperto al sistema locale.

Permette di costruire dei databases di impostazioni di sicurezza, che possono essere utilizzati come impostazioni di sicurezza locali o confrontati con esse.

09/01/04 16

SecuritySecuritySecurity settings extension per Group Policy Security settings extension per Group Policy EditorEditor

•(local, domain, e OU)

•E’ la modalità raccomandata per l’impostazione della sicurezza (locale o a livello di gruppi di hosts) in un dominio Active Directory.

> gpedit > oggetto GPO (locale o in AD) > Computer settings > Security settings

•Secedit.exe (da linea di comando)

09/01/04 17

Security per i ClientsSecurity per i ClientsPolicyPolicy

Le Policies sono impostazioni che divengono obbligatorie su un client quando settate da un amministratore attraverso la rete.

Consentono la gestione centralizzata di vari aspetti dell’esecuzione del client.

Il meccanismo di funzionamento consiste in

• specificare dei valori per le policy tramite opportuna utility

• memorizzare il file contenente le policy in uno share particolare di un server di autenticazione di rete

• distribuire automaticamente le policy quando un utente effettua da un client il log-in alla rete.

09/01/04 18

Security per i ClientsSecurity per i ClientsSystem policySystem policy

Le System policiesSystem policies sono utilizzate in Win98 e WinNT.

Esse forniscono all’amministratore la possibilità di controllare vari aspetti dell’ambiente di esecuzione dei Clients.

Consistono in impostazioni di registro applicate al computer utente nel momento in cui viene effettuato il log in nella rete.

Ad esempio

• modifica delll’interfaccia utente (desktop)

• concessione di permessi di esecuzione di applicazioni.

09/01/04 19

Security per i ClientsSecurity per i ClientsGPO (Group Policy Object)GPO (Group Policy Object)

Le GPOGPO sono utilizzate in Windows2000 e Windows XP Professional.

Consistono in oggetti creati in ActiveDirectory e a cui viene assegnato uno scope, che può andare dal computer locale ad un intero dominio.

09/01/04 20

Security per i ClientsSecurity per i ClientsWindows 98Windows 98

E’ possibile l’amministrazione centralizzata del Client utilizzando le system policy, che vengono installate sul Win2000 Server e poi distribuite ai Clients.

Le system policy di Win98 sono memorizzate in modo diverso dalle group-policy (GPO) di Windows 2000.

Per creare le system policy per Win98, su un Client Win98, si utilizza il programma poleditpoledit, installabile da

CDROM Win98SE\tools\reskit\netadmin\poledit.

Dalla stessa dir, con il programma poledit, vanno installati i templates .adm (common.adm)

Options | Policy Template | Add

09/01/04 21

Security per i ClientsSecurity per i ClientsWindows 98Windows 98

A questo punto si hanno a disposizione le policy

•Local Computer

•Local User

E’ quindi possibile impostare dei valori per tali policy (ovvero impostare le modifiche per le voci di registro).

Il file che si ottiene salvando le policy (.pol) va quindi copiato nella cartella netlogonnetlogon del Server Windows 2000.

09/01/04 22

Security per i ClientsSecurity per i ClientsWindows 98Windows 98

Lo strumento essenziale è il documento Microsoft HowTo Q318753

Le operazioni principali da effettuare per poter impostare la sicurezza sui clients Win98 sono:

•utilizzare un Client Windows 98 per installare gli strumenti di implementazione delle system policy in locale (poledit, criteri di gruppo, …)

•impostare le policy necessarie

•salvare il file di configurazione delle policy nello share netlogonnetlogon del server Windows2000

09/01/04 23

Security per i ClientsSecurity per i ClientsWindows 98Windows 98

Per abilitare il client Win98 a supportare le group policy, è necessario installare Grouppol.dll su ciascun computer a cui le policy devono essere applicate.

Esso si installa da

Add/Remove Programs

Windows Setup

System Tools

09/01/04 24

ClientsClientsWin2000 workstationWin2000 workstation

E’ il client naturale di Win2000 Server.

In un dominio Active Directory (AD) le Group Policy (GPO) vengono impostate sui Win2000 clients a seconda dello scope (=obbiettivo) costituito da altri oggetti definiti in AD.

Le policy vengono distribuite ai Clients al momento del login, o si può forzare il refresh delle policy dal server.

09/01/04 25

ClientsClientsWindows XPWindows XP

Nella sua versione XP Professional è il successore di Win200 workstation, e come quest’ultimo supporta le Group Policy.

09/01/04 26

torna a principale

09/01/04 27