Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows...

Sicurezza e Policy Sicurezza e Policy in in

Active DirectoryActive Directory

SommarioSommario Amministrazione della sicurezza in Amministrazione della sicurezza in

una rete Windows 2003una rete Windows 2003 Gestione dei permessi di accesso Gestione dei permessi di accesso

alle cartelle di retealle cartelle di rete Amministrazione della sicurezza Amministrazione della sicurezza

localelocale Autorizzazioni per la stampaAutorizzazioni per la stampa Le policy: politiche di sicurezza in Le policy: politiche di sicurezza in

un dominioun dominio

Gestione della Gestione della sicurezzasicurezza

Windows 2003 permette di definire dei Windows 2003 permette di definire dei meccanismi di protezione per le meccanismi di protezione per le

risorse della reterisorse della rete

I principali meccanismi di sicurezza sono:I principali meccanismi di sicurezza sono: Le Le PermissionPermission per l’accesso per l’accesso alle cartelle di retealle cartelle di rete condivisecondivise Le Le PermissionPermission per l’accesso per l’accesso a file e cartelle a file e cartelle localilocali Le Le politiche di sicurezza del dominiopolitiche di sicurezza del dominio: GPO : GPO (Group Policy Object) (Group Policy Object)

Tutte le impostazioni relative Tutte le impostazioni relative alla sicurezza sono registrate in alla sicurezza sono registrate in

Active Directory dei Domain Active Directory dei Domain ControllerController

AmministratoriAmministratori


Tecniche di impostazione della Tecniche di impostazione della sicurezzasicurezza

Per assegnare i permessi di accesso alle risorse, Per assegnare i permessi di accesso alle risorse, si applica la strategia:si applica la strategia:

A A GG DL DL P P

La tecnica La tecnica AA GG DLDL PP prevede di: prevede di:

A A creare user Accountcreare user Account

GG inserire gli user account in Gruppi globali inserire gli user account in Gruppi globali

DLDL inserire i gruppi globali in Domain Local inserire i gruppi globali in Domain Local groupgroup

PP assegnare i permessi per l’accesso alle assegnare i permessi per l’accesso alle risorse, ai singoli gruppi locali al dominiorisorse, ai singoli gruppi locali al dominio

??AGDLPAGDLP

risorsarisorsa

user user

AAccountccount


La strategia La strategia A A GG DL DL P P significa quindi…significa quindi…

File serverFile server

GGlobal lobal groupgroup

PPermissionermission

DDomain omain

LLocal ocal groupgroup

Cartelle Cartelle condivise di condivise di

reterete

Creazione di una directory Creazione di una directory condivisa in una retecondivisa in una rete

Una Una cartella condivisa di retecartella condivisa di rete (shared folder) è una (shared folder) è una directory accessibile agli utenti autenticati, da tutti directory accessibile agli utenti autenticati, da tutti

i computer della rete.i computer della rete.

Cartella Cartella condivisacondivisa


Cartelle Cartelle condivise di condivise di

reterete

Creazione di una cartella Creazione di una cartella condivisa di retecondivisa di rete

Nel file server…Nel file server…

Per default, dopo aver condiviso una Per default, dopo aver condiviso una cartella, tutti gli utenti (gruppo cartella, tutti gli utenti (gruppo EveryoneEveryone) )

possono accedere al suo contenuto possono accedere al suo contenuto senza limitazioni (senza limitazioni (Full controlFull control).).


Permessi di Permessi di accesso alle accesso alle

cartelle di retecartelle di rete

Protezione delle cartelleProtezione delle cartelledi retedi rete

La sicurezza delle cartelle di rete è regolata dai La sicurezza delle cartelle di rete è regolata dai permessi di condivisionepermessi di condivisione, che sono:, che sono:

PermissionPermission di di condivisionecondivisione

L’utente può compiere le L’utente può compiere le seguenti azioni:seguenti azioni:

completo controllo del completo controllo del contenuto della cartellacontenuto della cartella

leggere, scrivere e cancellare leggere, scrivere e cancellare file, eseguire programmifile, eseguire programmi

leggere file ed eseguire leggere file ed eseguire programmiprogrammi



Protezione delle cartelleProtezione delle cartelledi retedi rete

I permessi di condivisione seguono I permessi di condivisione seguono le regolele regole::1.1. I permessi assegnati alla cartella condivisa, si propagano I permessi assegnati alla cartella condivisa, si propagano

nelle sottodirectory e in tutti i file contenutinelle sottodirectory e in tutti i file contenuti

2.2. Se un utente compare in più gruppi, il permesso di Se un utente compare in più gruppi, il permesso di accesso complessivo è la somma di quelli dei gruppi a accesso complessivo è la somma di quelli dei gruppi a cui appartienecui appartiene

3.3. La regola 2. ha una eccezione: se ad un utente è negato La regola 2. ha una eccezione: se ad un utente è negato un permesso, l’accesso gli sarà sempre negato anche se un permesso, l’accesso gli sarà sempre negato anche se appartiene ad altri gruppi in cui dispone appartiene ad altri gruppi in cui dispone dell’autorizzazionedell’autorizzazione

I permessi possono essere:I permessi possono essere:assegnati assegnati oppure oppure negatinegati

a gruppi o a singoli utenti (non consigliato).a gruppi o a singoli utenti (non consigliato).



Assegnazione dei Assegnazione dei permessipermessi

Nel file server…Nel file server…



Assegnazione dei Assegnazione dei permessipermessi

Con i permessi…Con i permessi…



Tutti gli user del Tutti gli user del GGstudentiGGstudenti

possono solo possono solo leggere/eseguire leggere/eseguire

file.file.

Permessi di Permessi di accesso localiaccesso locali

Protezione di cartelle e Protezione di cartelle e file localifile locali

La sicurezza delle cartelle e dei file locali è La sicurezza delle cartelle e dei file locali è regolata dai regolata dai permessi NTFSpermessi NTFS, che sono:, che sono:

PermissionPermission NTFS NTFS localilocali


completo controllo di file e cartellecompleto controllo di file e cartelle

leggere, scrivere, cancellare ed leggere, scrivere, cancellare ed eseguire programmieseguire programmi

leggere file ed eseguire programmileggere file ed eseguire programmi

creare nuove cartelle/filecreare nuove cartelle/file

leggere file e aprire cartelleleggere file e aprire cartelle

visualizzare i nomi di file e visualizzare i nomi di file e sottocartellesottocartelle


Protezione di cartelle e Protezione di cartelle e file localifile locali

I permessi NTFS seguono I permessi NTFS seguono regole analoghe regole analoghe a quelle delle a quelle delle cartelle di rete con le aggiunte:cartelle di rete con le aggiunte:

se una cartella condivisa ha impostati i permessi sia di se una cartella condivisa ha impostati i permessi sia di condivisione sia NTFS, si applica per l’accesso via rete il condivisione sia NTFS, si applica per l’accesso via rete il permesso più restrittivo tra i due;permesso più restrittivo tra i due;

i permessi NTFS sono applicati solo sulle i permessi NTFS sono applicati solo sulle partizioni/volumi con file system NTFS.partizioni/volumi con file system NTFS.

I permessi NTFS sono I permessi NTFS sono assegnati assegnati oppure oppure negatinegati:: anche a singoli file;anche a singoli file;

a gruppi o a singoli utenti (non consigliato).a gruppi o a singoli utenti (non consigliato).

Accesso remoto Accesso remoto

(via rete)(via rete)


Se l’amministratore ha impostato per Se l’amministratore ha impostato per una cartella entrambe i permessi una cartella entrambe i permessi

locali e remoti…locali e remoti…

Accesso localeAccesso locale


Permessi NTFSPermessi NTFS++

Permessi di condivisionePermessi di condivisione

Permessi NTFSPermessi NTFS


Assegnazione dei Assegnazione dei permessi NTFSpermessi NTFS

Permessi di Permessi di stampastampa

Protezione delle stampanti Protezione delle stampanti di retedi rete

La sicurezza delle stampanti di rete è regolata dai La sicurezza delle stampanti di rete è regolata dai permessi di stampapermessi di stampa, che sono:, che sono:

PermissionPermission di di stampastampa


completo controllo della completo controllo della stampantestampante

possibilità stampare e di gestire la possibilità stampare e di gestire la coda di stampa, con tutti i coda di stampa, con tutti i

documenti contenutidocumenti contenuti

possibilità di stampare e di gestire possibilità di stampare e di gestire esclusivamente il proprio esclusivamente il proprio

documento nella coda di stampadocumento nella coda di stampa

StampanteStampante

Stampa sulla Stampa sulla stampante di retestampante di rete


Applicazione dei permessi di stampa Applicazione dei permessi di stampa ad un Print Server…ad un Print Server…

Print serverPrint server

Periferica di stampaPeriferica di stampa



Assegnazione dei Assegnazione dei permessi di stampapermessi di stampa

Sul print server…Sul print server…

Politiche di Politiche di sicurezzasicurezza

Un GPO permette di definire:Un GPO permette di definire: L’ambiente di lavoro dei computer, in L’ambiente di lavoro dei computer, in

particolare, il desktopparticolare, il desktop L’impostazione di applicazioni e dei servizi, L’impostazione di applicazioni e dei servizi,

mediante l’esecuzione di script al log onmediante l’esecuzione di script al log on Le restrizioni di accesso ai computer e quindi la Le restrizioni di accesso ai computer e quindi la

loro sicurezza (user rights)loro sicurezza (user rights) La gestione centralizzata del software installato La gestione centralizzata del software installato

nel dominio (sia nuove versioni sia nel dominio (sia nuove versioni sia aggiornamenti)aggiornamenti)

Una politica di sicurezza (Una politica di sicurezza (GPOGPO: : Group Policy Group Policy ObjectObject) è un oggetto di Active Directory. ) è un oggetto di Active Directory.

Windows 2000 Server permette di Windows 2000 Server permette di amministrare la sicurezza dei domini amministrare la sicurezza dei domini

impostando impostando politiche di sicurezzapolitiche di sicurezza


Se sono stati definiti più GPO, in un dominio con Se sono stati definiti più GPO, in un dominio con OU, l’ordine di applicazione delle policy è fondato:OU, l’ordine di applicazione delle policy è fondato:

Sulla ereditarietàSulla ereditarietà La gerarchia degli oggetti contenitori in Active La gerarchia degli oggetti contenitori in Active

DirectoryDirectory

I GPO sono oggetti applicati a I GPO sono oggetti applicati a domini e OUdomini e OU

Un GPO può essere applicato a un sito, un dominio Un GPO può essere applicato a un sito, un dominio e una OU. e una OU.

Active Active DirectoryDirectory


Esempi di applicazione delle Esempi di applicazione delle policypolicy

GPO: Policy del dominioGPO: Policy del dominio

GPO: Politiche LAB FisicaGPO: Politiche LAB Fisica

GPO: Politiche DidatticaGPO: Politiche Didattica

GPO: Politiche UfficiGPO: Politiche Uffici

prioritàpriorità

prioritàpriorità

ereditaeredita

ereditaeredita

Creazione di Creazione di una GPOuna GPO

Per creare una nuova GPO a Per creare una nuova GPO a livello di dominio in Active livello di dominio in Active

Directory…Directory…

continua…continua…

Creazione di Creazione di una GPOuna GPO

Per creare una nuova GPO a Per creare una nuova GPO a livello di dominio in Active livello di dominio in Active

Directory…Directory…

Policy dei Policy dei computercomputer

Policy degli Policy degli utentiutenti

Ad esempio, impostiamo le user rightsAd esempio, impostiamo le user rights

Creazione Creazione di una GPOdi una GPO

Impostiamo una GPO, a livello Impostiamo una GPO, a livello di una OU, per di una OU, per bloccare i bloccare i desktopdesktop dei computer… dei computer…

Ordine di Ordine di applicazione applicazione

GPOGPO

L’ordine di applicazione delle L’ordine di applicazione delle policy può essere modificatopolicy può essere modificato

L’ereditarietà di una GPOL’ereditarietà di una GPO (dal dominio nelle sue (dal dominio nelle sue OU) può essere modificata impostando:OU) può essere modificata impostando:

Non sovrascrivereNon sovrascrivere (No Override): blocca la (No Override): blocca la sovrascrittura delle politiche comuni (dominio-sovrascrittura delle politiche comuni (dominio-

OU) nelle OU figlieOU) nelle OU figlie Blocca ereditarietàBlocca ereditarietà (Block Inheritance): blocca (Block Inheritance): blocca

la propagazione delle policy nelle OU figlie, la propagazione delle policy nelle OU figlie, permettendo di creare politiche diverse da quelle permettendo di creare politiche diverse da quelle

del dominio nelle OUdel dominio nelle OU

Active Active DirectoryDirectory

Blocco Blocco dell’ereditarietdell’ereditariet

à delle GPOà delle GPO

In Active Directory, per In Active Directory, per modificare l’ereditarietà delle modificare l’ereditarietà delle

policy nelle OU…policy nelle OU…

continua…continua…

Blocco Blocco dell’ereditarietà dell’ereditarietà

delle GPOdelle GPO

Con le impostazioni Con le impostazioni precedenti, otteniamo…precedenti, otteniamo…

GPO: Policy del dominioGPO: Policy del dominio

GPO: Politiche LAB FisicaGPO: Politiche LAB Fisica

GPO: Politiche DidatticaGPO: Politiche Didattica

GPO: Politiche UfficiGPO: Politiche Uffici

prioritàpriorità

Nuova policyNuova policy

ereditaeredita

Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows...

Documents

Transcript of Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows...