Sicurezza e Policy in Active Directory

Sicurezza e Policy Sicurezza e Policy in in

Active DirectoryActive Directory

SommarioSommario Amministrazione della sicurezza in Amministrazione della sicurezza in

una rete Windows 2003una rete Windows 2003 Gestione dei permessi di accesso Gestione dei permessi di accesso

alle cartelle di retealle cartelle di rete Amministrazione della sicurezza Amministrazione della sicurezza

localelocale Autorizzazioni per la stampaAutorizzazioni per la stampa Le policy: politiche di sicurezza in Le policy: politiche di sicurezza in

un dominioun dominio

Gestione della Gestione della sicurezzasicurezza

Windows 2003 permette di definire dei Windows 2003 permette di definire dei meccanismi di protezione per le meccanismi di protezione per le

risorse della reterisorse della rete

I principali meccanismi di sicurezza sono:I principali meccanismi di sicurezza sono: Le Le PermissionPermission per l’accesso per l’accesso alle cartelle di retealle cartelle di rete condivisecondivise Le Le PermissionPermission per l’accesso per l’accesso a file e cartelle a file e cartelle localilocali Le Le politiche di sicurezza del dominiopolitiche di sicurezza del dominio: GPO : GPO (Group Policy Object) (Group Policy Object)

Tutte le impostazioni relative Tutte le impostazioni relative alla sicurezza sono registrate in alla sicurezza sono registrate in

Active Directory dei Domain Active Directory dei Domain ControllerController

AmministratoriAmministratori


Tecniche di impostazione della Tecniche di impostazione della sicurezzasicurezza

Per assegnare i permessi di accesso alle risorse, Per assegnare i permessi di accesso alle risorse, si applica la strategia:si applica la strategia:

A A GG DL DL P P

La tecnica La tecnica AA GG DLDL PP prevede di: prevede di:

A A creare user Accountcreare user Account

GG inserire gli user account in Gruppi globali inserire gli user account in Gruppi globali

DLDL inserire i gruppi globali in Domain Local inserire i gruppi globali in Domain Local groupgroup

PP assegnare i permessi per l’accesso alle assegnare i permessi per l’accesso alle risorse, ai singoli gruppi locali al dominiorisorse, ai singoli gruppi locali al dominio

??AGDLPAGDLP

risorsarisorsa

user user

AAccountccount


La strategia La strategia A A GG DL DL P P significa quindi…significa quindi…

File serverFile server

GGlobal lobal groupgroup

PPermissionermission

DDomain omain

LLocal ocal groupgroup

Cartelle Cartelle condivise di condivise di

reterete

Creazione di una directory Creazione di una directory condivisa in una retecondivisa in una rete

Una Una cartella condivisa di retecartella condivisa di rete (shared folder) è una (shared folder) è una directory accessibile agli utenti autenticati, da tutti directory accessibile agli utenti autenticati, da tutti

i computer della rete.i computer della rete.

Cartella Cartella condivisacondivisa


Cartelle Cartelle condivise di condivise di

reterete

Creazione di una cartella Creazione di una cartella condivisa di retecondivisa di rete

Nel file server…Nel file server…

Per default, dopo aver condiviso una Per default, dopo aver condiviso una cartella, tutti gli utenti (gruppo cartella, tutti gli utenti (gruppo EveryoneEveryone) )

possono accedere al suo contenuto in possono accedere al suo contenuto in sola lettura(sola lettura(Full control per window Full control per window

20002000).).AmministratoriAmministratori

Permessi di Permessi di accesso alle accesso alle

cartelle di retecartelle di rete

Protezione delle cartelleProtezione delle cartelledi retedi rete

La sicurezza delle cartelle di rete è regolata dai La sicurezza delle cartelle di rete è regolata dai permessi di condivisionepermessi di condivisione, che sono:, che sono:

PermissionPermission di di condivisionecondivisione

L’utente può compiere le L’utente può compiere le seguenti azioni:seguenti azioni:

completo controllo del completo controllo del contenuto della cartellacontenuto della cartella

leggere, scrivere e cancellare leggere, scrivere e cancellare file, eseguire programmifile, eseguire programmi

leggere file ed eseguire leggere file ed eseguire programmiprogrammi



Protezione delle cartelleProtezione delle cartelledi retedi rete

I permessi di condivisione seguono I permessi di condivisione seguono le regolele regole::1.1. I permessi assegnati alla cartella condivisa, si propagano I permessi assegnati alla cartella condivisa, si propagano

nelle sottodirectory e in tutti i file contenutinelle sottodirectory e in tutti i file contenuti

2.2. Se un utente compare in più gruppi, il permesso di Se un utente compare in più gruppi, il permesso di accesso complessivo è la somma di quelli dei gruppi a accesso complessivo è la somma di quelli dei gruppi a cui appartienecui appartiene

3.3. La regola 2. ha una eccezione: se ad un utente è negato La regola 2. ha una eccezione: se ad un utente è negato un permesso, l’accesso gli sarà sempre negato anche se un permesso, l’accesso gli sarà sempre negato anche se appartiene ad altri gruppi in cui dispone appartiene ad altri gruppi in cui dispone dell’autorizzazionedell’autorizzazione

I permessi possono essere:I permessi possono essere:assegnati assegnati oppure oppure negatinegati

a gruppi o a singoli utenti (non consigliato).a gruppi o a singoli utenti (non consigliato).



Assegnazione dei Assegnazione dei permessipermessi

Nel file server…Nel file server…



Assegnazione dei Assegnazione dei permessipermessi

Con i permessi…Con i permessi…


AmministratoriAmministratori

Tutti gli user del Tutti gli user del GGstudentiGGstudenti

possono solo possono solo leggere/eseguire leggere/eseguire

file.file.

Permessi di Permessi di accesso localiaccesso locali

Protezione di cartelle e Protezione di cartelle e file localifile locali

La sicurezza delle cartelle e dei file locali è La sicurezza delle cartelle e dei file locali è regolata dai regolata dai permessi NTFSpermessi NTFS, che sono:, che sono:

PermissionPermission NTFS NTFS localilocali


completo controllo di file e cartellecompleto controllo di file e cartelle

leggere, scrivere, cancellare ed leggere, scrivere, cancellare ed eseguire programmieseguire programmi

leggere file ed eseguire programmileggere file ed eseguire programmi

creare nuove cartelle/filecreare nuove cartelle/file

leggere file e aprire cartelleleggere file e aprire cartelle

visualizzare i nomi di file e visualizzare i nomi di file e sottocartellesottocartelle


Protezione di cartelle e Protezione di cartelle e file localifile locali

I permessi NTFS seguono I permessi NTFS seguono regole analoghe regole analoghe a quelle delle a quelle delle cartelle di rete con le aggiunte:cartelle di rete con le aggiunte:

se una cartella condivisa ha impostati i permessi sia di se una cartella condivisa ha impostati i permessi sia di condivisione sia NTFS, si applica per l’accesso via rete il condivisione sia NTFS, si applica per l’accesso via rete il permesso più restrittivo tra i due;permesso più restrittivo tra i due;

i permessi NTFS sono applicati solo sulle i permessi NTFS sono applicati solo sulle partizioni/volumi con file system NTFS.partizioni/volumi con file system NTFS.

I permessi NTFS sono I permessi NTFS sono assegnati assegnati oppure oppure negatinegati:: anche a singoli file;anche a singoli file;

a gruppi o a singoli utenti (non consigliato).a gruppi o a singoli utenti (non consigliato).

Accesso remoto Accesso remoto

(via rete)(via rete)


Se l’amministratore ha impostato per Se l’amministratore ha impostato per una cartella entrambe i permessi una cartella entrambe i permessi

locali e remoti…locali e remoti…

Accesso localeAccesso locale


Permessi NTFSPermessi NTFS++

Permessi di condivisionePermessi di condivisione

Permessi NTFSPermessi NTFS


Assegnazione dei Assegnazione dei permessi NTFSpermessi NTFS

Permessi di Permessi di stampastampa

Protezione delle stampanti Protezione delle stampanti di retedi rete

La sicurezza delle stampanti di rete è regolata dai La sicurezza delle stampanti di rete è regolata dai permessi di stampapermessi di stampa, che sono:, che sono:

PermissionPermission di di stampastampa


completo controllo della completo controllo della stampantestampante

possibilità stampare e di gestire la possibilità stampare e di gestire la coda di stampa, con tutti i coda di stampa, con tutti i

documenti contenutidocumenti contenuti

possibilità di stampare e di gestire possibilità di stampare e di gestire esclusivamente il proprio esclusivamente il proprio

documento nella coda di stampadocumento nella coda di stampa

StampanteStampante

Stampa sulla Stampa sulla stampante di retestampante di rete


Applicazione dei permessi di stampa Applicazione dei permessi di stampa ad un Print Server…ad un Print Server…

Print serverPrint server

Periferica di stampaPeriferica di stampa



Assegnazione dei Assegnazione dei permessi di stampapermessi di stampa

Sul print server…Sul print server…

Politiche di Politiche di sicurezzasicurezza

Un GPO permette di definire:Un GPO permette di definire: Le restrizioni di accesso ai computer e quindi la Le restrizioni di accesso ai computer e quindi la

loro sicurezza (user rights)loro sicurezza (user rights) L’ambiente di lavoro dei computer, in L’ambiente di lavoro dei computer, in

particolare, il desktopparticolare, il desktop La gestione centralizzata del software installato La gestione centralizzata del software installato

nel dominio (sia nuove versioni sia nel dominio (sia nuove versioni sia aggiornamenti)aggiornamenti)

L’impostazione di applicazioni e dei servizi, mediante L’impostazione di applicazioni e dei servizi, mediante l’esecuzione di script al log onl’esecuzione di script al log on

Una politica di sicurezza (Una politica di sicurezza (GPOGPO: : Group Policy Group Policy ObjectObject) è un oggetto di Active Directory. ) è un oggetto di Active Directory.

Windows 2003 Server permette di Windows 2003 Server permette di amministrare la sicurezza dei domini amministrare la sicurezza dei domini

impostando impostando politiche di sicurezzapolitiche di sicurezza


Se sono stati definiti più GPO, in un dominio con Se sono stati definiti più GPO, in un dominio con OU, l’ordine di applicazione delle policy è fondato:OU, l’ordine di applicazione delle policy è fondato:

Sulla ereditarietàSulla ereditarietà La gerarchia degli oggetti contenitori in Active La gerarchia degli oggetti contenitori in Active

DirectoryDirectory

I GPO sono oggetti applicati a I GPO sono oggetti applicati a domini e OUdomini e OU

Un GPO può essere applicato a un sito, un dominio Un GPO può essere applicato a un sito, un dominio e una OU. e una OU.

Active Active DirectoryDirectory


Esempi di applicazione delle Esempi di applicazione delle policypolicy

GPO: Policy del dominioGPO: Policy del dominio

GPO: Politiche LAB FisicaGPO: Politiche LAB Fisica

GPO: Politiche DidatticaGPO: Politiche Didattica

GPO: Politiche UfficiGPO: Politiche Uffici

prioritàpriorità

prioritàpriorità

ereditaeredita

ereditaeredita

GPO GPO PredefinitaPredefinita

Strumenti di Amministrazione -> Strumenti di Amministrazione -> gestione utenti e computer- > gestione utenti e computer- > propietà del dominio-> criterio propietà del dominio-> criterio

di gruppodi gruppo

GPO GPO PredefinitaPredefinita

Strumenti di Amministrazione -> Strumenti di Amministrazione -> criterio di protezione del criterio di protezione del

dominiodominioUn Permesso è assegnabile ad utenti e gruppi

Creazione di Creazione di una GPOuna GPO

Per creare una nuova GPO a Per creare una nuova GPO a livello di dominio in Active livello di dominio in Active

Directory…Directory…

continua…continua…

Una GPO si assegna a tutto il dominio o a una UO

http://technet.microsoft.com/it-it/library/http://technet.microsoft.com/it-it/library/cc163076.aspxcc163076.aspx

Creazione di Creazione di una GPOuna GPO

Per creare una nuova GPO a Per creare una nuova GPO a livello di dominio in Active livello di dominio in Active

Directory…Directory…

Policy dei Policy dei computercomputer

Policy degli Policy degli utentiutenti

Ad esempio, impostiamo le user rightsAd esempio, impostiamo le user rights

Creazione Creazione di una GPOdi una GPO

Impostiamo una GPO, a livello Impostiamo una GPO, a livello di una OU, per di una OU, per bloccare i bloccare i desktopdesktop dei computer… dei computer…


Impostiamo una GPO, per Impostiamo una GPO, per installare automaticamente un installare automaticamente un

swsw1. Identificare l’unità Organizzativa e la GPO da modificare2. Creare il pacchetto di distribuzione: in una cartella condivisa,

con accesso in Lettura per Everyone copiare i file msi di installazione

3. alternativamente (Configurazione Utente ovvero Computer)•Assegnare il sw agli utenti: L'applicazione e indipendentemente dal computer fisico utilizzato viene installata la prima volta che l'utente la attiva •Assegnare il sw al computer: l'installazione viene eseguita in genere, all'avvio del computer, quando non vi sono altri processi in corso

4. Selezioanre nuovo pacchetto. 5. Dalla scheda Protezione impostare i gruppi

e gli utenti a cui assegnare la Group Policy o (Per default la Group policy è assegnata agli utenti autenticati, ma non ai Domain Admins)


Le politiche di restizione Le politiche di restizione softwaresoftware

I criteri di restrizione software consentono agli amministratori di identificare il software e di controllarne la possibilità di esecuzione sul computer locale

sono costituiti da due parti:1.Una regola predefinita in base alla quale è possibile eseguire i programmi: Senza restrizioni e Non consentito2.Un inventario di eccezioni alla regola predefinita

Per creare una regola, è necessario individuare le applicazioni• Regola hash. Viene utilizzata un'impronta digitale crittografica del file

eseguibile.• Regola certificato. Viene utilizzato un certificato con firma digitale di un

autore di software per il file .exe.• Regola di percorso. Viene utilizzato il percorso UNC (Universal Naming

Convention) locale o del Registro di sistema della posizione del file .exe.• Regola area. Viene utilizzata l'area Internet da cui ha avuto origine il file

eseguibile (se scaricato mediante Microsoft Internet Explorer).

GPO le regole per le restrizioni swGPO le regole per le restrizioni swOperazione Regola consigliata

Consentire o non consentire una versione di programma specifica.

Regola hashIndividuare il file per creare una regola hash.

Identificare un programma installato sempre nella stessa posizione.

Regola di percorso con variabili di ambiente%ProgramFiles%\Internet Explorer\iexplore.exe

Identificare un programma che può essere installato in qualunque posizione nei computer client.

Registry path rule %HKEY_LOCAL_MACHINE\SOFTWARE\ ComputerAssociates\InoculateIT\6.0\Path\HOME%

Identificare un set di script in un gruppo di server. Ad esempio, DC01, DC02 e DC03.

Regola di percorso con carattere jolly\\DC??\Share

Non consentire l'esecuzione dei file .vbs a meno che non siano inclusi nella directory dello script di accesso.

Regola di percorso con carattere jolly*.VBS impostato su Non consentito\\LOGIN_SRV\Share\*.VBS impostato su Senza restrizioni

Non consentire l'esecuzione dei file installati da un virus denominato sempre Flcss.exe.

Regola di percorsoFlcss.exe impostato su Non consentito

Identificare un set di script che possa essere eseguito in qualunque posizione.

Regola certificatoUtilizzare un certificato per firmare gli script digitalmente.

Consentire l'installazione del software da siti attendibili dell'area Internet.

Regola areaImpostare Siti attendibili su Senza restrizioni.

Gpo: limitare accesso ad Gpo: limitare accesso ad alcuni sitialcuni siti tramite le Group Policy non e tramite le Group Policy non e

possibile consentire ad alcuni pcpossibile consentire ad alcuni pcdella rete l'accesso solo a della rete l'accesso solo a eterminati siti internet.eterminati siti internet.

Serve Serve isa server isa server o un software Proxy gratuito come o un software Proxy gratuito come

CCProxyCCProxy O delle regole sul routerO delle regole sul router

Blocco Blocco dell’ereditarietdell’ereditariet

à delle GPOà delle GPO

In Active Directory, per In Active Directory, per modificare l’ereditarietà delle modificare l’ereditarietà delle

policy nelle OU…policy nelle OU…

continua…continua…

Blocco Blocco dell’ereditarietà dell’ereditarietà

delle GPOdelle GPO

Con le impostazioni Con le impostazioni precedenti, otteniamo…precedenti, otteniamo…

GPO: Policy del dominioGPO: Policy del dominio

GPO: Politiche LAB FisicaGPO: Politiche LAB Fisica

GPO: Politiche DidatticaGPO: Politiche Didattica

GPO: Politiche UfficiGPO: Politiche Uffici

prioritàpriorità

Nuova policyNuova policy

ereditaeredita

Sicurezza e Policy in Active Directory

Documents

Transcript of Sicurezza e Policy in Active Directory