09/01/04 1
SecuritySecuritySicurezza del sistema di reteSicurezza del sistema di rete
•Non è necessaria per il funzionamento della rete, ma è auspicabile per semplificarne la gestione.
•Consente di applicare agli utenti che operano dei criteri di sicurezza che definiscono che cosa ogni utente può o non può fare.
•I criteri più importanti consentono di definire
•il livello di accesso ai dati dei vari utenti
•il livello di accesso ai servizi dei vari utenti
09/01/04 2
SecuritySecurityCriteri di sicurezza per i Criteri di sicurezza per i serversservers
Definiscono le modalità con cui gli utenti possono effettuare operazioni sui servers stessi. Sono particolarmente importanti dato che nei servers risiedono gran parte dei dati e dei servizi accessibili attraverso la rete.
Per un server Win2000 i criteri di sicurezza vengono di norma impostati ad un livello predefinito durante l’installazione (attraverso i gruppi predefiniti).
Sui servers Win2000 è necessario impostare i diritti di accesso alle condivisioni (shareshare) attraverso la rete utilizzando gli utenti e/o gruppi di AD.
09/01/04 3
SecuritySecurityCriteri di sicurezza per i clientsCriteri di sicurezza per i clients
E’ possibile implementare dei criteri di sicurezza anche per i clients. Essi riguardano le operazioni che gli utenti possono effettuare sui clients stessi.
Tali criteri di sicurezza devono poter essere applicati in modo centralizzato, per cui si basano comunque sugli utenti e/o gruppi definiti in AD (nel dominio).
Il livello di criteri di sicurezza e la difficoltà di implementazione dipende dal sistema operativo installato nei clients.
09/01/04 4
SecuritySecuritySicurezza dell’infrastruttura di Sicurezza dell’infrastruttura di comunicazionecomunicazione
Permette di rendere sicure le comunicazioni nella LAN. Strumenti e tecnologie da utilizzare quando i dati che viaggiano sulla LAN sono sensitivi e la loro protezione riveste particolare importanza.
Utilizzano come meccanismo di base la criptazione dei dati (implica rallentamento delle comunicazioni).
La loro implementazione riguarda modifiche di configurazione ai protocolli di comunicazione utilizzati sia dai servers che dai clients.
09/01/04 5
SecuritySecurityConfigurazioni per la sicurezza del sistemaConfigurazioni per la sicurezza del sistema
Politiche di gestione degli Accounts (a livello di dominio e/o locali)
Politiche locali (per la macchina locale)
Gruppi ristretti (gruppi di utenti built-in con diritti particolari: administratorsadministrators, server operatorsserver operators, backup backup operatorsoperators, power userspower users )
Oggetti nell’albero AD
alcuni oggetti in AD possono rappresentare politiche di sicurezza (GPOGPO=group policy object)
alcuni oggetti in AD possono rappresentare il target (o scopescope) di un criterio di sicurezza
09/01/04 6
Active Directory e le GROUP POLICIESActive Directory e le GROUP POLICIES
I GPO (Group Policy Objects) applicano Configurazioni a Siti, Domini, e OU
Le Group Policy vengono ereditate nella gerarchia di Active Directory
Site
GPO
DomainDomain
OUOUOUOU
09/01/04 7
User Rights e PermissionUser Rights e PermissionLe Le user rightsuser rights (diritti utente) definiscono un (diritti utente) definiscono un
insieme di autorizzazioni, predefinite in Active insieme di autorizzazioni, predefinite in Active Directory, che possono essere assegnate ad un Directory, che possono essere assegnate ad un
account utente in un dominio.account utente in un dominio.
Esempi di user rights sono:Esempi di user rights sono: Log on locallyLog on locally un utente può effettuare il log-on in un un utente può effettuare il log-on in un server;server; Shut down the systemShut down the system un utente può spegnere il un utente può spegnere il server(shut down);server(shut down); Change the system timeChange the system time un utente è autorizzato a un utente è autorizzato a modificare l’ora in un server.modificare l’ora in un server.
Active Active DirectoryDirectory
09/01/04 8
User Rights e PermissionUser Rights e Permission
Le Le permissionpermission (permessi) definiscono i tipi di (permessi) definiscono i tipi di accesso alle risorse HW/SW che è possibile accesso alle risorse HW/SW che è possibile
assegnare ad un utente. Le permission sono assegnare ad un utente. Le permission sono diverse e dipendono dal tipo di risorsa.diverse e dipendono dal tipo di risorsa.
Esempi di permessi sono:Esempi di permessi sono:ReadRead permesso di lettura per le files e cartelle permesso di lettura per le files e cartelleExecuteExecute permesso di eseguire un file permesso di eseguire un file eseguibileeseguibilePrintPrint permesso per stampare su una permesso per stampare su una periferica fisica periferica fisica
09/01/04 9
Group PoliciesGroup Policies
Le Group Policy permettono:Le Group Policy permettono:– Impostazione di politiche in modo centralizzato Impostazione di politiche in modo centralizzato
e decentralizzatoe decentralizzato– Assicurare l’ambiente di lavoro opportuno agli Assicurare l’ambiente di lavoro opportuno agli
utentiutenti– Controllo di utenti e computersControllo di utenti e computers– Realizzazione di politiche aziendali riguardo Realizzazione di politiche aziendali riguardo
l’utilizzo delle risorsel’utilizzo delle risorse
SiteSite
DomainDomain
OUOU
Windows 2000 Applies ContinuallyWindows 2000 Applies Continually
UsersUsers
ComputersComputers
Administrator Sets Group Policy OnceAdministrator Sets Group Policy Once
Group PolicyGroup Policy
09/01/04 10
Group PoliciesGroup Policies
Tipi di Group Policy SettingsTipi di Group Policy SettingsTipi di Group Policy SettingsTipi di Group Policy Settings
AdministrativeTemplates
AdministrativeTemplates Impostazioni basate sui RegistryImpostazioni basate sui Registry
SecuritySecurity Impostazioni di sicurezza a livello locale, di dominio e di rete
Impostazioni di sicurezza a livello locale, di dominio e di rete
Software Installation
Software Installation
Impostazioni per la gestione centralizzata delle installazioni software
Impostazioni per la gestione centralizzata delle installazioni software
ScriptsScripts Esecuzione di scripts di Startup, shutdown, logon, e logoffEsecuzione di scripts di Startup, shutdown, logon, e logoff
Remote Installation Services
Remote Installation Services
Impostazioni per il controllo delle impostazioni dei clients di accesso remoto
Impostazioni per il controllo delle impostazioni dei clients di accesso remoto
Internet Explorer Maintenance
Internet Explorer Maintenance
Impostazioni di Microsoft Internet Explorer su computers Windows 2000
Impostazioni di Microsoft Internet Explorer su computers Windows 2000
Folder RedirectionFolder Redirection Impostazioni sulla localizzazione di cartelle utente nei servers di rete
Impostazioni sulla localizzazione di cartelle utente nei servers di rete
09/01/04 11
Group Policies ObjectsGroup Policies Objects
Group Policy Object
Contengono impostazioni di Group Policy
Contenuto memorizzato in due locazioni
memorizzate nella cartella SysvolSysvol dei domain controller
Forniscono impostazioni che verranno reperite e applicate dai clients
memorizzate in Active Directory Forniscono informazioni
utilizzate dai domain controllers
Group Policy Template (GPT)
Group Policy Container (GPC)
09/01/04 12
Group Policy per Computers e UtentiGroup Policy per Computers e UtentiGroup Policy Settings per Computers:
– specificano impostazioni per il sistema operativo, il desktop, la sicurezza, gli scripts di startup e shutdown, le applicazioni assegnate ai computers, e le impostazioni delle applicazioni
– Applicate all’avvio del sistema e durante cicli di refresh periodici
Group Policy Settings per Utenti:– specificano impostazioni per il sistema operativo, il
desktop, la sicurezza, gli scripts di startup e shutdown, le applicazioni assegnate ai computers, e le impostazioni delle applicazioni, la redirezione di cartelle, script di logon e logoff
– Appicate al logon dell’utente e durante cicli di refresh periodici
UsersUsers
ComputersComputers
09/01/04 13
GPO e Active Directory ContainersGPO e Active Directory Containers
la GPO vengono impostate per utenti e computers nei Site, Domini, e OU a cui la GPO è linkata– è possibile linkare una GPO a più siti, domini, OU– è possibile linkare più GPO a un sito, dominio, OU
Non è possibile linkare una GPO a un container di default di Active Directory
SiteSite
DomainDomain
OUOU
OUOUOUOU
OU GPOOU GPO OU GPOOU GPO
Site GPOSite GPODomain GPODomain GPO
09/01/04 14
Security (Strumenti)Security (Strumenti)Security TemplatesSecurity Templates
•Modelli Predefiniti (sono files di testo .inf). Possono essere importati in un database di impostazioni di sicurezza (usando Security Configuration and Analisys) o in un oggetto GPOGPO.
• basicdc.infbasicdc.inf (per domain controller)
• basicsv.infbasicsv.inf (per Win2000 server)
• basicwk.infbasicwk.inf (per Win2000 workstation)
09/01/04 15
Security (strumenti)Security (strumenti)Security Configuration and Analysis (snap-in Security Configuration and Analysis (snap-in mmc)mmc)
•Per default lo snap-in punta al database locale (local computer security database)
•Può essere utilizzato per aprire un altro database:
> Security Configuration and Analysis > Open Database > > Security Configuration and Analysis > Open Database > Import TemplateImport Template
•E’ possibile importare più templates (merge) in un database
• Configure Computer NowConfigure Computer Now applica le impostazioni contenute nel database aperto al sistema locale.
Permette di costruire dei databases di impostazioni di sicurezza, che possono essere utilizzati come impostazioni di sicurezza locali o confrontati con esse.
09/01/04 16
SecuritySecuritySecurity settings extension per Group Policy Security settings extension per Group Policy EditorEditor
•(local, domain, e OU)
•E’ la modalità raccomandata per l’impostazione della sicurezza (locale o a livello di gruppi di hosts) in un dominio Active Directory.
> gpedit > oggetto GPO (locale o in AD) > Computer settings > Security settings
•Secedit.exe (da linea di comando)
09/01/04 17
Security per i ClientsSecurity per i ClientsPolicyPolicy
Le Policies sono impostazioni che divengono obbligatorie su un client quando settate da un amministratore attraverso la rete.
Consentono la gestione centralizzata di vari aspetti dell’esecuzione del client.
Il meccanismo di funzionamento consiste in
• specificare dei valori per le policy tramite opportuna utility
• memorizzare il file contenente le policy in uno share particolare di un server di autenticazione di rete
• distribuire automaticamente le policy quando un utente effettua da un client il log-in alla rete.
09/01/04 18
Security per i ClientsSecurity per i ClientsSystem policySystem policy
Le System policiesSystem policies sono utilizzate in Win98 e WinNT.
Esse forniscono all’amministratore la possibilità di controllare vari aspetti dell’ambiente di esecuzione dei Clients.
Consistono in impostazioni di registro applicate al computer utente nel momento in cui viene effettuato il log in nella rete.
Ad esempio
• modifica delll’interfaccia utente (desktop)
• concessione di permessi di esecuzione di applicazioni.
09/01/04 19
Security per i ClientsSecurity per i ClientsGPO (Group Policy Object)GPO (Group Policy Object)
Le GPOGPO sono utilizzate in Windows2000 e Windows XP Professional.
Consistono in oggetti creati in ActiveDirectory e a cui viene assegnato uno scope, che può andare dal computer locale ad un intero dominio.
09/01/04 20
Security per i ClientsSecurity per i ClientsWindows 98Windows 98
E’ possibile l’amministrazione centralizzata del Client utilizzando le system policy, che vengono installate sul Win2000 Server e poi distribuite ai Clients.
Le system policy di Win98 sono memorizzate in modo diverso dalle group-policy (GPO) di Windows 2000.
Per creare le system policy per Win98, su un Client Win98, si utilizza il programma poleditpoledit, installabile da
CDROM Win98SE\tools\reskit\netadmin\poledit.
Dalla stessa dir, con il programma poledit, vanno installati i templates .adm (common.adm)
Options | Policy Template | Add
09/01/04 21
Security per i ClientsSecurity per i ClientsWindows 98Windows 98
A questo punto si hanno a disposizione le policy
•Local Computer
•Local User
E’ quindi possibile impostare dei valori per tali policy (ovvero impostare le modifiche per le voci di registro).
Il file che si ottiene salvando le policy (.pol) va quindi copiato nella cartella netlogonnetlogon del Server Windows 2000.
09/01/04 22
Security per i ClientsSecurity per i ClientsWindows 98Windows 98
Lo strumento essenziale è il documento Microsoft HowTo Q318753
Le operazioni principali da effettuare per poter impostare la sicurezza sui clients Win98 sono:
•utilizzare un Client Windows 98 per installare gli strumenti di implementazione delle system policy in locale (poledit, criteri di gruppo, …)
•impostare le policy necessarie
•salvare il file di configurazione delle policy nello share netlogonnetlogon del server Windows2000
09/01/04 23
Security per i ClientsSecurity per i ClientsWindows 98Windows 98
Per abilitare il client Win98 a supportare le group policy, è necessario installare Grouppol.dll su ciascun computer a cui le policy devono essere applicate.
Esso si installa da
Add/Remove Programs
Windows Setup
System Tools
09/01/04 24
ClientsClientsWin2000 workstationWin2000 workstation
E’ il client naturale di Win2000 Server.
In un dominio Active Directory (AD) le Group Policy (GPO) vengono impostate sui Win2000 clients a seconda dello scope (=obbiettivo) costituito da altri oggetti definiti in AD.
Le policy vengono distribuite ai Clients al momento del login, o si può forzare il refresh delle policy dal server.
09/01/04 25
ClientsClientsWindows XPWindows XP
Nella sua versione XP Professional è il successore di Win200 workstation, e come quest’ultimo supporta le Group Policy.
09/01/04 26
torna a principale
09/01/04 27