Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
1 Introduzione ai calcolatori Parte II Software di base.
Modulo 1 – Ambiente di lavoro Windows 7
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
La riduzione dei privilegi in Windows
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory
Microsoft Education Academic Licensing Annalisa Guerriero.
Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Ogni PC, per iniziare a lavorare, ha bisogno di un sistema operativo. Infatti questo è il primo programma che viene eseguito e che permette all'utente.
Sicurezza e Policy in Active Directory
Installazione di Active Directory
DNS.
Introduzione ad Active Directory
Organizzazione di una rete Windows 2003
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
Installazione di Active Directory
Active Directory.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Progettazione, gestione e spunti di riflessione I seguenti documenti ti aiuteranno a capire come realizzare il progetto: Analisi e Sviluppo : descrizione.
Windows 2000 supporta i seguenti file system:
SEVER RAS.
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006 SUS - WSUS per il Security Patch Management.
Uso di openafs Come usare il tool openafs per accedere e gestire i propri files sotto AFS.
File System NTFS 5.0 Disco: unità fisica di memorizzazione
09/01/041Security Sicurezza del sistema di rete Non è necessaria per il funzionamento della rete, ma è auspicabile per semplificarne la gestione. Consente.
Software di base Il sistema operativo è un insieme di programmi che opera sul livello macchina e offre funzionalità di alto livello Es.organizzazione dei.
Posta elettronica : per iniziare : per iniziare Primi passi con la posta elettronica Primi passi con la posta elettronica
SOFTWARE I componenti fisici del calcolatore (unità centrale e periferiche) costituiscono il cosiddetto Hardware (alla lettera, ferramenta). La struttura.
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Distributed File System Service Dario Agostinone.
Microsoft Windows Installazione, gestione ed utilizzo delle risorse Microsoft nella sezione INFN di BOLOGNA.
Ing. Enrico Lecchini BetaTre S.r.l.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
"Non-Admin" Developing "Non-Admin" Developing Fabio Santini.NET Senior Developer Evangelist Microsoft Italy.
Guida IIS 6 A cura di Nicola Del Re.
GESTIONE GRANULARE DEGLI ACCESSI FINESTRE DI DETTAGLIO INTERSCAMBIO DEI DATI CON LARCHIVIO DI ALTRE PROCEDURE GESTIONE VERSAMENTI MANCATI TABELLIZZAZIONE.
SERVIZIO EDI – Primo Accesso
Terminal Services. Sommario Introduzione al Terminal Services Introduzione al Terminal Services Funzioni di un Terminal Server in una rete Windows 2000.
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Un problema importante
SIBA Days 2009 – III Edizione Il Servizio di accesso remoto alle risorse informative elettroniche Domenico Lucarella Coordinamento SIBA Università del.
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
© 2012 Giorgio Porcu – Aggiornamennto 29/01/2012 C OLLABORAZIONE Excel Avanzato.
Active Directory e Gestione Utenti di Valerio Di Bacco.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Esempio di un volume RAID-5
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Certificati e VPN.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Sistemi operativi di rete Ing. A. Stile – Ing. L. Marchesano – 1/18.
CORSO INTERNET la Posta elettronica
I Sistemi Operativi. Che cosa sono? Il sistema operativo è un software di base che fa funzionare il computer. I Sistemi operativi più importanti sono:
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
Prof. Giuseppe Mastronardi 1 SAM Security Account Manager debolezze ed hardening di Windows XP POLITECNICO DI BARI Sicurezza dei Sistemi Informatici.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Sicurezza e Policy in Active Directory

Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete Windows 2003 Gestione dei permessi di accesso alle cartelle di rete Gestione dei permessi di accesso alle cartelle di rete Amministrazione della sicurezza locale Amministrazione della sicurezza locale Autorizzazioni per la stampa Autorizzazioni per la stampa Le policy: politiche di sicurezza in un dominio Le policy: politiche di sicurezza in un dominio

Gestione della sicurezza Windows 2003 permette di definire dei meccanismi di protezione per le risorse della rete I principali meccanismi di sicurezza sono: I principali meccanismi di sicurezza sono: Le Permission per laccesso alle cartelle di rete condivise Le Permission per laccesso alle cartelle di rete condivise Le Permission per laccesso a file e cartelle locali Le Permission per laccesso a file e cartelle locali Le politiche di sicurezza del dominio: GPO (Group Policy Object) Le politiche di sicurezza del dominio: GPO (Group Policy Object) Tutte le impostazioni relative alla sicurezza sono registrate in Active Directory dei Domain Controller Amministratori

Gestione della sicurezza Tecniche di impostazione della sicurezza Per assegnare i permessi di accesso alle risorse, si applica la strategia: Per assegnare i permessi di accesso alle risorse, si applica la strategia: A G DL P La tecnica A G DL P prevede di: La tecnica A G DL P prevede di: A creare user Account G inserire gli user account in Gruppi globali DL inserire i gruppi globali in Domain Local group P assegnare i permessi per laccesso alle risorse, ai singoli gruppi locali al dominio ? AGDLP

risorsa user A ccount Gestione della sicurezza La strategia A G DL P significa quindi… File server G lobal group P ermission D omain L ocal group

Cartelle condivise di rete Creazione di una directory condivisa in una rete Una cartella condivisa di rete (shared folder) è una directory accessibile agli utenti autenticati, da tutti i computer della rete. Una cartella condivisa di rete (shared folder) è una directory accessibile agli utenti autenticati, da tutti i computer della rete. Cartella condivisa File server

Cartelle condivise di rete Creazione di una cartella condivisa di rete Nel file server… Per default, dopo aver condiviso una cartella, tutti gli utenti (gruppo Everyone) possono accedere al suo contenuto in sola lettura(Full control per window 2000). Amministratori

Permessi di accesso alle cartelle di rete Protezione delle cartelle di rete La sicurezza delle cartelle di rete è regolata dai permessi di condivisione, che sono: La sicurezza delle cartelle di rete è regolata dai permessi di condivisione, che sono: Permission di condivisione Lutente può compiere le seguenti azioni: completo controllo del contenuto della cartella leggere, scrivere e cancellare file, eseguire programmi leggere file ed eseguire programmi

Permessi di accesso alle cartelle di rete Protezione delle cartelle di rete I permessi di condivisione seguono le regole: 1. I permessi assegnati alla cartella condivisa, si propagano nelle sottodirectory e in tutti i file contenuti 2. Se un utente compare in più gruppi, il permesso di accesso complessivo è la somma di quelli dei gruppi a cui appartiene 3. La regola 2. ha una eccezione: se ad un utente è negato un permesso, laccesso gli sarà sempre negato anche se appartiene ad altri gruppi in cui dispone dellautorizzazione I permessi possono essere: assegnati oppure negati a gruppi o a singoli utenti (non consigliato).

Permessi di accesso alle cartelle di rete Assegnazione dei permessi Nel file server…

Permessi di accesso alle cartelle di rete Assegnazione dei permessi Con i permessi… File server Amministratori Tutti gli user del GGstudenti possono solo leggere/eseguire file.

Permessi di accesso locali Protezione di cartelle e file locali La sicurezza delle cartelle e dei file locali è regolata dai permessi NTFS, che sono: La sicurezza delle cartelle e dei file locali è regolata dai permessi NTFS, che sono: Permission NTFS locali Lutente può compiere le seguenti azioni: completo controllo di file e cartelle leggere, scrivere, cancellare ed eseguire programmi leggere file ed eseguire programmi creare nuove cartelle/file leggere file e aprire cartelle visualizzare i nomi di file e sottocartelle

Permessi di accesso locali Protezione di cartelle e file locali I permessi NTFS seguono regole analoghe a quelle delle cartelle di rete con le aggiunte: se una cartella condivisa ha impostati i permessi sia di condivisione sia NTFS, si applica per laccesso via rete il permesso più restrittivo tra i due; se una cartella condivisa ha impostati i permessi sia di condivisione sia NTFS, si applica per laccesso via rete il permesso più restrittivo tra i due; i permessi NTFS sono applicati solo sulle partizioni/volumi con file system NTFS. i permessi NTFS sono applicati solo sulle partizioni/volumi con file system NTFS. I permessi NTFS sono assegnati oppure negati: anche a singoli file; anche a singoli file; a gruppi o a singoli utenti (non consigliato). a gruppi o a singoli utenti (non consigliato).

Accesso remoto (via rete) Permessi di accesso locali Se lamministratore ha impostato per una cartella entrambe i permessi locali e remoti… Accesso locale File server Permessi NTFS + Permessi di condivisione Permessi NTFS

Permessi di accesso locali Assegnazione dei permessi NTFS

Permessi di stampa Protezione delle stampanti di rete La sicurezza delle stampanti di rete è regolata dai permessi di stampa, che sono: La sicurezza delle stampanti di rete è regolata dai permessi di stampa, che sono: Permission di stampa Lutente può compiere le seguenti azioni: completo controllo della stampante possibilità stampare e di gestire la coda di stampa, con tutti i documenti contenuti possibilità di stampare e di gestire esclusivamente il proprio documento nella coda di stampa

Stampante Stampa sulla stampante di rete Permessi di stampa Applicazione dei permessi di stampa ad un Print Server… Print server Periferica di stampa Permessi di stampa

Assegnazione dei permessi di stampa Assegnazione dei permessi di stampa Sul print server…

Politiche di sicurezza Un GPO permette di definire: Le restrizioni di accesso ai computer e quindi la loro sicurezza (user rights) Le restrizioni di accesso ai computer e quindi la loro sicurezza (user rights) Lambiente di lavoro dei computer, in particolare, il desktop Lambiente di lavoro dei computer, in particolare, il desktop La gestione centralizzata del software installato nel dominio (sia nuove versioni sia aggiornamenti) La gestione centralizzata del software installato nel dominio (sia nuove versioni sia aggiornamenti) Limpostazione di applicazioni e dei servizi, mediante lesecuzione di script al log on Limpostazione di applicazioni e dei servizi, mediante lesecuzione di script al log on Una politica di sicurezza ( GPO : Group Policy Object) è un oggetto di Active Directory. Windows 2003 Server permette di amministrare la sicurezza dei domini impostando politiche di sicurezza

Politiche di sicurezza Se sono stati definiti più GPO, in un dominio con OU, lordine di applicazione delle policy è fondato: Sulla ereditarietà Sulla ereditarietà La gerarchia degli oggetti contenitori in Active Directory La gerarchia degli oggetti contenitori in Active Directory I GPO sono oggetti applicati a domini e OU Un GPO può essere applicato a un sito, un dominio e una OU. ActiveDirectory

Politiche di sicurezza Esempi di applicazione delle policy GPO: Policy del dominio GPO: Politiche LAB Fisica GPO: Politiche Didattica GPO: Politiche Uffici priorità priorità eredita eredita

GPO Predefinita Strumenti di Amministrazione -> gestione utenti e computer- > propietà del dominio-> criterio di gruppo

GPO Predefinita Strumenti di Amministrazione -> criterio di protezione del dominio Un Permesso è assegnabile ad utenti e gruppi

Creazione di una GPO Per creare una nuova GPO a livello di dominio in Active Directory… continua… Una GPO si assegna a tutto il dominio o a una UO it/library/cc aspx

Creazione di una GPO Per creare una nuova GPO a livello di dominio in Active Directory… Policy dei computer Policy degli utenti Ad esempio, impostiamo le user rights

Creazione di una GPO Impostiamo una GPO, a livello di una OU, per bloccare i desktop dei computer…

Creazione di una GPO Impostiamo una GPO, per installare automaticamente un sw 1.Identificare lunità Organizzativa e la GPO da modificare 2.Creare il pacchetto di distribuzione: in una cartella condivisa, con accesso in Lettura per Everyone copiare i file msi di installazione 3. alternativamente (Configurazione Utente ovvero Computer) Assegnare il sw agli utenti: L'applicazione e indipendentemente dal computer fisico utilizzato viene installata la prima volta che l'utente la attiva Assegnare il sw al computer: l'installazione viene eseguita in genere, all'avvio del computer, quando non vi sono altri processi in corso 4. Selezioanre nuovo pacchetto. 5. Dalla scheda Protezione impostare i gruppi e gli utenti a cui assegnare la Group Policy o ( Per default la Group policy è assegnata agli utenti autenticati, ma non ai Domain Admins)

Creazione di una GPO Le politiche di restizione software I criteri di restrizione software consentono agli amministratori di identificare il software e di controllarne la possibilità di esecuzione sul computer locale sono costituiti da due parti: 1.Una regola predefinita in base alla quale è possibile eseguire i programmi: Senza restrizioni e Non consentito 2.Un inventario di eccezioni alla regola predefinita Per creare una regola, è necessario individuare le applicazioni Regola hash. Viene utilizzata un'impronta digitale crittografica del file eseguibile. Regola certificato. Viene utilizzato un certificato con firma digitale di un autore di software per il file.exe. Regola di percorso. Viene utilizzato il percorso UNC (Universal Naming Convention) locale o del Registro di sistema della posizione del file.exe. Regola area. Viene utilizzata l'area Internet da cui ha avuto origine il file eseguibile (se scaricato mediante Microsoft Internet Explorer).

GPO le regole per le restrizioni sw OperazioneRegola consigliata Consentire o non consentire una versione di programma specifica. Regola hash Individuare il file per creare una regola hash. Identificare un programma installato sempre nella stessa posizione. Regola di percorso con variabili di ambiente %ProgramFiles%\Internet Explorer\iexplore.exe Identificare un programma che può essere installato in qualunque posizione nei computer client. Registry path rule %HKEY_LOCAL_MACHINE\SOFTWARE\ ComputerAssociates\InoculateIT\6.0\Path\HOME% Identificare un set di script in un gruppo di server. Ad esempio, DC01, DC02 e DC03. Regola di percorso con carattere jolly \\DC??\Share Non consentire l'esecuzione dei file.vbs a meno che non siano inclusi nella directory dello script di accesso. Regola di percorso con carattere jolly *.VBS impostato su Non consentito \\LOGIN_SRV\Share\*.VBS impostato su Senza restrizioni Non consentire l'esecuzione dei file installati da un virus denominato sempre Flcss.exe. Regola di percorso Flcss.exe impostato su Non consentito Identificare un set di script che possa essere eseguito in qualunque posizione. Regola certificato Utilizzare un certificato per firmare gli script digitalmente. Consentire l'installazione del software da siti attendibili dell'area Internet. Regola area Impostare Siti attendibili su Senza restrizioni.

Gpo: limitare accesso ad alcuni siti tramite le Group Policy non e possibile consentire ad alcuni pc della rete l'accesso solo a eterminati siti internet. tramite le Group Policy non e possibile consentire ad alcuni pc della rete l'accesso solo a eterminati siti internet. Serve Serve isa server isa server o un software Proxy gratuito come CCProxy o un software Proxy gratuito come CCProxy O delle regole sul router O delle regole sul router

Blocco dellereditarietà delle GPO In Active Directory, per modificare lereditarietà delle policy nelle OU… continua…

Blocco dellereditarietà delle GPO Con le impostazioni precedenti, otteniamo… GPO: Policy del dominio GPO: Politiche LAB Fisica GPO: Politiche Didattica GPO: Politiche Uffici priorità Nuova policy eredita