Sicurezza E Policy

Sicurezza e Policy Sicurezza e Policy in in

Active DirectoryActive Directory

SommarioSommario Amministrazione della sicurezza in Amministrazione della sicurezza in

una rete Windows 2000una rete Windows 2000 Gestione dei permessi di accesso Gestione dei permessi di accesso

alle cartelle di retealle cartelle di rete Amministrazione della sicurezza Amministrazione della sicurezza

localelocale Autorizzazioni per la stampaAutorizzazioni per la stampa Le policy: politiche di sicurezza in Le policy: politiche di sicurezza in

un dominioun dominio

Gestione della Gestione della sicurezzasicurezza

Windows 2000 permette di definire dei Windows 2000 permette di definire dei meccanismi di protezione per le meccanismi di protezione per le

risorse della reterisorse della rete I principali meccanismi di sicurezza sono:I principali meccanismi di sicurezza sono:

Le Le PermissionPermission per l’accesso per l’accesso alle cartelle di retealle cartelle di rete condivisecondivise

Le Le PermissionPermission per l’accesso per l’accesso a file e cartelle a file e cartelle localilocali

Le Le politiche di sicurezza del dominiopolitiche di sicurezza del dominio: GPO : GPO (Group Policy Object) (Group Policy Object)

Tutte le impostazioni relative Tutte le impostazioni relative alla sicurezza sono registrate in alla sicurezza sono registrate in

Active Directory dei Domain Active Directory dei Domain ControllerController

AmministratoriAmministratori


Tecniche di impostazione della Tecniche di impostazione della sicurezzasicurezza

Per assegnare i permessi di accesso alle risorse, Per assegnare i permessi di accesso alle risorse, si applica la strategia:si applica la strategia:

A A GG DL DL P P

La tecnica La tecnica AA GG DLDL PP prevede di: prevede di: A A creare user Accountcreare user Account

GG inserire gli user account in Gruppi globali inserire gli user account in Gruppi globaliDLDL inserire i gruppi globali in Domain Local inserire i gruppi globali in Domain Local

groupgroupPP assegnare i permessi per l’accesso alle assegnare i permessi per l’accesso alle

risorse, ai singoli gruppi locali al dominiorisorse, ai singoli gruppi locali al dominio

??AGDLPAGDLP

risorsarisorsa

user user AAccountccount


La strategia La strategia A A GG DL DL P P significa quindi…significa quindi…

File serverFile server

GGlobal lobal groupgroup

PPermissionermission

DDomain omain LLocal ocal groupgroup

Cartelle Cartelle condivise di condivise di

reterete

Creazione di una directory Creazione di una directory condivisa in una retecondivisa in una rete

Una Una cartella condivisa di retecartella condivisa di rete (shared folder) è una (shared folder) è una directory accessibile agli utenti autenticati, da tutti directory accessibile agli utenti autenticati, da tutti

i computer della rete.i computer della rete.

Cartella Cartella condivisacondivisa


Cartelle Cartelle condivise di condivise di

retereteCreazione di una cartella Creazione di una cartella

condivisa di retecondivisa di reteNel file server…Nel file server…

Per default, dopo aver condiviso una Per default, dopo aver condiviso una cartella, tutti gli utenti (gruppo cartella, tutti gli utenti (gruppo EveryoneEveryone) )

possono accedere al suo contenuto possono accedere al suo contenuto senza limitazioni (senza limitazioni (Full controlFull control).).


Permessi di Permessi di accesso alle accesso alle

cartelle di retecartelle di reteProtezione delle cartelleProtezione delle cartelle

di retedi rete La sicurezza delle cartelle di rete è regolata dai La sicurezza delle cartelle di rete è regolata dai

permessi di condivisionepermessi di condivisione, che sono:, che sono:PermissionPermission di di condivisionecondivisione

L’utente può compiere le L’utente può compiere le seguenti azioni:seguenti azioni:

completo controllo del completo controllo del contenuto della cartellacontenuto della cartella

leggere, scrivere e cancellare leggere, scrivere e cancellare file, eseguire programmifile, eseguire programmi

leggere file ed eseguire leggere file ed eseguire programmiprogrammi


cartelle di retecartelle di reteProtezione delle cartelleProtezione delle cartelle

di retedi rete

I permessi di condivisione seguono I permessi di condivisione seguono le regolele regole::1.1. I permessi assegnati alla cartella condivisa, si propagano I permessi assegnati alla cartella condivisa, si propagano

nelle sottodirectory e in tutti i file contenutinelle sottodirectory e in tutti i file contenuti2.2. Se un utente compare in più gruppi, il permesso di Se un utente compare in più gruppi, il permesso di accesso complessivo è la somma di quelli dei gruppi a accesso complessivo è la somma di quelli dei gruppi a

cui appartienecui appartiene3.3. La regola 2. ha una eccezione: se ad un utente è negato La regola 2. ha una eccezione: se ad un utente è negato

un permesso, l’accesso gli sarà sempre negato anche se un permesso, l’accesso gli sarà sempre negato anche se appartiene ad altri gruppi in cui dispone appartiene ad altri gruppi in cui dispone

dell’autorizzazionedell’autorizzazione

I permessi possono essere:I permessi possono essere:assegnati assegnati oppure oppure negatinegati

a gruppi o a singoli utenti (non consigliato).a gruppi o a singoli utenti (non consigliato).


cartelle di retecartelle di reteAssegnazione dei Assegnazione dei

permessipermessiNel file server…Nel file server…


cartelle di retecartelle di reteAssegnazione dei Assegnazione dei

permessipermessiCon i permessi…Con i permessi…



Tutti gli user del Tutti gli user del GGstudentiGGstudenti

possono solo possono solo leggere/eseguire leggere/eseguire

file.file.

Permessi di Permessi di accesso localiaccesso locali Protezione di cartelle e Protezione di cartelle e

file localifile locali La sicurezza delle cartelle e dei file locali è La sicurezza delle cartelle e dei file locali è

regolata dai regolata dai permessi NTFSpermessi NTFS, che sono:, che sono:

PermissionPermission NTFS NTFS localilocali

L’utente può compiere le L’utente può compiere le seguenti azioni:seguenti azioni:

completo controllo di file e cartellecompleto controllo di file e cartelleleggere, scrivere, cancellare ed leggere, scrivere, cancellare ed

eseguire programmieseguire programmileggere file ed eseguire programmileggere file ed eseguire programmi

creare nuove cartelle/filecreare nuove cartelle/fileleggere file e aprire cartelleleggere file e aprire cartellevisualizzare i nomi di file e visualizzare i nomi di file e

sottocartellesottocartelle

Permessi di Permessi di accesso localiaccesso locali Protezione di cartelle e Protezione di cartelle e

file localifile locali

I permessi NTFS seguono I permessi NTFS seguono regole analoghe regole analoghe a quelle delle a quelle delle cartelle di rete con le aggiunte:cartelle di rete con le aggiunte:

se una cartella condivisa ha impostati i permessi sia di se una cartella condivisa ha impostati i permessi sia di condivisione sia NTFS, si applica per l’accesso via rete il condivisione sia NTFS, si applica per l’accesso via rete il

permesso più restrittivo tra i due;permesso più restrittivo tra i due; i permessi NTFS sono applicati solo sulle i permessi NTFS sono applicati solo sulle

partizioni/volumi con file system NTFS.partizioni/volumi con file system NTFS.

I permessi NTFS sono I permessi NTFS sono assegnati assegnati oppure oppure negatinegati:: anche a singoli file;anche a singoli file;

a gruppi o a singoli utenti (non consigliato).a gruppi o a singoli utenti (non consigliato).

Accesso remoto Accesso remoto

(via rete)(via rete)

Permessi di Permessi di accesso localiaccesso locali

Se l’amministratore ha impostato per Se l’amministratore ha impostato per una cartella entrambe i permessi una cartella entrambe i permessi

locali e remoti…locali e remoti…

Accesso localeAccesso locale


Permessi NTFSPermessi NTFS++

Permessi di condivisionePermessi di condivisione

Permessi NTFSPermessi NTFS

Permessi di Permessi di accesso localiaccesso locali Assegnazione dei Assegnazione dei

permessi NTFSpermessi NTFS

Permessi di Permessi di stampastampa Protezione delle stampanti Protezione delle stampanti

di retedi rete La sicurezza delle stampanti di rete è regolata dai La sicurezza delle stampanti di rete è regolata dai

permessi di stampapermessi di stampa, che sono:, che sono:PermissionPermission di di

stampastampaL’utente può compiere le L’utente può compiere le

seguenti azioni:seguenti azioni:

completo controllo della completo controllo della stampantestampante

possibilità stampare e di gestire la possibilità stampare e di gestire la coda di stampa, con tutti i coda di stampa, con tutti i

documenti contenutidocumenti contenutipossibilità di stampare e di gestire possibilità di stampare e di gestire

esclusivamente il proprio esclusivamente il proprio documento nella coda di stampadocumento nella coda di stampa

StampanteStampante

Stampa sulla Stampa sulla stampante di retestampante di rete

Permessi di Permessi di stampastampa

Applicazione dei permessi di stampa Applicazione dei permessi di stampa ad un Print Server…ad un Print Server…

Print serverPrint server

Periferica di stampaPeriferica di stampa

Permessi di Permessi di stampastampa

Permessi di Permessi di stampastampa Assegnazione dei Assegnazione dei

permessi di stampapermessi di stampaSul print server…Sul print server…

Politiche di Politiche di sicurezzasicurezza

Un GPO permette di definire:Un GPO permette di definire: L’ambiente di lavoro dei computer, in L’ambiente di lavoro dei computer, in

particolare, il desktopparticolare, il desktop L’impostazione di applicazioni e dei servizi, L’impostazione di applicazioni e dei servizi,

mediante l’esecuzione di script al log onmediante l’esecuzione di script al log on Le restrizioni di accesso ai computer e quindi la Le restrizioni di accesso ai computer e quindi la

loro sicurezza (user rights)loro sicurezza (user rights) La gestione centralizzata del software installato La gestione centralizzata del software installato

nel dominio (sia nuove versioni sia nel dominio (sia nuove versioni sia aggiornamenti)aggiornamenti)

Una politica di sicurezza (Una politica di sicurezza (GPOGPO: : Group Policy Group Policy ObjectObject) è un oggetto di Active Directory. ) è un oggetto di Active Directory.

Windows 2000 Server permette di Windows 2000 Server permette di amministrare la sicurezza dei domini amministrare la sicurezza dei domini

impostando impostando politiche di sicurezzapolitiche di sicurezza


Se sono stati definiti più GPO, in un dominio con Se sono stati definiti più GPO, in un dominio con OU, l’ordine di applicazione delle policy è fondato:OU, l’ordine di applicazione delle policy è fondato:

Sulla ereditarietàSulla ereditarietà La gerarchia degli oggetti contenitori in Active La gerarchia degli oggetti contenitori in Active

DirectoryDirectory

I GPO sono oggetti applicati a I GPO sono oggetti applicati a domini e OUdomini e OU

Un GPO può essere applicato a un sito, un dominio Un GPO può essere applicato a un sito, un dominio e una OU. e una OU.

Active Active DirectoryDirectory


Esempi di applicazione delle Esempi di applicazione delle policypolicy

GPO: Policy del dominioGPO: Policy del dominio

GPO: Politiche LAB FisicaGPO: Politiche LAB Fisica

GPO: Politiche DidatticaGPO: Politiche Didattica

GPO: Politiche UfficiGPO: Politiche Uffici

prioritàpriorità

prioritàpriorità

ereditaeredita

ereditaeredita

Creazione di Creazione di una GPOuna GPO

Per creare una nuova GPO a Per creare una nuova GPO a livello di dominio in Active livello di dominio in Active

Directory…Directory…

continua…continua…

Creazione di Creazione di una GPOuna GPO

Per creare una nuova GPO a Per creare una nuova GPO a livello di dominio in Active livello di dominio in Active

Directory…Directory…

Policy dei Policy dei computercomputer

Policy degli Policy degli utentiutenti

Ad esempio, impostiamo le user rightsAd esempio, impostiamo le user rights

Creazione Creazione di una GPOdi una GPO

Impostiamo una GPO, a livello Impostiamo una GPO, a livello di una OU, per di una OU, per bloccare i bloccare i desktopdesktop dei computer… dei computer…

Ordine di Ordine di applicazione applicazione

GPOGPO

L’ordine di applicazione delle L’ordine di applicazione delle policy può essere modificatopolicy può essere modificato

L’ereditarietà di una GPOL’ereditarietà di una GPO (dal dominio nelle sue (dal dominio nelle sue OU) può essere modificata impostando:OU) può essere modificata impostando:

Non sovrascrivereNon sovrascrivere (No Override): blocca la (No Override): blocca la sovrascrittura delle politiche comuni (dominio-sovrascrittura delle politiche comuni (dominio-

OU) nelle OU figlieOU) nelle OU figlie Blocca ereditarietàBlocca ereditarietà (Block Inheritance): blocca (Block Inheritance): blocca

la propagazione delle policy nelle OU figlie, la propagazione delle policy nelle OU figlie, permettendo di creare politiche diverse da quelle permettendo di creare politiche diverse da quelle

del dominio nelle OUdel dominio nelle OU

Active Active DirectoryDirectory

Blocco Blocco dell’ereditarietdell’ereditariet

à delle GPOà delle GPO

In Active Directory, per In Active Directory, per modificare l’ereditarietà delle modificare l’ereditarietà delle

policy nelle OU…policy nelle OU…

continua…continua…

Blocco Blocco dell’ereditarietà dell’ereditarietà

delle GPOdelle GPOCon le impostazioni Con le impostazioni

precedenti, otteniamo…precedenti, otteniamo…GPO: Policy del dominioGPO: Policy del dominio

GPO: Politiche LAB FisicaGPO: Politiche LAB Fisica

GPO: Politiche DidatticaGPO: Politiche Didattica

GPO: Politiche UfficiGPO: Politiche Uffici

prioritàpriorità

Nuova policyNuova policy

ereditaeredita

Sicurezza E Policy

Technology

Transcript of Sicurezza E Policy