Implementazione della
protezione dei server
su Windows 2000 e
Windows Server 2003
Fabrizio Grossi
Prerequisiti della sessione



Familiarità con Windows 2000 Server o
Windows Server 2003
Esperienza con gli strumenti di gestione
Windows
Conoscenza dei concetti relativi ad
Active Directory e Criteri di gruppo
Livello 200
Agenda







Introduzione alla protezione dei server
Protezione di base dei server
Protezione di Active Directory
Protezione avanzata dei server membri
Protezione avanzata dei controllori di
dominio
Protezione avanzata dei server dedicati
Protezione avanzata dei server autonomi
Considerazioni sulla protezione in
aziende di piccole e medie
dimensioni
Server con più ruoli
Risorse limitate
per l'implementazione di soluzioni
di protezione
Utilizzo di
sistemi non
aggiornati
Conseguenze legali
Minaccia interna
o accidentale
L'accesso fisico
impedisce molte
misure di protezione
Mancanza di
esperienza sulla
protezione
Principi della protezione dei server
Riservatezza
Principi
della
protezione
Integrità



Disponibilità
La riservatezza assicura la protezione
dell'accesso alle informazioni
L'integrità assicura l'assenza di modifiche
nelle informazioni
La disponibilità assicura la possibilità di
accesso alle informazioni
Valutazione delle minacce e
compromessi sulla protezione

Valutazione delle minacce

Documentazione dell'ambiente



Separazione dei sistemi




Separare i sistemi in base a requisiti di applicazioni e protezione
Assicurarsi che i requisiti di protezione tra sistemi affidabili siano
equivalenti
Assicurarsi che la protezione dei sistemi meno sensibili dipenda da
sistemi più sensibili
Limitare l'ambiente e i privilegi




Eseguire un'analisi di base dei sistemi e del software
Utilizzare diagrammi DFD per illustrare il flusso dei dati, l'interazione
dei sistemi e le minacce
Assegnare account con le autorizzazioni minime possibili
Limitare e proteggere la comunicazione
Disabilitare o rimuovere le porte e i servizi inutilizzati
Compromessi per la protezione

È necessario raggiungere un compromesso tra protezione e
utilizzo
Agenda







Introduzione alla protezione dei server
Protezione di base dei server
Protezione di Active Directory
Protezione avanzata dei server membri
Protezione avanzata dei controllori di
dominio
Protezione avanzata dei server dedicati
Protezione avanzata dei server autonomi
Procedure di protezione di base
dei server
Applicare il service pack più
aggiornato e tutte le patch di
protezione disponibili
Utilizzare Criteri di Gruppo per la
protezione avanzata dei server
- Disabilitare i servizi non richiesti
- Implementare criteri per password sicure
- Disabilitare l'autenticazione LAN Manager
e NTLMv1
Limitare l'accesso fisico e di rete ai
server
Gestione degli aggiornamenti del
software

Implementare una soluzione di gestione delle patch
per la protezione contro le vulnerabilità
Tipo di cliente
Scenario
Scelta del
cliente
Utente privato
Tutti gli scenari
Windows
Update
Piccola
azienda
Nessun server Windows
Windows
Update
Da uno a tre server Windows e un amministratore IT
SUS
Necessità di soluzione di gestione delle patch con un livello di
controllo di base per l'aggiornamento di Windows 2000 e delle
versioni più recenti di Windows
SUS
Necessità di soluzione unica e flessibile di gestione delle patch
con un livello di controllo esteso per l'aggiornamento e la
distribuzione di tutto il software.
SMS
Impresa media
o grande

Partecipare alla sessione di formazione sulla
gestione delle patch o rivedere la guida all'indirizzo:
http://www.microsoft.com/technet/security/patch
(in lingua inglese)
Livelli di gravità e intervalli di
tempo per la distribuzione delle
patch
Livello di
gravità
Definizione
Intervallo di tempo consigliato
per la distribuzione della patch
Critico
Lo sfruttamento della vulnerabilità può
causare la propagazione di un worm Internet
quale Code Red o Nimda senza azione da
parte dell'utente
Entro 24 ore
Importante
Lo sfruttamento della vulnerabilità può
compromettere la riservatezza, l'integrità o la
disponibilità dei dati degli utenti oppure
l'integrità o la disponibilità delle risorse di
elaborazione
Entro un mese
Moderato
Lo sfruttamento della vulnerabilità è grave,
ma fattori quali la configurazione predefinita,
il controllo, la necessità di azione da parte
dell'utente o la difficolta di esecuzione
dell'attacco hanno notevolmente attenuato la
minaccia
A seconda della disponibilità prevista,
attendere il service pack successivo o
il rollup che include la patch oppure
distribuire la patch entro quattro mesi
Lo sfruttamento della vulnerabilità è
estremamente difficile o l'impatto è minimo
A seconda della disponibilità prevista,
attendere il service pack successivo o
il rollup che include la patch oppure
distribuire la patch entro un anno
Basso
Gestione efficiente delle patch
Coerenti
e ripetibili
Processi
Tecnologia
Prodotti, strumenti
e automazione
Personale
Competenze, ruoli
e responsabilità
Consigli per la protezione
avanzata dei server




Rinominare gli account Administrator
e Guest
Limitare l'accesso da parte di account
incorporati e di account di servizio non
del sistema operativo
Non configurare un servizio per l'accesso
mediante un account di dominio
Utilizzare NTFS per proteggere file
e cartelle
Agenda







Introduzione alla protezione dei server
Protezione di base dei server
Protezione di Active Directory
Protezione avanzata dei server membri
Protezione avanzata dei controllori di
dominio
Protezione avanzata dei server dedicati
Protezione avanzata dei server autonomi
Componenti di Active Directory

Foreste




Una Foresta svolge la
funzione di confine di
sicurezza in Active
Directory
Dominio
Unità organizzativa
Criteri di gruppo

Criteri di gruppo è
uno strumento chiave
per l'implementazione
e la gestione della
protezione di rete
Pianificazione della protezione
Active Directory

Analizzare l'ambiente




Centro dati Intranet
Ufficio di filiale
Centro dati Extranet
Analizzare le minacce

Individuare le minacce ad Active Directory




Individuare i tipi di minacce
Individuare le origini delle minacce
Determinare le misure di protezione dalle minacce
Stabilire piani di emergenza
Definizione di limiti di
protezione di Active Directory
Specificare limiti di protezione
e amministrativi
Progettare una struttura di
Active Directory basata sulle
esigenze di delega
Implementare limiti di
protezione basati su
Best Practice Guide
Potenziamento delle impostazioni
dei criteri di dominio
Potenziare le impostazioni nell'oggetto
Criterio predefinito di dominio o creare
un nuovo oggetto Criteri di gruppo a
livello di dominio
Assicurarsi che i criteri di password e
account siano conformi ai requisiti di
protezione dell'organizzazione
Rivedere le impostazioni di
controllo sugli oggetti
importanti di Active Directory
Definizione di una gerarchia delle
unità organizzative basata sui
ruoli
Criteri di
dominio

Una gerarchia delle
unità organizzative
basata sui ruoli:


Criteri di base dei
semplifica le
server membri
problematiche
di gestione della
Criteri dei server
di stampa
protezione
consente di applicare Criteri dei file
server
impostazioni dei
criteri di protezione a
server e altri oggetti Criteri dei
server IIS
in ciascuna unità
organizzativa
Progettazione
dominio
Dominio
Server
membri
Controller
di dominio
Criteri dei controller
di dominio
Amministrazione
operazioni
Server di stampa
Amministrazione
operazioni
File server
Amministrazione
servizio Web
Server Web
Come creare una gerarchia di
unità organizzative per la gestione
e la protezione dei server
1.
2.
3.
4.
Creare un'unità organizzativa denominata
Server membri
Creare unità organizzative all'interno
dell'unità organizzativa Server membri per
ogni ruolo di server
Spostare ogni oggetto server nell'unità
organizzativa appropriata a seconda del ruolo
Delegare il controllo di ogni unità
organizzativa basata sul ruolo al gruppo di
sicurezza appropriato
Procedure amministrative
consigliate
Distinguere tra ruoli di
amministrazione del servizio e
dei dati
Stabilire procedure protette per
il servizio di directory e per
l'amministrazione dei dati
Delegare le autorizzazioni
minime necessarie
Agenda







Introduzione alla protezione dei server
Protezione di base dei server
Protezione di Active Directory
Protezione avanzata dei server membri
Protezione avanzata dei controllori di
dominio
Protezione avanzata dei server dedicati
Protezione avanzata dei server autonomi
Panoramica sulla protezione
avanzata dei server
Protezione di
Active Directory
Applicazione dei
criteri di base
dei server membri
Procedure di protezione avanzata
Server di infrastruttura
File server e server
di stampa
Server IIS
Server RADIUS (IAS)
Applicare
impostazioni di
sicurezza
incrementali
basate sui ruoli
Server di servizi
certificati
Firewall



Applicare impostazioni di sicurezza di base a tutti
i server membri
Applicare impostazioni aggiuntive secondo lo
specifico ruolo del server
Utilizzare GPResult per assicurarsi che le impostazioni
vengano applicate correttamente
Modello di sicurezza Member
Server Baseline


Modificare e applicare il modello di
sicurezza Member Server Baseline a tutti i
server membri
Impostazioni del modello di sicurezza
Member Server Baseline:





Criteri controllo
Assegnazione diritti utente
Opzioni di protezione
Registro eventi
Servizi di sistema
Dimostrazione 2
Utilizzo di MBSA e
applicazione di un modello
di protezione
Utilizzo di MBSA per produrre un rapporto
Visualizzazione del modello di sicurezza
Member Server Baseline
Applicazione del modello di sicurezza
Member Server Baseline
Utilizzo di MBSA per verificare che sia stato
applicato il modello
Procedure consigliate per
l'utilizzo di modelli di protezione
Rivedere e modificare i modelli di
protezione prima di utilizzarli
Utilizzare gli strumenti di analisi e
configurazione di protezione per
rivedere le impostazioni prima di
applicarle
Verificare in modo approfondito i
modelli prima di distribuirli
Memorizzare i modelli di
protezione in un percorso protetto
Agenda







Introduzione alla protezione dei server
Protezione di base dei server
Protezione di Active Directory
Protezione avanzata dei server membri
Protezione avanzata dei controllori di
dominio
Protezione avanzata dei server dedicati
Protezione avanzata dei server autonomi
Configurazione della protezione
per i controller di dominio
Proteggere l'ambiente di
generazione dei controller di
dominio
Stabilire procedure di
generazione dei controller di
dominio che garantiscano
protezione
Mantenere la sicurezza fisica
Dimostrazione 3
Protezione avanzata dei
controller di dominio
Applicazione del modello di
sicurezza Domain Controller
Procedure consigliate per la
protezione avanzata dei
controller di dominio
Utilizzare metodi di protezione appropriati per
controllare l'accesso fisico ai controller di
dominio
Implementare impostazioni appropriate di
controllo e di registro eventi
Utilizzare Criteri di gruppo per applicare il
modello di sicurezza Domain Controller a tutti i
controller di dominio
Disabilitare i servizi non richiesti
Agenda







Introduzione alla protezione dei server
Protezione di base dei server
Protezione di Active Directory
Protezione avanzata dei server membri
Protezione avanzata dei controllori di
dominio
Protezione avanzata dei server dedicati
Protezione avanzata dei server autonomi
Utilizzo di modelli di protezione
per ruoli di server specifici




I server che svolgono ruoli specifici
possono essere organizzati per unità
organizzativa all'interno dell'unità
organizzativa Server membri
Innanzitutto, applicare il modello Member
Server Baseline all'unità organizzativa
Server membro
Quindi, applicare il modello di sicurezza
appropriato basato sui ruoli a ogni unità
organizzativa all'interno dell'unità
organizzativa Server membri
Personalizzare i modelli di protezione per
i server che eseguono più ruoli
Protezione avanzata dei server
di infrastruttura


Applicare le impostazioni di sicurezza del
modello di sicurezza Infrastructure Server
Configurare manualmente le impostazioni
aggiuntive su ogni server di infrastruttura





Configurare la registrazione degli eventi DHCP
Definire protezioni contro gli attacchi
DHCP DoS
Utilizzare il sistema DNS integrato
in Active Directory per le zone
Active Directory
Proteggere gli account di servizio
Abilitare solo le porte necessarie per le
applicazioni server utilizzando filtri IPSec
Protezione avanzata dei file
server


Applicare le impostazioni di sicurezza del
modello di sicurezza File Server
Configurare manualmente le impostazioni
aggiuntive su ogni file server





Disbilitare DFS e FRS, se non richiesti
Proteggere i file e le cartelle condivise utilizzando
NTFS e le autorizzazioni di condivisione
Abilitare il controllo dei file critici
Proteggere gli account di servizio
Abilitare solo porte specifiche
utilizzando filtri IPSec
Protezione avanzata dei server
di stampa


Applicare le impostazioni di sicurezza del
modello di sicurezza Print Server
Configurare manualmente le impostazioni
aggiuntive su ogni server di stampa




Assicurarsi che il servizio Spooler di stampa
sia abilitato
Proteggere gli account ben-conosciuti
Proteggere gli account di servizio
Abilitare solo porte specifiche
utilizzando filtri IPSec
Protezione avanzata dei server IIS


Applicare le impostazioni di sicurezza del modello
di sicurezza IIS Server
Configurare manualmente ogni server IIS







Installare IIS Lockdown e configurare URLScan su
tutte le installazioni IIS 5.0
Abilitare solo i componenti IIS essenziali
Configurare le autorizzazioni NTFS per tutte le cartelle
che contengono contenuto Web
Installare IIS e memorizzare il contenuto Web su un
volume di disco dedicato
Se possibile, non abilitare entrambe le autorizzazioni
di esecuzione e di scrittura sullo stesso sito Web
Sui server IIS 5.0, eseguire le applicazioni utilizzando
la protezione applicazione media o alta
Utilizzare i filtri IPSec per abilitare solo le porte
80 e 443
Dimostrazione 4
Protezione avanzata di ruoli di
server specifici
Revisione della protezione IIS
predefinita
Applicazione del modello di
sicurezza File Server
Procedure consigliate per la
protezione avanzata dei server
per ruoli specifici
Proteggere gli account utente ben-conosciuti
Abilitare solo i servizi richiesti dal ruolo
Abilitare la registrazione dei servizi per
acquisire le informazioni relative
Utilizzare i filtri IPSec per bloccare porte
specifiche in base al ruolo del server
Modificare i modelli secondo le necessità per
i server con più ruoli
Agenda







Introduzione alla protezione dei server
Protezione di base dei server
Protezione di Active Directory
Protezione avanzata dei server membri
Protezione avanzata dei controllori di
dominio
Protezione avanzata dei server dedicati
Protezione avanzata dei server autonomi
Protezione avanzata dei server
autonomi



È necessario applicare manualmente le
impostazioni di sicurezza a ogni server
autonomo anziché utilizzare Criteri di gruppo
Può essere necessario creare un modello di
sicurezza personalizzato per ogni server
autonomo
Utilizzare lo strumento Analisi e configurazione
di protezione o Secedit per applicare le
impostazioni dei modelli di protezione

Analisi e configurazione di protezione


Consente il confronto e l'applicazione di vari modelli di
protezione
Secedit

Versione della riga di comando dello strumento Analisi e
configurazione di protezione che consente l'applicazione
tramite script dei modelli di protezione
Dimostrazione 5
Protezione avanzata di un
server autonomo
Confronto di modelli di protezione
Applicazione di un modello di
sicurezza a un server autonomo
Come utilizzare Secedit per la
protezione avanzata dei server
autonomi
1.
2.
3.
Configurare un modello di sicurezza personalizzato
con le impostazioni di sicurezza desiderate per il
server autonomo
Aprire un prompt dei comandi sul server autonomo
Creare un database di impostazioni dal modello di
sicurezza personalizzato, digitando:
secedit /import /db c:\security.sdb /cfg nome modello di
sicurezza
4.
Applicare le impostazioni presenti nel database al
server autonomo, digitando:
secedit /configure /db c:\security.sdb
Procedure consigliate per la
protezione avanzata dei server
autonomi
Utilizzare lo strumento Analisi e configurazione
di protezione per applicare modelli ai server
autonomi
Configurare le impostazioni dei servizi in base
ai requisiti del ruolo del server
Abilitare la registrazione dei servizi per
acquisire le informazioni relative
Utilizzare IPSec per filtrare le porte in base al
ruolo del server
Riepilogo della sessione







Introduzione alla protezione dei server
Protezione di base dei server
Protezione di Active Directory
Protezione avanzata dei server membri
Protezione avanzata dei controllori di
dominio
Protezione avanzata dei server dedicati
Protezione avanzata dei server autonomi
Passaggi successivi
1.
Per essere sempre aggiornati nel campo della
protezione

Abbonarsi ai bollettini sulla protezione all'indirizzo:
http://www.microsoft.com/security/security_bulletins/alerts2.asp
(in lingua inglese)

Informazioni aggiornate relative alla protezione Microsoft
sono disponibili all'indirizzo:
http://www.microsoft.com/security/guidance/ (in lingua inglese)
2.
Accesso a materiale di formazione aggiuntivo
sulla protezione

Seminari di formazione on-line e con istruttore sono
disponibili all'indirizzo:
http://www.microsoft.com/seminar/events/security.mspx
(in lingua inglese)

Per trovare un CTEC di zona che offre corsi di formazione
pratica, visitare il sito Web all'indirizzo:
http://www.microsoft.com/italy/traincert/Default.mspx
Ulteriori informazioni

Sito Microsoft dedicato alla protezione
(per tutti gli utenti)


Sito TechNet dedicato alla protezione
(per professionisti IT)


http://www.microsoft.com/italy/security/default.mspx
http://www.microsoft.com/italy/technet/sicurezza.asp
Sito MSDN dedicato alla protezione
(per sviluppatori)

http://msdn.microsoft.com/security
(in lingua inglese)
Domande e risposte