Sicurezza e Policy
in
Active Directory
Sommario





Amministrazione della sicurezza in
una rete Windows 2003
Gestione dei permessi di accesso
alle cartelle di rete
Amministrazione della sicurezza
locale
Autorizzazioni per la stampa
Le policy: politiche di sicurezza in
un dominio
Gestione della Windows 2003 permette di definire dei
sicurezza
meccanismi di protezione per le
risorse della rete
I principali meccanismi di sicurezza sono:
 Le Permission per l’accesso alle cartelle di rete
condivise
 Le Permission per l’accesso a file e cartelle locali
 Le politiche di sicurezza del dominio: GPO
(Group Policy Object)
Tutte le impostazioni relative
alla sicurezza sono registrate in
Active Directory dei Domain
Controller
Amministratori
Gestione della
sicurezza
Tecniche di impostazione della
sicurezza
Per assegnare i permessi di accesso alle risorse,
si
applica
la
strategia:
?
A G DL P
AGDLP
La tecnica A G DL P prevede di:
A  creare user Account
G  inserire gli user account in Gruppi globali
DL  inserire i gruppi globali in Domain Local
group
P  assegnare i permessi per l’accesso alle
risorse, ai singoli gruppi locali al dominio
Gestione della
sicurezza
La strategia A G DL P
significa quindi…
Domain
Local
Global
group
group
risorsa
Permission
File server
user
Account
Cartelle
Creazione di una directory
condivise di
condivisa
in
una
rete
rete
Una cartella condivisa di rete (shared folder) è una
directory accessibile agli utenti autenticati, da tutti
i computer della rete.
Cartella
condivisa
File server
Cartelle
condivise di
rete
Creazione di una cartella
condivisa di rete
Nel file server…
Amministratori
Per default, dopo aver condiviso una
cartella, tutti gli utenti (gruppo Everyone)
possono accedere al suo contenuto in
sola lettura(Full control per window
2000).
Permessi di
accesso alle
cartelle di rete
Protezione delle cartelle
di rete
La sicurezza delle cartelle di rete è regolata dai
permessi di condivisione, che sono:
Permission di
condivisione
L’utente può compiere le
seguenti azioni:
completo controllo del
contenuto della cartella
leggere, scrivere e cancellare
file, eseguire programmi
leggere file ed eseguire
programmi
Permessi di Protezione delle cartelle
accesso alle
cartelle di rete
di rete
I permessi possono essere:
assegnati oppure negati
a gruppi o a singoli utenti (non consigliato).
I permessi di condivisione seguono le regole:
1. I permessi assegnati alla cartella condivisa, si propagano
nelle sottodirectory e in tutti i file contenuti
2. Se un utente compare in più gruppi, il permesso di
accesso complessivo è la somma di quelli dei gruppi a
cui appartiene
3. La regola 2. ha una eccezione: se ad un utente è negato
un permesso, l’accesso gli sarà sempre negato anche se
appartiene ad altri gruppi in cui dispone
dell’autorizzazione
Permessi di
accesso alle
cartelle di rete
Nel file server…
Assegnazione dei
permessi
Permessi di
accesso alle
cartelle di rete
Assegnazione dei
permessi
Tutti gli user del
GGstudenti
possono solo
leggere/eseguire
file.
Con i permessi…
Amministratori
File server
Permessi di
accesso locali
Protezione di cartelle e
file locali
La sicurezza delle cartelle e dei file locali è
regolata dai permessi NTFS, che sono:
Permission NTFS
locali
L’utente può compiere le
seguenti azioni:
completo controllo di file e cartelle
leggere, scrivere, cancellare ed
eseguire programmi
leggere file ed eseguire programmi
creare nuove cartelle/file
leggere file e aprire cartelle
visualizzare i nomi di file e
sottocartelle
Permessi di
accesso locali
Protezione di cartelle e
file locali
I permessi NTFS sono assegnati oppure negati:
 anche a singoli file;
 a gruppi o a singoli utenti (non consigliato).
I permessi NTFS seguono regole analoghe a quelle delle
cartelle di rete con le aggiunte:
 se una cartella condivisa ha impostati i permessi sia di
condivisione sia NTFS, si applica per l’accesso via rete il
permesso più restrittivo tra i due;
 i permessi NTFS sono applicati solo sulle
partizioni/volumi con file system NTFS.
Permessi di Se l’amministratore ha impostato per
accesso locali
una cartella entrambe i permessi
locali e remoti…
Permessi NTFS
+
Permessi di condivisione
Accesso remoto
(via rete)
File server
Permessi NTFS
Accesso locale
Permessi di
accesso locali
Assegnazione dei
permessi NTFS
Permessi di
stampa
Protezione delle stampanti
di rete
La sicurezza delle stampanti di rete è regolata dai
permessi di stampa, che sono:
Permission di
stampa
L’utente può compiere le
seguenti azioni:
completo controllo della
stampante
possibilità stampare e di gestire la
coda di stampa, con tutti i
documenti contenuti
possibilità di stampare e di gestire
esclusivamente il proprio
documento nella coda di stampa
Permessi di
stampa
Applicazione dei permessi di stampa
ad un Print Server…
Permessi di
stampa
Stampante
Print server
Periferica di stampa
Stampa sulla
stampante di rete
Permessi di
stampa
Sul print server…
Assegnazione dei
permessi di stampa
Politiche di Windows 2003 Server permette di
sicurezza amministrare la sicurezza dei domini
impostando politiche di sicurezza
Una politica di sicurezza (GPO: Group Policy
Object) è un oggetto di Active Directory.
Un GPO permette di definire:
 Le restrizioni di accesso ai computer e quindi la
loro sicurezza (user rights)
 L’ambiente di lavoro dei computer, in
particolare, il desktop
 La gestione centralizzata del software installato
nel dominio (sia nuove versioni sia
aggiornamenti)
 L’impostazione di applicazioni e dei servizi, mediante
l’esecuzione di script al log on
Politiche di
sicurezza
I GPO sono oggetti applicati a
domini e OU
Un GPO può essere applicato a un sito, un dominio
e una OU.
Se sono stati definiti più GPO, in un dominio con
OU, l’ordine di applicazione delle policy è fondato:
 Sulla ereditarietà
 La gerarchia degli oggetti contenitori in Active
Directory
Active
Directory
Politiche di
sicurezza
Esempi di applicazione delle
policy
GPO: Policy del dominio
eredita
priorità
GPO: Politiche LAB Fisica
GPO: Politiche Uffici
priorità
eredita
GPO: Politiche Didattica
GPO
Strumenti di Amministrazione ->
Predefinita
gestione utenti e computer- >
propietà del dominio-> criterio
di gruppo
GPO
Strumenti di Amministrazione ->
Predefinita
criterio di protezione del
dominio
Un Permesso è
assegnabile ad
utenti e gruppi
Creazione di
una GPO
Per creare una nuova GPO a
livello di dominio in Active
Directory…
Una GPO si
assegna a tutto
il dominio o a
una UO
continua…
http://technet.microsoft.com/itit/library/cc163076.aspx
Creazione di
una GPO
Per creare una nuova GPO a
livello di dominio in Active
Directory…
Policy dei
computer
Policy degli
utenti
Ad esempio, impostiamo le user rights
Creazione Impostiamo una GPO, a livello
di una GPO
di una OU, per bloccare i
desktop dei computer…
Creazione
Impostiamo una GPO, per
di una GPO installare automaticamente un
sw
Identificare l’unità Organizzativa e la GPO da modificare
Creare il pacchetto di distribuzione: in una cartella condivisa,
con accesso in Lettura per Everyone copiare i file msi di
installazione
3. alternativamente (Configurazione Utente ovvero Computer)
•Assegnare il sw agli utenti: L'applicazione e indipendentemente
dal computer fisico utilizzato viene installata la prima volta che
l'utente la attiva
•Assegnare il sw al computer: l'installazione viene eseguita in
genere, all'avvio del computer, quando non vi sono altri processi
in corso
4. Selezioanre nuovo pacchetto.
5. Dalla scheda Protezione impostare i gruppi
e gli utenti a cui assegnare la Group Policy o (
Per default la Group policy è assegnata agli utenti autenticati, ma
non ai Domain Admins)
1.
2.
Creazione
di una GPO
Le politiche di restizione
software
I criteri di restrizione software consentono agli amministratori di identificare il
software e di controllarne la possibilità di
esecuzione sul computer locale
sono costituiti da due parti:
1. Una regola predefinita in base alla quale è possibile eseguire i programmi:
Senza restrizioni e Non consentito
2. Un inventario di eccezioni alla regola predefinita
Per creare una regola, è necessario individuare le applicazioni
• Regola hash. Viene utilizzata un'impronta digitale crittografica del file
eseguibile.
• Regola certificato. Viene utilizzato un certificato con firma digitale di un
autore di software per il file .exe.
• Regola di percorso. Viene utilizzato il percorso UNC (Universal Naming
Convention) locale o del Registro di sistema della posizione del file .exe.
• Regola area. Viene utilizzata l'area Internet da cui ha avuto origine il file
eseguibile (se scaricato mediante Microsoft Internet Explorer).
GPO le regole per le restrizioni sw
Operazione
Regola consigliata
Consentire o non consentire una versione
di programma specifica.
Identificare un programma installato
sempre nella stessa posizione.
Identificare un programma che può essere
installato in qualunque posizione nei
computer client.
Identificare un set di script in un gruppo di
server. Ad esempio, DC01, DC02 e DC03.
Regola hash
Individuare il file per creare una regola hash.
Regola di percorso con variabili di ambiente
%ProgramFiles%\Internet Explorer\iexplore.exe
Registry path rule
%HKEY_LOCAL_MACHINE\SOFTWARE\
ComputerAssociates\InoculateIT\6.0\Path\HOME%
Regola di percorso con carattere jolly
\\DC??\Share
Non consentire l'esecuzione dei file .vbs a Regola di percorso con carattere jolly
meno che non siano inclusi nella directory *.VBS impostato su Non consentito
\\LOGIN_SRV\Share\*.VBS impostato su Senza restrizioni
dello script di accesso.
Non consentire l'esecuzione dei file
installati da un virus denominato sempre
Flcss.exe.
Identificare un set di script che possa
essere eseguito in qualunque posizione.
Consentire l'installazione del software da
siti attendibili dell'area Internet.
Regola di percorso
Flcss.exe impostato su Non consentito
Regola certificato
Utilizzare un certificato per firmare gli script digitalmente.
Regola area
Impostare Siti attendibili su Senza restrizioni.
Gpo: limitare accesso ad
alcuni siti

tramite le Group Policy non e
possibile consentire ad alcuni pc
della rete l'accesso solo a
eterminati siti internet.

Serve



isa server
o un software Proxy gratuito come
CCProxy
O delle regole sul router
Blocco
dell’ereditarietà
delle GPO
In Active Directory, per
modificare l’ereditarietà delle
policy nelle OU…
continua…
Blocco
dell’ereditarietà
delle GPO
Con le impostazioni
precedenti, otteniamo…
GPO: Policy del dominio
priorità
eredita
GPO: Politiche LAB Fisica
GPO: Politiche Uffici
Nuova policy
GPO: Politiche Didattica