Group policy, utenti e gruppi. A cura di: Roberto Morleo

Transcript

1 Group policy, utenti e gruppi A cura di: Roberto Morleo

2 La protezione dei Client In una rete, la protezione dei computer client deve assumere un importanza pari se non talvolta superiore, a quella relativa ai server. Ai pericoli dall esterno, tangibili e attesi, occorre di fatto sommare l insieme l dei rischi, intangibili e spesso inattesi, rappresentati dal fattore umano.

3 La protezione dei Client Uno dei concetti fondamentali della sicurezza informatica avverte, appunto, che ad un efficace difesa perimetrale non corrisponde la totale vulnerabilità della LAN rispetto alle minacce a carico dei sistemi operativi e delle applicazioni che girano nelle postazioni dei client.

4 La protezione dei Client Una grossa parte dei danni informatici a cui è soggetta una rete è dovuta ad errori commessi involontariamente dagli utenti (cancellazione o sovrascrittura di dati, download accidentale di virus allegati alle ).

5 La protezione dei client Es. Per un impresa, grande o piccola che sia, investire nella protezione dei client significa quindi sostanzialmente investire nella protezione delle informazioni residenti,, il cui furto o danneggiamento comporterebbe un pesante danno alla struttura: Aumento verticale dei tempi di inattività ( downtime ). Aumento dei costi di gestione IT (Information( Tecnology). Danneggiamento della reputazione aziendale.

6 La protezione dei client A fronte di questo scenario, occorre delineare un approccio sistematico alle procedure, integrando tali attività in una strategia globale di difesa in profondità ( defense in depth ) stratificando la sicurezza.

7 Stratificare la sicurezza I layer (strati) da prendere in esame per pianificare le procedure/tecnologie di protezione sono sintetizzabili nel tradizionale numero di 7: 1. Le procedure ( o policy ); 2. La sicurezza fisica; 3. Il perimetro; 4. La rete interna; 5. Gli host; 6. Le applicazioni; 7. I dati.

8 Stratificare la sicurezza In una rete la sicurezza deve essere pianificata livello per livello, valutando per ciascuno di essi le peculiari vulnerabilità che lo contraddistinguono.! %&'%! ' '% ' '%&(% ')&*% ' %& &% %! %& &&%$ + %% & "# #$ & (% (

9 Le procedure A questo livello ci si occupa della documentazione che descrive punto per punto tutte le procedure che hanno a che fare con la sicurezza nel senso più ampio del termine. Lo scopo principale di queste procedure è di creare un solido e strutturato livello di consapevolezza in tema di protezione della rete e di garantire che tutti gli utenti, a qualsiasi livello, conoscano e sappiano valutare il proprio livello di responsabilità all interno dell architettura di difesa. Alle policy verrà dedicata la seconda parte della presentazione.

10 La sicurezza fisica La sicurezza informatica è anche funzione del livello di sicurezza a cui sono sottoposte le risorse fisiche. Es. Esistono le telecamere di sorveglianza? Le stanze che contengono gli apparati sono adeguatamente protette?

11 IL perimetro Nel perimetro troviamo i punti di contatto fra la rete interna (per definizione ambiente sicuro ) ) e l esterno l (che potrebbe essere internet o un altra rete giudicata non sicura ). Risiedono inoltre quelle risorse accessibili sia dall interno che dall esterno come ad esempio il server Web

12 La rete interna E l ambiente in cui vivono i server e i pc degli utenti. Poiché per definizione la difesa perimetrale non è sufficiente a garantire un ragionevole livello di sicurezza, anche questo strato deve essere oggetto di attenta pianificazione. Un idea potrebbe essere quella di segmentare la rete al fine di controllare più facilmente la stessa.

13 Gli host Tutte le attività di protezione degli host sono riassumibili in quattro aree di intervento: Hardening Insieme delle attività volte ad aumentare il livello complessivo di sicurezza agendo sulle configurazioni di base del sistema operativo o delle applicazioni Autenticazione Misure di verifica dell identit identità tramite autenticazione (username( e password). Gestione degli aggiornamenti e delle patch L aggiornamento automatico dei sistemi operativi e delle applicazioni rappresenta uno degli elementi più critici dell intera architettura di difesa della rete informatica. Antivirus e personal firewall Difensori dell integrit integrità dei sistemi sono una doverosa scelta di implementazione.

14 Le applicazioni Un applicazione installata in un server o nel pc di un utente finale può presentare rischi per l intera l rete se tale applicazione è vulnerabile ad attacchi indiretti Esempi potrebbero essere i browser, il client di posta elettronica

15 I dati Sono il tesoro più importante e il loro livello di sicurezza è funzione di quanto applicato nei sei livelli fin qui presi in esame con l aggiunta l di interventi specifici quali le Access Control List (ACL) e la crittografia.

16 Un po di storia presente Nell ottobre 2001 la Microsoft ha lanciato un iniziativa conosciuta con l acronimo l STPP (Strategic( Technology Protection Program). Lo scopo di questo programma è di integrare prodotti, servizi e supporto Microsoft che puntano sulla sicurezza.

17 STPP Il programma si basa su due fasi per il mantenimento della sicurezza: GET SECURE che mira a trovare il giusto livello di sicurezza per ogni organizzazione seguendo i consigli offerti dalla Microsoft STAY SECURE Questa seconda fase ha lo scopo di creare una situazione che è inizialmente sicura. E poi di mantenere tale livello di sicurezza col passare del tempo, preventivando azioni contro eventuali attacchi e rispondendo loro quando necessario.

18 Group policy Le Group policy sono uno strumento essenziale per applicare e mantenere un determinato livello di sicurezza. Fortemente connesse alle Active Directory. Rappresentano una delle caratteristiche dell Active directory service e facilitano l implementazione dei domini Microsoft Windows Server Le group policy settings sono memorizzate nei Group Policy Objects (GPOs) nel database dell Active Directory.

19 Group policy Vi sono tredici categorie principali: 1. Administrative Templates (Registry Settings) 2. Security settings 3. Scripts 4. Remote Installation Service 5. Software Installation 6. Folder Redirection 7. Disk Quotas 8. Encrypted Data Recovery Agents 9. Internet Explorer Mantenance 10. IP Security Policies 11. Software Restriction 12. Quality of Service (QoS( QoS) Policies Policies

20 Active Directory e Group policy Un Active Directory per la rete è composta da quattro parti: The Local computer The Site The Domain The Organizational Unit Ogni server ed ogni postazione può far parte di uno ed un solo dominio e di uno e un solo sito. Con l uso l delle Active Directory, la gestione del dominio può essere facilitata con l implementazione delle Organizational Unit.

21 Domains vs. Organizational Units Domains Rappresenta la parte più importante delle Active directory in un Windows Server Tutti gli oggetti di una rete esistono come parte di un dominio e le policy di sicurezza sono distribuite uniformemente in ogni parte di esso. Tra più domini vige una relazione di transitività, Se il dominio A è in relazione con il dominio B, e il dominio B è in relazione con il domino C, allora, il domino A è in relazione con il dominio C. Più server DC nello stesso dominio sono multiple-master e peer- based. Entrambi hanno la stessa autorità sul dominio, e se uno di loro dovesse essere down i restanti continuerebbero ad amministrare il dominio. Ogni DC può generare cambiamenti al dominio e propagare questi cambiamenti agli altri DC.

22 Domains vs. Organizational Units Organizational Units Ha alcune delle caratteristiche del dominio. Una OU è contenuta nel dominio e funge da contenitore per i directory service objects. Essa può contenere utenti, gruppi, computer e altre Organizational Unit chiamate Child OUs. Può essere implementata da un GPOs. Le si può conferire autorità amministrativa per gli utenti, i gruppi e i computer contenuti in essa. È un valido strumento per suddividere e gestire in maniera ottimale un dominio. In caso di necessità,, una OU può essere implementata facilmente per mantenere operativo il dominio.

23 Organizational Unit Le organizational Unit sono usate per implementare adeguate configurazioni per un tipo specifico di utenti., -) ).) )) &-)

24 Domains vs. Organizational Units La scelta tra un DC e una OU dipende da vari fattori quali: il modello di sicurezza da applicare,la qualità delle connessioni.

25 Perché scegliere una Organizational Unit Necessità di decentralizzare l amministrazione del dominio; Necessità di differenziare le account policy; Necessità di segmentare la rete in contenitori separati; Permette interventi mirati sul dominio senza arrecare danni alla parte restante della rete; Facilità di manipolazione.

26 Group policy Objects level Local Security Policy È l unico GPOs che può essere implementato sulle macchine senza l uso l di Active Directory. Si può pensare ad esso come un Group Policy decentralizzato settando macchina per macchina il Local Group Policy.

27 Group Policy Objects level Site Policy Queste policy settings condizionano gli utenti in base alla geografia del sito. * & Laboratori.Economia

28 Group Policy Objects level Domain Policy Se un GPO è settato come Domain Policy,, queste condizioneranno solo il dominio e tutte le altre OUs e le Child OUs. Parent OU Policy Se un GPO è settato come OU Policy,, queste condizioneranno tutte le OUs del domini e le loro child OUs. Child OU Policy Esse si riferiscono a tutte e sole le child OUs presenti nel dominio.

29 Ordine di applicazione dei GPOs Di default,, il livello inferiore prende le policy settings dal livello superiore * &/ &/ &/ &/ & &/ &/

30 Gruppi e Utenti In generale, un gruppo è una collezione di user account. Windows Server 2003 prevede due tipi: security e distribuition. I security group sono i più usati in quanto si possono applicare ad essi restrizioni di ogni genere I distribuition group vengono usati solo con application.

31 Gruppi e Utenti Quando viene creato un gruppo bisogna assegnare ad esso un group scope. Vi sono tre possibili group scope: Global Scope; Domain Local Scope; Universal Scope.

32 Global Scope Un gruppo con un global scope prende i permessi dalle risorse allocate in ogni dominio. Sono molto usati per includere in essi directory object che hanno bisogno di frequente manutenzione, quali user e computer account. Possono a loro volta far parte di domain local group e universal group. Possono contenere nel loro interno : Altri global group dello stesso dominio; Account individuali provenienti dallo stesso dominio.

33 Domain Local Scope Un domain local group rappresenta l inverso l del global group nel senso che i membri contenuti in esso possono provenire da più domini, ma i permessi vengono regolamentati dalle risorse del dominio in cui il gruppo è stato creato. Essi possono contenere al loro interno: Altri domain local group apparteneti allo stesso domino; Global group provenienti da qualsiasi dominio; Universal group provenienti da qualsiasi dominio; Account individuali provenienti da qalsiasi dominio.

34 Universal Scope Uno universal group può contenere membri provenienti da ogni dominio presente nella rete e può prendere i permessi da un dominio qualsiasi della rete. Lo universal scope è la soluzione ideale per la gestione di utenti e gruppi in una rete implementata col metodo del multiple-domain domain. Hanno un forte impatto sulle performance della rete. Può contenere al suo interno: Altri universal group; Global group; Account individuali.

35 Gruppi e Utenti I nomi dei gruppi devono essere subito riconoscibili per ridurre i tempi di ricerca e di intervento. Gruppi che hanno simili caratteristiche devono avere nomi simili

36 Gruppi e Utenti È necessario sviluppare una strategia per usare i differenti tipi di gruppi. Una possibile strategia potrebbe essere quella di raggruppare i vari utenti, secondo le proprie caratteristiche, in domain local group per poi inserirli in global group,, per favorire una migliore gestione delle utenze.

37 Bibliografia Group Policy, Profiles and Intellimirror for Windows 2003, Windows XP and Windows 2000 Jeremy Moskowitz Windows XP Security Guide Windows Server 2003 Guide