09/01/041Security Sicurezza del sistema di rete Non è necessaria per il funzionamento della rete, ma è auspicabile per semplificarne la gestione. Consente di applicare agli utenti che operano dei criteri di sicurezza che definiscono che cosa ogni utente può o non può fare. I criteri più importanti consentono di definire il livello di accesso ai dati dei vari utenti il livello di accesso ai servizi dei vari utenti
09/01/042Security Criteri di sicurezza per i servers Definiscono le modalità con cui gli utenti possono effettuare operazioni sui servers stessi. Sono particolarmente importanti dato che nei servers risiedono gran parte dei dati e dei servizi accessibili attraverso la rete. Per un server Win2000 i criteri di sicurezza vengono di norma impostati ad un livello predefinito durante linstallazione (attraverso i gruppi predefiniti). share Sui servers Win2000 è necessario impostare i diritti di accesso alle condivisioni (share) attraverso la rete utilizzando gli utenti e/o gruppi di AD.
09/01/043Security Criteri di sicurezza per i clients E possibile implementare dei criteri di sicurezza anche per i clients. Essi riguardano le operazioni che gli utenti possono effettuare sui clients stessi. Tali criteri di sicurezza devono poter essere applicati in modo centralizzato, per cui si basano comunque sugli utenti e/o gruppi definiti in AD (nel dominio). Il livello di criteri di sicurezza e la difficoltà di implementazione dipende dal sistema operativo installato nei clients.
09/01/044Security Sicurezza dellinfrastruttura di comunicazione Permette di rendere sicure le comunicazioni nella LAN. Strumenti e tecnologie da utilizzare quando i dati che viaggiano sulla LAN sono sensitivi e la loro protezione riveste particolare importanza. Utilizzano come meccanismo di base la criptazione dei dati (implica rallentamento delle comunicazioni). La loro implementazione riguarda modifiche di configurazione ai protocolli di comunicazione utilizzati sia dai servers che dai clients.
09/01/045Security Configurazioni per la sicurezza del sistema Politiche di gestione degli Accounts (a livello di dominio e/o locali) Politiche locali (per la macchina locale) administratorsserver operatorsbackup operators power users Gruppi ristretti (gruppi di utenti built-in con diritti particolari: administrators, server operators, backup operators, power users ) Oggetti nellalbero AD GPO alcuni oggetti in AD possono rappresentare politiche di sicurezza (GPO=group policy object) scope alcuni oggetti in AD possono rappresentare il target (o scope) di un criterio di sicurezza
09/01/04 6 Active Directory e le GROUP POLICIES I GPO (Group Policy Objects) applicano Configurazioni a Siti, Domini, e OU Le Group Policy vengono ereditate nella gerarchia di Active Directory Site GPO Domain OUOU
09/01/04 7 User Rights e Permission Le user rights (diritti utente) definiscono un insieme di autorizzazioni, predefinite in Active Directory, che possono essere assegnate ad un account utente in un dominio. Esempi di user rights sono: Log on locally un utente può effettuare il log-on in un Log on locally un utente può effettuare il log-on in un server; server; Shut down the system un utente può spegnere il Shut down the system un utente può spegnere il server(shut down); server(shut down); Change the system time un utente è autorizzato a Change the system time un utente è autorizzato a modificare lora in un server. modificare lora in un server. ActiveDirectory
09/01/04 8 User Rights e Permission Le permission (permessi) definiscono i tipi di accesso alle risorse HW/SW che è possibile assegnare ad un utente. Le permission sono diverse e dipendono dal tipo di risorsa. Esempi di permessi sono: Read permesso di lettura per le files e cartelle Execute permesso di eseguire un file eseguibile Print permesso per stampare su una periferica fisica
09/01/04 9 Group Policies Le Group Policy permettono: – Impostazione di politiche in modo centralizzato e decentralizzato – Assicurare lambiente di lavoro opportuno agli utenti – Controllo di utenti e computers – Realizzazione di politiche aziendali riguardo lutilizzo delle risorse Site Domain OU Windows 2000 Applies Continually Users Computers Administrator Sets Group Policy Once Group Policy
09/01/04 10 Group Policies Tipi di Group Policy Settings Administrative Templates Administrative Templates Impostazioni basate sui Registry Security Impostazioni di sicurezza a livello locale, di dominio e di rete Software Installation Impostazioni per la gestione centralizzata delle installazioni software Scripts Esecuzione di scripts di Startup, shutdown, logon, e logoff Remote Installation Services Impostazioni per il controllo delle impostazioni dei clients di accesso remoto Internet Explorer Maintenance Impostazioni di Microsoft Internet Explorer su computers Windows 2000 Folder Redirection Impostazioni sulla localizzazione di cartelle utente nei servers di rete
09/01/04 11 Group Policies Objects Group Policy Object Contengono impostazioni di Group Policy Contenuto memorizzato in due locazioni Sysvol memorizzate nella cartella Sysvol dei domain controller Forniscono impostazioni che verranno reperite e applicate dai clients memorizzate in Active Directory Forniscono informazioni utilizzate dai domain controllers Group Policy Template (GPT) Group Policy Container (GPC)
09/01/04 12 Group Policy per Computers e Utenti Group Policy Settings per Computers: – specificano impostazioni per il sistema operativo, il desktop, la sicurezza, gli scripts di startup e shutdown, le applicazioni assegnate ai computers, e le impostazioni delle applicazioni – Applicate allavvio del sistema e durante cicli di refresh periodici Group Policy Settings per Utenti: – specificano impostazioni per il sistema operativo, il desktop, la sicurezza, gli scripts di startup e shutdown, le applicazioni assegnate ai computers, e le impostazioni delle applicazioni, la redirezione di cartelle, script di logon e logoff – Appicate al logon dellutente e durante cicli di refresh periodici Users Computers
09/01/04 13 GPO e Active Directory Containers la GPO vengono impostate per utenti e computers nei Site, Domini, e OU a cui la GPO è linkata – è possibile linkare una GPO a più siti, domini, OU – è possibile linkare più GPO a un sito, dominio, OU Non è possibile linkare una GPO a un container di default di Active Directory Site Domain OU OU GPO Site GPO Domain GPO
09/01/0414 Security (Strumenti) Security Templates GPOModelli Predefiniti ( sono files di testo.inf). Possono essere importati in un database di impostazioni di sicurezza (usando Security Configuration and Analisys) o in un oggetto GPO. basicdc.inf basicdc.inf (per domain controller) basicsv.inf basicsv.inf (per Win2000 server) basicwk.inf basicwk.inf (per Win2000 workstation)
09/01/0415 Security (strumenti) Security Configuration and Analysis (snap-in mmc) Per default lo snap-in punta al database locale (local computer security database) Può essere utilizzato per aprire un altro database: > Security Configuration and Analysis > Open Database > Import Template E possibile importare più templates (merge) in un database Configure Computer NowConfigure Computer Now applica le impostazioni contenute nel database aperto al sistema locale. Permette di costruire dei databases di impostazioni di sicurezza, che possono essere utilizzati come impostazioni di sicurezza locali o confrontati con esse.
09/01/0416Security Security settings extension per Group Policy Editor (local, domain, e OU) E la modalità raccomandata per limpostazione della sicurezza (locale o a livello di gruppi di hosts) in un dominio Active Directory. > gpedit > oggetto GPO (locale o in AD) > Computer settings > Security settings Secedit.exe (da linea di comando)
09/01/0417 Security per i Clients Policy Le Policies sono impostazioni che divengono obbligatorie su un client quando settate da un amministratore attraverso la rete. Consentono la gestione centralizzata di vari aspetti dellesecuzione del client. Il meccanismo di funzionamento consiste in specificare dei valori per le policy tramite opportuna utility memorizzare il file contenente le policy in uno share particolare di un server di autenticazione di rete distribuire automaticamente le policy quando un utente effettua da un client il log-in alla rete.
09/01/0418 Security per i Clients System policy System policies Le System policies sono utilizzate in Win98 e WinNT. Esse forniscono allamministratore la possibilità di controllare vari aspetti dellambiente di esecuzione dei Clients. Consistono in impostazioni di registro applicate al computer utente nel momento in cui viene effettuato il log in nella rete. Ad esempio modifica delllinterfaccia utente (desktop) concessione di permessi di esecuzione di applicazioni.
09/01/0419 Security per i Clients GPO (Group Policy Object) GPO Le GPO sono utilizzate in Windows2000 e Windows XP Professional. Consistono in oggetti creati in ActiveDirectory e a cui viene assegnato uno scope, che può andare dal computer locale ad un intero dominio.
09/01/0420 Security per i Clients Windows 98 E possibile lamministrazione centralizzata del Client utilizzando le system policy, che vengono installate sul Win2000 Server e poi distribuite ai Clients. Le system policy di Win98 sono memorizzate in modo diverso dalle group-policy (GPO) di Windows poledit Per creare le system policy per Win98, su un Client Win98, si utilizza il programma poledit, installabile da CDROM Win98SE\tools\reskit\netadmin\poledit. Dalla stessa dir, con il programma poledit, vanno installati i templates.adm (common.adm) Options | Policy Template | Add
09/01/0421 Security per i Clients Windows 98 A questo punto si hanno a disposizione le policy Local Computer Local User E quindi possibile impostare dei valori per tali policy (ovvero impostare le modifiche per le voci di registro). netlogon Il file che si ottiene salvando le policy (.pol) va quindi copiato nella cartella netlogon del Server Windows 2000.
09/01/0422 Security per i Clients Windows 98 Lo strumento essenziale è il documento Microsoft HowTo Q Q Le operazioni principali da effettuare per poter impostare la sicurezza sui clients Win98 sono: utilizzare un Client Windows 98 per installare gli strumenti di implementazione delle system policy in locale (poledit, criteri di gruppo, …) impostare le policy necessarie netlogonsalvare il file di configurazione delle policy nello share netlogon del server Windows2000
09/01/0423 Security per i Clients Windows 98 Per abilitare il client Win98 a supportare le group policy, è necessario installare Grouppol.dll su ciascun computer a cui le policy devono essere applicate. Esso si installa da Add/Remove Programs Windows Setup System Tools
09/01/0424Clients Win2000 workstation E il client naturale di Win2000 Server. In un dominio Active Directory (AD) le Group Policy (GPO) vengono impostate sui Win2000 clients a seconda dello scope (=obbiettivo) costituito da altri oggetti definiti in AD. Le policy vengono distribuite ai Clients al momento del login, o si può forzare il refresh delle policy dal server.
09/01/0425Clients Windows XP Nella sua versione XP Professional è il successore di Win200 workstation, e come questultimo supporta le Group Policy.
09/01/04 26 torna a principale
09/01/04 27