Sicurezza e Policy
in
Active Directory
Sommario





Amministrazione della sicurezza in
una rete Windows 2003
Gestione dei permessi di accesso
alle cartelle di rete
Amministrazione della sicurezza
locale
Autorizzazioni per la stampa
Le policy: politiche di sicurezza in
un dominio
Gestione della Windows 2003 permette di definire dei
sicurezza
meccanismi di protezione per le
risorse della rete
I principali meccanismi di sicurezza sono:
 Le Permission per l’accesso alle cartelle di rete
condivise
 Le Permission per l’accesso a file e cartelle locali
 Le politiche di sicurezza del dominio: GPO
(Group Policy Object)
Tutte le impostazioni relative
alla sicurezza sono registrate in
Active Directory dei Domain
Controller
Amministratori
Gestione della
sicurezza
Tecniche di impostazione della
sicurezza
Per assegnare i permessi di accesso alle risorse,
si
applica
la
strategia:
?
A G DL P
AGDLP
La tecnica A G DL P prevede di:
A  creare user Account
G  inserire gli user account in Gruppi globali
DL  inserire i gruppi globali in Domain Local
group
P  assegnare i permessi per l’accesso alle
risorse, ai singoli gruppi locali al dominio
Gestione della
sicurezza
La strategia A G DL P
significa quindi…
Domain
Local
Global
group
group
risorsa
Permission
File server
user
Account
Cartelle
Creazione di una directory
condivise di
condivisa
in
una
rete
rete
Una cartella condivisa di rete (shared folder) è una
directory accessibile agli utenti autenticati, da tutti
i computer della rete.
Cartella
condivisa
File server
Cartelle
condivise di
rete
Creazione di una cartella
condivisa di rete
Nel file server…
Amministratori
Per default, dopo aver condiviso una
cartella, tutti gli utenti (gruppo Everyone)
possono accedere al suo contenuto
senza limitazioni (Full control).
Permessi di
accesso alle
cartelle di rete
Protezione delle cartelle
di rete
La sicurezza delle cartelle di rete è regolata dai
permessi di condivisione, che sono:
Permission di
condivisione
L’utente può compiere le
seguenti azioni:
completo controllo del
contenuto della cartella
leggere, scrivere e cancellare
file, eseguire programmi
leggere file ed eseguire
programmi
Permessi di Protezione delle cartelle
accesso alle
cartelle di rete
di rete
I permessi possono essere:
assegnati oppure negati
a gruppi o a singoli utenti (non consigliato).
I permessi di condivisione seguono le regole:
1. I permessi assegnati alla cartella condivisa, si propagano
nelle sottodirectory e in tutti i file contenuti
2. Se un utente compare in più gruppi, il permesso di
accesso complessivo è la somma di quelli dei gruppi a
cui appartiene
3. La regola 2. ha una eccezione: se ad un utente è negato
un permesso, l’accesso gli sarà sempre negato anche se
appartiene ad altri gruppi in cui dispone
dell’autorizzazione
Permessi di
accesso alle
cartelle di rete
Nel file server…
Assegnazione dei
permessi
Permessi di
accesso alle
cartelle di rete
Assegnazione dei
permessi
Tutti gli user del
GGstudenti
possono solo
leggere/eseguire
file.
Con i permessi…
Amministratori
File server
Permessi di
accesso locali
Protezione di cartelle e
file locali
La sicurezza delle cartelle e dei file locali è
regolata dai permessi NTFS, che sono:
Permission NTFS
locali
L’utente può compiere le
seguenti azioni:
completo controllo di file e cartelle
leggere, scrivere, cancellare ed
eseguire programmi
leggere file ed eseguire programmi
creare nuove cartelle/file
leggere file e aprire cartelle
visualizzare i nomi di file e
sottocartelle
Permessi di
accesso locali
Protezione di cartelle e
file locali
I permessi NTFS sono assegnati oppure negati:
 anche a singoli file;
 a gruppi o a singoli utenti (non consigliato).
I permessi NTFS seguono regole analoghe a quelle delle
cartelle di rete con le aggiunte:
 se una cartella condivisa ha impostati i permessi sia di
condivisione sia NTFS, si applica per l’accesso via rete il
permesso più restrittivo tra i due;
 i permessi NTFS sono applicati solo sulle
partizioni/volumi con file system NTFS.
Permessi di Se l’amministratore ha impostato per
accesso locali
una cartella entrambe i permessi
locali e remoti…
Permessi NTFS
+
Permessi di condivisione
Accesso remoto
(via rete)
File server
Permessi NTFS
Accesso locale
Permessi di
accesso locali
Assegnazione dei
permessi NTFS
Permessi di
stampa
Protezione delle stampanti
di rete
La sicurezza delle stampanti di rete è regolata dai
permessi di stampa, che sono:
Permission di
stampa
L’utente può compiere le
seguenti azioni:
completo controllo della
stampante
possibilità stampare e di gestire la
coda di stampa, con tutti i
documenti contenuti
possibilità di stampare e di gestire
esclusivamente il proprio
documento nella coda di stampa
Permessi di
stampa
Applicazione dei permessi di stampa
ad un Print Server…
Permessi di
stampa
Stampante
Print server
Periferica di stampa
Stampa sulla
stampante di rete
Permessi di
stampa
Sul print server…
Assegnazione dei
permessi di stampa
Politiche di Windows 2000 Server permette di
sicurezza amministrare la sicurezza dei domini
impostando politiche di sicurezza
Una politica di sicurezza (GPO: Group Policy
Object) è un oggetto di Active Directory.
Un GPO permette di definire:
 L’ambiente di lavoro dei computer, in
particolare, il desktop
 L’impostazione di applicazioni e dei servizi,
mediante l’esecuzione di script al log on
 Le restrizioni di accesso ai computer e quindi la
loro sicurezza (user rights)
 La gestione centralizzata del software installato
nel dominio (sia nuove versioni sia
aggiornamenti)
Politiche di
sicurezza
I GPO sono oggetti applicati a
domini e OU
Un GPO può essere applicato a un sito, un dominio
e una OU.
Se sono stati definiti più GPO, in un dominio con
OU, l’ordine di applicazione delle policy è fondato:
 Sulla ereditarietà
 La gerarchia degli oggetti contenitori in Active
Directory
Active
Directory
Politiche di
sicurezza
Esempi di applicazione delle
policy
GPO: Policy del dominio
eredita
priorità
GPO: Politiche LAB Fisica
GPO: Politiche Uffici
priorità
eredita
GPO: Politiche Didattica
Creazione di
una GPO
Per creare una nuova GPO a
livello di dominio in Active
Directory…
continua…
Creazione di
una GPO
Per creare una nuova GPO a
livello di dominio in Active
Directory…
Policy dei
computer
Policy degli
utenti
Ad esempio, impostiamo le user rights
Creazione Impostiamo una GPO, a livello
di una GPO
di una OU, per bloccare i
desktop dei computer…
Ordine di
L’ordine di applicazione delle
applicazione policy può essere modificato
GPO
L’ereditarietà di una GPO (dal dominio nelle sue
OU) può essere modificata impostando:
 Non sovrascrivere (No Override): blocca la
sovrascrittura delle politiche comuni (dominioOU) nelle OU figlie
 Blocca ereditarietà (Block Inheritance): blocca
la propagazione delle policy nelle OU figlie,
permettendo di creare politiche diverse da quelle
del dominio nelle OU
Active
Directory
Blocco
dell’ereditarietà
delle GPO
In Active Directory, per
modificare l’ereditarietà delle
policy nelle OU…
continua…
Blocco
dell’ereditarietà
delle GPO
Con le impostazioni
precedenti, otteniamo…
GPO: Policy del dominio
priorità
eredita
GPO: Politiche LAB Fisica
GPO: Politiche Uffici
Nuova policy
GPO: Politiche Didattica