locked
creare una lan con Server 2008 - sicurezza e restrizioni per i clients su installazioni e salvataggio file

    Question

  • salve,

    vorrei avere informazioni riguardo la creazione di una rete lan conwindows server 2008.

    nell'ordine le domande sono:
    a. - cosa si deve approntare ( sotto l'aspetto hardware e software ) per una massima sicurezza nei confronti dell'hacking per le password dei clients e del server, per quanto riguarda gli accessi da remoto non autorizzati e gli accessi da Internet non autorizzati;
    b. - volendo creare una rete ( definita sui s.o. Windows, "domestica" ) per usi professionali, senza il Windows Server 2008, è possibile raggiungere lo stesso grado di sicurezza che si raggiunge con il windows server 2008 riguardo le problematiche descritte al punto a?
    c. - se era possibile impostare come amminsitratore della rete, criteri di gruppo o protezione che impediscano aigli utenti dei computer clients di:
        - installare qualunque tipo di software od di avviarlo da immagini iso o da penne usb rimovibili;
        - di salvare i file creati od elaborati ( di qualunque tipo ) al di fuori di determinate cartelle o directory o su penne rimvoibili escludendo la possibilità di salvare su penne usb ad esempio;

    Wednesday, October 14, 2009 6:57 AM

Answers

  • ciao,

    sulle tue domande si potrebbero scrivere parecchi libri però, volendo mantenere una giusta sintesi, direi:

    a.- sotto l'aspetto hardware due server in ciascuna sede geografica della tua azienda, ciascun server configurato come domain controller di un dominio con dns, global catalog e dhcp server installati. nelle domain policies l'attivazione delle password policies con durata minima e massima, lunghezza minima e massima, complessità della password e blocco degli account dopo 3 tentati falliti. con questa struttura protegg gli accessi sia intranet sia internet.

    b.- no. o meglio, è possibile ma devi agire su ciascun client andando a modificare le loacl policies per ciascuna macchina. un lavoraccio che non serve fare se hai un dominio e l'amministrazione centralizzata.

    c.- con le group policies è possibile fare tutto quello che richiedi in questo punto.

    ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Wednesday, October 14, 2009 7:07 AM
  • vado in ordine.

    chiarimento: le local policies sono il repository locale delle policies di ogni computer del dominio, client o server che sia. per group policies si intendono le policies configurate centralmente in active directory e poi propagate a tutti i computers membri del dominio. l'effetto della propagazione è una sovrascrittura delle local policies che vengono sovrascritte dalle group policies.

    d.- siccome la prudenza non è mai troppa è preferibile adottare tutte le contromisure possibili quindi l'impedimento di mandare in esecuzione programmi dannosi quantomeno per gli utenti limitati va integrato con un blocco selettivo degli accessi mediante firewall possibilmente che permetta un filtraggio "granulare" dei pacchetti.

    l'accesso mediante VPN è solo uno dei possibili canali di accesso alla rete locale. il suggerimento che ti è stato dato è corretto e non comporta particolari costi aggiuntivi. un qualunque router/firewall anche di fascia bassa permette di mettere "in ascolto" un server vpn.

    e.- qui http://support.microsoft.com/kb/223301 trovi una spiegazione sulle differenze di salvataggio delle credenziali degli utenti quando si è in dominio rispetto a macchine stand alone.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Wednesday, October 14, 2009 9:52 AM
  • Ciao,

    le considerazioni di Edoardo sono più che giuste.

    Gli strumenti sono molteplici ma la chiave è sempre la stessa : le risorse da gestire.

    Il primo passo è sempre quello di individuare le risorse di rete e catalogarle.

    Sicuramente appoggiarsi ad un sistema di directory come quello di Microsoft AD DS (Active Directory Directory Service) è un inizio importante.

    Centralizzare le risorse facilità la gestione e aumenta la sicurezza.

    Dopo con W2k8 hai diverse possibilità per rendere sicura la rete : le GPO (Group Policy Object) ti permettono di distribuire le impostazioni e soprattutto le restrizioni su client.

    Inoltre le GPO Preferences estendono le potenzialità delle GPO permettendo la gestione degli oggetti utente e computer evoluta.

    http://technet.microsoft.com/en-us/library/cc731892%28WS.10%29.aspx


    Le ACL (Access Control List) ti permettono di gestire le autorizzazioni sulle cartelle utilizzando gruppi dichiarati in AD DS.

    Poi puoi utilizzare ad esempio File Server Resourse Manager per bloccare i tipi file sulle share ,impostare quote disco per gli utenti...


    In un dominio AD DS il protocollo Kerberos rende sicura l'autenticazione - poi puoi aggiungere IPSec per crittografare il traffico.

    Puoi firmare il traffico SMB e le query LDAP su cui AD DS lavora.

    Puoi creare anche una PKI (pubblic key infrastructure) per i certificati.

    Tutto questo con W2k8 e senza acquistare altro.


    Gli accessi dall'esterno vanno bloccati da Firewall hardware e la navigazione dall'interno gestita da un proxy software.

    I software che hai mensionato sono "particolari".

    Lavorando su le porte 80 e 443 e non utilizzando protocolli specifici e occorre bloccarli all'origine (proibirne l'installazione) e lavorare sui firewall per bloccare gli IP dei server ai quali si connettono e i nomi dei dominio specifici.

    Altre attivita di "prevent intrusion detection" le fai sui firewall hardware (content filtering,analisi dei protocolli).

    Relativamente al punto della rete sicura senza AD DS potresti dare un occhio a

    Windows SteadyState
    http://www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx

    Questo tool che nasce per le scuole e gli internet cafè  ti permette di rendere sicura una rete basata su client Windows in peer2peer (Workgroup).

    Magari con un file server linux riesci a creare una rete a basso costo.

    Ma la gestione diventa difficoltosa e le vulnerabilità rischiano di aumentare (interoperabilità dei sistemi e conoscenze specifiche degli stessi) - se non si conosce bene Linux o Windows si rischia di creare un falla.

    Inoltre in una rete con Windows SteadyState hai comunque un lavoro di amministrazione non indifferente e se la rete è destinata a crecere è meglio partire con AD DS dall'inizio e creare una infrastruttura facilmente gestibile,scalabile e sicura.
    Wednesday, October 14, 2009 9:28 PM
  • Salve Mirosua,

    ti ringrazio per queste info.

    f. - quando parlavi di navigazione interna gestita da proxy software, sarebbe equivalente ad un server proxy?

    g. - infine ti chiedo come funziona la gestione centralizzata delle password e e se può dare problemi e come funziona allorquando la integro con lettori di impornte digitali.


    Valentino
     
    Ciao Valentino,

    per il punto f - si intendo proprio questo - il software proxy può essere su server dedicato o ospitato su uno dei server meno critici che puoi avere in rete.

    Per quanto riguarda l'altro punto ,ti posto una parte di un documento che ho preparato per una sessione formativa con i ragazzi del mio team sistemistico relativo ad AD DS.

    Praticamente viene illustrato in maniera generale il sistema di autenticazione per W2k3/W2k8 in presenza di Active Directory.

    Trovi comunque in rete molte informazioni,questo vale come spunto.

    <!-- /* Font Definitions */ @font-face {font-family:"Cambria Math"; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:-1610611985 1107304683 0 0 159 0;} @font-face {font-family:Calibri; panose-1:2 15 5 2 2 2 4 3 2 4; mso-font-charset:0; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:-1610611985 1073750139 0 0 159 0;} @font-face {font-family:Verdana; panose-1:2 11 6 4 3 5 4 4 2 4; mso-font-charset:0; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:-1593833729 1073750107 16 0 415 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:""; margin-top:0cm; margin-right:0cm; margin-bottom:10.0pt; margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-fareast-font-family:Calibri; mso-bidi-font-family:"Times New Roman"; mso-fareast-language:EN-US;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:10.0pt; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt; mso-ascii-font-family:Calibri; mso-fareast-font-family:Calibri; mso-hansi-font-family:Calibri;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 2.0cm 2.0cm 2.0cm; mso-header-margin:36.0pt; mso-footer-margin:36.0pt; mso-paper-source:0;} div.Section1 {page:Section1;} -->

     

    L ’autenticazione in AD/DS

    Kerberos

    Il protocollo Kerberos è utilizzato per l’autenticazione e ha come funzione principale quella di non trasmettere le password in rete ma di utilizzare delle librerie sul server e sul client per generare delle chiavi di crittografia per l’encryption della password stessa (secret shared key system).

    La struttura è molto complessa è nasce appunto per permettere il processo di autenticazione sulle reti aperte e non sicure (tipo Internet).

    Le librerie sono chiamate   SSP (security support provider) e oltre a quella per Kerberos abbiamo una SSP per NTLM.

    Le librerie sono caricate dal Local Security Authority (LSA) all’avvio di Windows.

    Kerberos non serve solo per la’utenticazione degli utenti ma anche delle connesioni (account computer di una rete basata su AD DS).

    SSPI (Secure Service Provider Interface) decide quale libreria invocare tra i SSP disponibili per iniziare la fase di autenticazione è quindi di autorizzazione.

    AD DS KDC

    Il KDC (Key Distribution Center) si attiva quando una istanza di AD DS viene installata -   serve a mantenere  un database di credenziali (in realta il database è quello di AD DS e le chiavi di crittografia sono salvate come attributo dell’oggetto di AD DS che rappresenta l’entità, al momento della creazione dell’oggetto corrispondente).

    Questa chiave è la LTK (Long Term Key) ovvero la chiave di crittografia conosciuta solo dal KDC e dall’entità che si deve autenticare (computer , utenti e servizi).

     

    Quando un utente è davanti alla finestra di “CTRL+ALT+CANC”   è già avvenuta la fase di autenticazione relativa all’account computer.

    Ma vediamo per l’utente cosa avviene :

     L’utente e la password inserita con l’accesso interattivo vengono lette – la password viene passata al SSP Kerberos che genera ,con un algoritmo DES-CBC-MD5   (con Windows Server 2k8 e Vista è supportato anche AES), una chiave di crittografia ovvero la “session key”.

    Le credenziali vanno nella cache del client.

    Tale chiave è conosciuta dal KDC (poichè l’algoritmo utilizzato è lo stesso) e quindi riesce a decifrare un eventuale pacchetto che è inviato dall’utente tramite rete e crittografato con la session key.

      il pacchetto in questione (il primo) serve per richiedere il ticket Kerberos “TGT” ovvero il “Ticket Grating Ticket” – questo è  il primo scambio che avviene tra KDC e client,sul quale l’utente si sta loggando.

    Il TGT serve perchè l’utente possa ottenere i  TGS ovvero il Ticket Grating Service che permette l’accesso alle risorse di rete (share dei vari server,stampanti) e lo deve esibire per tale operazione.

    Il TGS viene generato appena l’utente ha necessità di accedere alle risorse,ma non significa che vi ha accesso automaticamente : questa parte viene gestita dal “Token di autenticazione” che contiene i gruppi di AD DS a cui l’utente appartiene, viene generato in fase di logon ed è restituito dal KDC inserito all’interno del TGT)  : il token viene confrontato con l’Access Control List delle risorse condivise -   è il concetto di autorizzazione.

    I TGT e TGS hanno una scadenza e devono essere rinnovati (il timestamp ha un rulo importante) : ecco l’importanza della sincronizzazione dell’ora in una rete AD DS.

     

    Il concetto dei Ticket vale anche per l’account computer che per accedere alla rete richiede i suoi ticket – il meccanismo funziona,la password non viaggia mai in rete e se il pacchetto è intercettato non è facile decifrarlo (lo scambio dei ticket che qui è semplifcato è invece più corposo - le informazioni contenute sono diverse e le chiavi di crittografia coinvolte variano a seconda del layer sul quale l’utenticazione sta viaggiando).

     Per tornare a noi,  se utilizziamo SMART CARD e Lettori Biometrici non facciamo altro che aggiugere altri algoritmi di crittografia (CSP ovvero Cryptographic Service Provider) – do per scontato che i client della tua rete siano Vista e superiori.

    Infatti il supporto per questo tipo di sistemi (Smart card e lettori biometrici) è stato migliorato e la fase di login utenteè   stata riscritta dal Team MICROSOFT responsabile dell’autenticazione (GINA è stata sostituita da LogonUi che intercetta le credenziali e le passa al SSP di Kerberos).

    Naturalmente con il lettore biometrico avrai dei driver e librerie del produttore che interagiscono con Windows per gestire l’autenticazione.

    Inserisci dei layer in più ma il meccanismo in linea di massima è questo.


    Thursday, October 15, 2009 9:53 PM
  • salve Edoardo,

    volevo un chiarimento.

    Riguardo la risposta d, indichi che: " ... va integrato con un blocco selettivo degli accessi mediante firewall possibilmente che permetta un filtraggio "granulare" dei pacchetti. ... ". Cosa sarebbe e quale router o firewall software consente il filtraggio granulare dei pacchetti? 

    beh, come firewall software indubbiamente isa server o il suo attuale successore
    Forefront Threat Management Gateway di cui trovi informazioni qui
    http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/threat-management-gateway-mbe.aspx
    ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Thursday, October 15, 2009 8:48 AM
  • rispondo in ordine.

    i.- purtroppo non conosco il tool Symantec Protection Suite Small Business Edition ma credo che sia equivalente ad un'infinità di tool simili di terze parti. questi tool hanno il pregio di essere preconfigurati quindi aiutano l'utente di basso livello mentre il firewall di windows server 2008 o forefront threat management gateway richiedono maggiori competenze per ottenere una corretta configurazione. non è quindi questione di maggiore o minore sicurezza dato dal software quanto maggiore o minore competenza richiesta per configurarlo.

    l.- l'uso di lettori biometrici ha efficacia quando si temono violazioni fisiche degli ambienti in cui vengono tenute le macchine o furti di notebook e servono più ad intimorire che a proteggere veramente perchè la caratteristica biometrica è sempre mappata su una tradizionale credenziale che a lungo andare potrebbe essere ugualmente violata.

    m.- sebbene mi sembra tu stia saltando "di palo in frasca", windows server 2008 va benissmo per mettere in esecuzione sullo stesso un web server e un sql server. la versione del framework va bene come vanno bene anche versioni precedenti tanto sono tutte patchate.

    n.- la risposta è si se disponi di una chiavetta hdspa o umts di un provider di telefonia mobile e configuri una connessione vpn che verrà autenticata dal tuo server mediante il servizio rras.

    o.- il Bitlocker ToGo funziona sia su sistemi a 32 bit sia su quelli a 64 bit.

    ciao.

    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Friday, October 16, 2009 5:53 PM
  • ciao Mirosua,

    molto utile quanto hai spiegato.

    Proprio ieri ho visionato alcuni filmati della Microsoft sul nuovo windows server 2008 R2 che integrato con Windows 7 consente parecchio anche in termini di sicurezza senza un access VPN.

    Premesso che sto valutando i sistemi server 2008 soprattutto per aumentare notevolmente i valori della sicurezza dei dati trattati ( come ad esempio lo sviluppo di software ed applicativi per la progettazione di strutture in cemento armato, fibre di carbonio legno ed acciaio ) per preservarsi dall'haching fisico alle macchine stavo valutando di implementare la stessa sopratutto ocn l'uso di lettori di impronte digitali ocn smart card e microchip cifrato.

    g. - Come và integrato l'uso degli stessi per l'autenticazione come account per i pc clients e l'autenticazione sul server come amministratore del dominio se si prende in considerazione che il windows server 2008 R2 integra il nuovo BitLocker ToGO ad esempio?  anche se tu hai già risposto positivamente in merito all'aumento della sicurezza se si usano lettori fingerprint + smart card,  quanto aumenta la sicurezza integrando e configurando il tutto con bitlockerToGo + trusted Platform Module 1.2 + lettore e smart card +l'E.F.S. + Rights Management Systems e l'AppLocker - senza contare l'User Account Control che mi sembra poter far rientrare nelle "client policies" - ?

    h. - nell'ipotesi di sfruttare appieno quanto offerto dal bitLocker ToGo - che sicuramente come per il BitLocker normale del Vista Ultimate richiede un hardware TPM almeno 1.2 anche se questo punto non lo ho ancora verificato per il windows 7 - del windows server 2008 R2, le macchine con configurazione hardware T.P.M. 1.2 o successivi devono esser esia clients che il server?

    Valentino 

    Ciao,
    scusa ma riesco a rispondere solo adesso :-)


    prima di tutto Bitlocker ToGo non è una evoluzione di Bitlocker ma una features che permette di estendere Bitlocker ad un accesso passphrase o smart card ad unità removibili (USB devices).

    BitLocker gestisce invece la protezione dei volumi di sistema operativo e dati e quindi serve per evitare che i dischi di una macchina server o client se alterati a macchina spenta da malintenzionati ,non possano essere accessibili nel contenuto se non si conosce la passphrase di recovery mode (crittografati).
    In particolare per i notebook utilizzati dai roaming user (gente che va in giro e magari porta con se un notebook che contiene i dati importanti dell'azienda) si può beneficiarne e avere un livello di sicurezza aggiunto.

    TPM 1.2 è un requisito di Bitlocker se si vuole avere una gestione della crittografia (sealing della VMK) partendo da chip hardware (SRK di TPM) e si vuole gestire l'integrita della partizione partizione di avvio (file di boot) ,avere un pin (o pin con in più aggiunta di USB Key) per avviare il sistema - la versione 1.2 è requisito minimo e la mother boad deve sempre comunque essere presente nell'HCL di Microsoft per TPM.

    In AD DS puoi gestire la recovery key ,policy che obbligano ad avere Bitlocker2Go attivo,lunghezza del pin.

    TPM devi averlo su hardware server e client a prescindere - in base al livello di protezione che vuoi ottenere per le macchine e alle modalità di avvio del sistema che vuoi implementare.

    'E.F.S. + Rights Management Systems e l'AppLocker - senza contare l'User Account Control' ......

    sono tutti strumenti che aggiungono sicurezza a vari livelli sempre però che si abbia chiaro quale è il flusso delle informazioni all'interno dell'organizzazione (tipo decidere di usare Rights Management Systems con Exchange 2007 per i contenuti degli allegati gestisti con client e-mail tipo Outlook.....).

    Attenzione a non nidificare troppo i livelli di sicurezza - potresti rendere impossibile la user experience.

    Valuta il processo aziendale e dopo che lo hai chiaro individua il flusso di informazioni (dove passa ,viene archiviato e per quanto tempo),chi accede alle informazioni ,quando e da dove.

    Allora puoi cominciare a proteggere i dati definendo politiche e introducendo le tecnologie adeguate.


    Sunday, October 18, 2009 8:26 PM

All replies

  • ciao,

    sulle tue domande si potrebbero scrivere parecchi libri però, volendo mantenere una giusta sintesi, direi:

    a.- sotto l'aspetto hardware due server in ciascuna sede geografica della tua azienda, ciascun server configurato come domain controller di un dominio con dns, global catalog e dhcp server installati. nelle domain policies l'attivazione delle password policies con durata minima e massima, lunghezza minima e massima, complessità della password e blocco degli account dopo 3 tentati falliti. con questa struttura protegg gli accessi sia intranet sia internet.

    b.- no. o meglio, è possibile ma devi agire su ciascun client andando a modificare le loacl policies per ciascuna macchina. un lavoraccio che non serve fare se hai un dominio e l'amministrazione centralizzata.

    c.- con le group policies è possibile fare tutto quello che richiedi in questo punto.

    ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Wednesday, October 14, 2009 7:07 AM
  • ciao Edoardo,

    ti ringrazio molto per le info.

    un chiarimento: alla risposta b indicavi local policies mentre al punto c group policies. Non sono chiaramente la stessa cosa o lo sono?

    ho posto poi il quesito perchè ho individuato come primario veicolo di accessi hacker non autorizzati da remoto, la necessità di installare sui pc client ( anche non in lan con server e dominio ) dei programmi tipo il LogMeIn che consentono di accedere al pc client e di violarne la sicurezza se ad esempio installati all'insaputa del proprietario o amministratore dei pc o della rete.

    Quindi ho individuato come potenziale sistema di blocco dell'hacking da remoto ( sia su lan domestica che con dominio e server ):
    -  il bloccare l'installazione di qualunque tipo di software per tutti i vari utilizzatori ( users non amminsitratori )  dei vari pc clients ( parlando sia che io abbia rete domestica o una lan con windows server 2008 ).

    d. - E' questo l'unico modo per preservare una lan da accessi hacker da remoto ? oppure l'installatore della rete dovrà agire anche sui firewall in entrata sui vari pc, integrandolo magari con un router con firewall?

    un'altro Moderatore mi ha consigliato l'accesso VPN ma credo che abbia dei costi notevolmente differenti rispetto a firewall e router professionali.

    e. - infine, in windows Server 2008 quanto è sciura la conservazione delle password  gestendole  con l'Active Directory e la gestione centralizzata delle password di autenticazione per l'accesso ai pc clients prendendo ad esempio in considerazione il pwdump6 per la trafugazione e decrittografazione dei file sam con win XP profesisonal?

    Valentino
    Wednesday, October 14, 2009 9:26 AM
  • vado in ordine.

    chiarimento: le local policies sono il repository locale delle policies di ogni computer del dominio, client o server che sia. per group policies si intendono le policies configurate centralmente in active directory e poi propagate a tutti i computers membri del dominio. l'effetto della propagazione è una sovrascrittura delle local policies che vengono sovrascritte dalle group policies.

    d.- siccome la prudenza non è mai troppa è preferibile adottare tutte le contromisure possibili quindi l'impedimento di mandare in esecuzione programmi dannosi quantomeno per gli utenti limitati va integrato con un blocco selettivo degli accessi mediante firewall possibilmente che permetta un filtraggio "granulare" dei pacchetti.

    l'accesso mediante VPN è solo uno dei possibili canali di accesso alla rete locale. il suggerimento che ti è stato dato è corretto e non comporta particolari costi aggiuntivi. un qualunque router/firewall anche di fascia bassa permette di mettere "in ascolto" un server vpn.

    e.- qui http://support.microsoft.com/kb/223301 trovi una spiegazione sulle differenze di salvataggio delle credenziali degli utenti quando si è in dominio rispetto a macchine stand alone.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Wednesday, October 14, 2009 9:52 AM
  • Ciao,

    le considerazioni di Edoardo sono più che giuste.

    Gli strumenti sono molteplici ma la chiave è sempre la stessa : le risorse da gestire.

    Il primo passo è sempre quello di individuare le risorse di rete e catalogarle.

    Sicuramente appoggiarsi ad un sistema di directory come quello di Microsoft AD DS (Active Directory Directory Service) è un inizio importante.

    Centralizzare le risorse facilità la gestione e aumenta la sicurezza.

    Dopo con W2k8 hai diverse possibilità per rendere sicura la rete : le GPO (Group Policy Object) ti permettono di distribuire le impostazioni e soprattutto le restrizioni su client.

    Inoltre le GPO Preferences estendono le potenzialità delle GPO permettendo la gestione degli oggetti utente e computer evoluta.

    http://technet.microsoft.com/en-us/library/cc731892%28WS.10%29.aspx


    Le ACL (Access Control List) ti permettono di gestire le autorizzazioni sulle cartelle utilizzando gruppi dichiarati in AD DS.

    Poi puoi utilizzare ad esempio File Server Resourse Manager per bloccare i tipi file sulle share ,impostare quote disco per gli utenti...


    In un dominio AD DS il protocollo Kerberos rende sicura l'autenticazione - poi puoi aggiungere IPSec per crittografare il traffico.

    Puoi firmare il traffico SMB e le query LDAP su cui AD DS lavora.

    Puoi creare anche una PKI (pubblic key infrastructure) per i certificati.

    Tutto questo con W2k8 e senza acquistare altro.


    Gli accessi dall'esterno vanno bloccati da Firewall hardware e la navigazione dall'interno gestita da un proxy software.

    I software che hai mensionato sono "particolari".

    Lavorando su le porte 80 e 443 e non utilizzando protocolli specifici e occorre bloccarli all'origine (proibirne l'installazione) e lavorare sui firewall per bloccare gli IP dei server ai quali si connettono e i nomi dei dominio specifici.

    Altre attivita di "prevent intrusion detection" le fai sui firewall hardware (content filtering,analisi dei protocolli).

    Relativamente al punto della rete sicura senza AD DS potresti dare un occhio a

    Windows SteadyState
    http://www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx

    Questo tool che nasce per le scuole e gli internet cafè  ti permette di rendere sicura una rete basata su client Windows in peer2peer (Workgroup).

    Magari con un file server linux riesci a creare una rete a basso costo.

    Ma la gestione diventa difficoltosa e le vulnerabilità rischiano di aumentare (interoperabilità dei sistemi e conoscenze specifiche degli stessi) - se non si conosce bene Linux o Windows si rischia di creare un falla.

    Inoltre in una rete con Windows SteadyState hai comunque un lavoro di amministrazione non indifferente e se la rete è destinata a crecere è meglio partire con AD DS dall'inizio e creare una infrastruttura facilmente gestibile,scalabile e sicura.
    Wednesday, October 14, 2009 9:28 PM
  • Salve Mirosua,

    ti ringrazio per queste info.

    f. - quando parlavi di navigazione interna gestita da proxy software, sarebbe equivalente ad un server proxy?

    g. - infine ti chiedo come funziona la gestione centralizzata delle password e e se può dare problemi e come funziona allorquando la integro con lettori di impornte digitali.


    Valentino
    Thursday, October 15, 2009 8:30 AM
  • salve Edoardo,

    volevo un chiarimento.

    Riguardo la risposta d, indichi che: " ... va integrato con un blocco selettivo degli accessi mediante firewall possibilmente che permetta un filtraggio "granulare" dei pacchetti. ... ". Cosa sarebbe e quale router o firewall software consente il filtraggio granulare dei pacchetti? 

    Valentino
    Thursday, October 15, 2009 8:35 AM
  • salve Edoardo,

    volevo un chiarimento.

    Riguardo la risposta d, indichi che: " ... va integrato con un blocco selettivo degli accessi mediante firewall possibilmente che permetta un filtraggio "granulare" dei pacchetti. ... ". Cosa sarebbe e quale router o firewall software consente il filtraggio granulare dei pacchetti? 

    beh, come firewall software indubbiamente isa server o il suo attuale successore
    Forefront Threat Management Gateway di cui trovi informazioni qui
    http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/threat-management-gateway-mbe.aspx
    ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Thursday, October 15, 2009 8:48 AM
  • Salve Mirosua,

    ti ringrazio per queste info.

    f. - quando parlavi di navigazione interna gestita da proxy software, sarebbe equivalente ad un server proxy?

    g. - infine ti chiedo come funziona la gestione centralizzata delle password e e se può dare problemi e come funziona allorquando la integro con lettori di impornte digitali.


    Valentino
     
    Ciao Valentino,

    per il punto f - si intendo proprio questo - il software proxy può essere su server dedicato o ospitato su uno dei server meno critici che puoi avere in rete.

    Per quanto riguarda l'altro punto ,ti posto una parte di un documento che ho preparato per una sessione formativa con i ragazzi del mio team sistemistico relativo ad AD DS.

    Praticamente viene illustrato in maniera generale il sistema di autenticazione per W2k3/W2k8 in presenza di Active Directory.

    Trovi comunque in rete molte informazioni,questo vale come spunto.

    <!-- /* Font Definitions */ @font-face {font-family:"Cambria Math"; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:-1610611985 1107304683 0 0 159 0;} @font-face {font-family:Calibri; panose-1:2 15 5 2 2 2 4 3 2 4; mso-font-charset:0; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:-1610611985 1073750139 0 0 159 0;} @font-face {font-family:Verdana; panose-1:2 11 6 4 3 5 4 4 2 4; mso-font-charset:0; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:-1593833729 1073750107 16 0 415 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:""; margin-top:0cm; margin-right:0cm; margin-bottom:10.0pt; margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-fareast-font-family:Calibri; mso-bidi-font-family:"Times New Roman"; mso-fareast-language:EN-US;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-size:10.0pt; mso-ansi-font-size:10.0pt; mso-bidi-font-size:10.0pt; mso-ascii-font-family:Calibri; mso-fareast-font-family:Calibri; mso-hansi-font-family:Calibri;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 2.0cm 2.0cm 2.0cm; mso-header-margin:36.0pt; mso-footer-margin:36.0pt; mso-paper-source:0;} div.Section1 {page:Section1;} -->

     

    L ’autenticazione in AD/DS

    Kerberos

    Il protocollo Kerberos è utilizzato per l’autenticazione e ha come funzione principale quella di non trasmettere le password in rete ma di utilizzare delle librerie sul server e sul client per generare delle chiavi di crittografia per l’encryption della password stessa (secret shared key system).

    La struttura è molto complessa è nasce appunto per permettere il processo di autenticazione sulle reti aperte e non sicure (tipo Internet).

    Le librerie sono chiamate   SSP (security support provider) e oltre a quella per Kerberos abbiamo una SSP per NTLM.

    Le librerie sono caricate dal Local Security Authority (LSA) all’avvio di Windows.

    Kerberos non serve solo per la’utenticazione degli utenti ma anche delle connesioni (account computer di una rete basata su AD DS).

    SSPI (Secure Service Provider Interface) decide quale libreria invocare tra i SSP disponibili per iniziare la fase di autenticazione è quindi di autorizzazione.

    AD DS KDC

    Il KDC (Key Distribution Center) si attiva quando una istanza di AD DS viene installata -   serve a mantenere  un database di credenziali (in realta il database è quello di AD DS e le chiavi di crittografia sono salvate come attributo dell’oggetto di AD DS che rappresenta l’entità, al momento della creazione dell’oggetto corrispondente).

    Questa chiave è la LTK (Long Term Key) ovvero la chiave di crittografia conosciuta solo dal KDC e dall’entità che si deve autenticare (computer , utenti e servizi).

     

    Quando un utente è davanti alla finestra di “CTRL+ALT+CANC”   è già avvenuta la fase di autenticazione relativa all’account computer.

    Ma vediamo per l’utente cosa avviene :

     L’utente e la password inserita con l’accesso interattivo vengono lette – la password viene passata al SSP Kerberos che genera ,con un algoritmo DES-CBC-MD5   (con Windows Server 2k8 e Vista è supportato anche AES), una chiave di crittografia ovvero la “session key”.

    Le credenziali vanno nella cache del client.

    Tale chiave è conosciuta dal KDC (poichè l’algoritmo utilizzato è lo stesso) e quindi riesce a decifrare un eventuale pacchetto che è inviato dall’utente tramite rete e crittografato con la session key.

      il pacchetto in questione (il primo) serve per richiedere il ticket Kerberos “TGT” ovvero il “Ticket Grating Ticket” – questo è  il primo scambio che avviene tra KDC e client,sul quale l’utente si sta loggando.

    Il TGT serve perchè l’utente possa ottenere i  TGS ovvero il Ticket Grating Service che permette l’accesso alle risorse di rete (share dei vari server,stampanti) e lo deve esibire per tale operazione.

    Il TGS viene generato appena l’utente ha necessità di accedere alle risorse,ma non significa che vi ha accesso automaticamente : questa parte viene gestita dal “Token di autenticazione” che contiene i gruppi di AD DS a cui l’utente appartiene, viene generato in fase di logon ed è restituito dal KDC inserito all’interno del TGT)  : il token viene confrontato con l’Access Control List delle risorse condivise -   è il concetto di autorizzazione.

    I TGT e TGS hanno una scadenza e devono essere rinnovati (il timestamp ha un rulo importante) : ecco l’importanza della sincronizzazione dell’ora in una rete AD DS.

     

    Il concetto dei Ticket vale anche per l’account computer che per accedere alla rete richiede i suoi ticket – il meccanismo funziona,la password non viaggia mai in rete e se il pacchetto è intercettato non è facile decifrarlo (lo scambio dei ticket che qui è semplifcato è invece più corposo - le informazioni contenute sono diverse e le chiavi di crittografia coinvolte variano a seconda del layer sul quale l’utenticazione sta viaggiando).

     Per tornare a noi,  se utilizziamo SMART CARD e Lettori Biometrici non facciamo altro che aggiugere altri algoritmi di crittografia (CSP ovvero Cryptographic Service Provider) – do per scontato che i client della tua rete siano Vista e superiori.

    Infatti il supporto per questo tipo di sistemi (Smart card e lettori biometrici) è stato migliorato e la fase di login utenteè   stata riscritta dal Team MICROSOFT responsabile dell’autenticazione (GINA è stata sostituita da LogonUi che intercetta le credenziali e le passa al SSP di Kerberos).

    Naturalmente con il lettore biometrico avrai dei driver e librerie del produttore che interagiscono con Windows per gestire l’autenticazione.

    Inserisci dei layer in più ma il meccanismo in linea di massima è questo.


    Thursday, October 15, 2009 9:53 PM
  • ciao Mirosua,

    molto utile quanto hai spiegato.

    Proprio ieri ho visionato alcuni filmati della Microsoft sul nuovo windows server 2008 R2 che integrato con Windows 7 consente parecchio anche in termini di sicurezza senza un access VPN.

    Premesso che sto valutando i sistemi server 2008 soprattutto per aumentare notevolmente i valori della sicurezza dei dati trattati ( come ad esempio lo sviluppo di software ed applicativi per la progettazione di strutture in cemento armato, fibre di carbonio legno ed acciaio ) per preservarsi dall'haching fisico alle macchine stavo valutando di implementare la stessa sopratutto ocn l'uso di lettori di impronte digitali ocn smart card e microchip cifrato.

    g. - Come và integrato l'uso degli stessi per l'autenticazione come account per i pc clients e l'autenticazione sul server come amministratore del dominio se si prende in considerazione che il windows server 2008 R2 integra il nuovo BitLocker ToGO ad esempio?  anche se tu hai già risposto positivamente in merito all'aumento della sicurezza se si usano lettori fingerprint + smart card,  quanto aumenta la sicurezza integrando e configurando il tutto con bitlockerToGo + trusted Platform Module 1.2 + lettore e smart card +l'E.F.S. + Rights Management Systems e l'AppLocker - senza contare l'User Account Control che mi sembra poter far rientrare nelle "client policies" - ?

    h. - nell'ipotesi di sfruttare appieno quanto offerto dal bitLocker ToGo - che sicuramente come per il BitLocker normale del Vista Ultimate richiede un hardware TPM almeno 1.2 anche se questo punto non lo ho ancora verificato per il windows 7 - del windows server 2008 R2, le macchine con configurazione hardware T.P.M. 1.2 o successivi devono esser esia clients che il server?

    Valentino 
    Friday, October 16, 2009 8:31 AM
  • ciao Edoardo,

    ti ringrazio per la risposta.

    Ho iniziato ieri a visionare alcuni filmati della Microsoft che introducono le nuove funzionalità del windows server 2008 R2.

    al'l'interno di questi è stato trattato anche l'argomento sicurezza ed in sostanza usando il Windows Firewall - che penso sia integrato in w. Server 2008 R2 - viene indicato che si raggiunge un ottimo livello di sicurezza su lato "sicurezza internet".

    i. - quanto è più sicuro utilizzare il Symantec Protection Suite Small Business Edition rispetto al Windows Firewall ad esempio?


    sul lato della "Sciurezza fisica"
    l. - Quanto conviene integrare client e pc server con lettori di impronte digitali – considerando ad esempio la trafugazione del file sam che si aveva in XP con, ad esempio, ophcrack? –

    Avrei quindi qualche altro quesito sulle potenzialità e caratteristiche offerte dal W. server 200 R2.

    m. - Come è utilizzabile windows server 2008 se ad ipotesi si sviluppano siti web in asp.net 3.5 con sql server 2008?

    n. -Avendo un notebook con installato Vista 7 con il quale mi sposto per la città, avendo una connessione internet via cellulare come posso accedere al server centrale prelevando dei file avendo quindi privilegi concessi?

    o. - Dalle guide su video della Microsoft, è stato spiegato che Windows server 2008 R2 è utilizzabile solo su pc a 64 bit ed è integrabile con BitLocker ToGo ( che come per il Vista Ultimate richiederà credo ma non l'ho verificato almeno un T.P.M. 1.2 ). A 64 bit deve essere anche la configurazione dei computer clients e per il bitLocker ToGo devo avere una configurazione hardware con T.P.M. sia sui clients che sul server?

     
    Valentino

    Friday, October 16, 2009 8:47 AM
  • per dare delle risposte più precise alle tue domande
    potresti dirmi qual'è e com'è composta
    la tua infrastruttura informatica attuale ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Friday, October 16, 2009 10:51 AM
  • Ciao Edoardo,

    premesso che la rete lan con server non intendevo crearla, l'attuale rete è di tipo domestico anche se utilizzata per fini professionali. Usi professionali che da qui a breve giustificheranno un notevole aumento della sicurezza informatica. Sto approdando alla soluzione del w. server 2008 R2, perchè secondo le indicazioni che ebbi interpellando uno società per un preventivo, è una delle soluzioni più valide ( in ambient ewindows ) per l'implementazione della sicurezza.

    Comunque i computer sono 5 attualmente con windows XP professional installato con norton 360° installato. questo è quanto richiesto ed organizzato dall'ingegnere titolare. Poichè stavo quindi valutando anche l'acquisto dei lettori di impronte digitali in numero proprozionale ai pc che verranno acquistati,i mi interessa particolarmente valutare come funziona il processo di autenticazione con bitLocker ToGo di windows server 2008 in abbinamento ai lettori di impronte.


    Valentino

    Friday, October 16, 2009 1:54 PM
  • il fatto è che anche più di un anno fa ti informavi sulle medesime cose
    http://groups.google.com/group/microsoft.public.it.networking/browse_thread/thread/a54acffa8b41e15e/dac21b34d65fe5d1?hl=en&ie=UTF-8&q=valrife
    e non ho capito come mai la tua infrastruttura non si è ancora evoluta.
    forse l'azienda a cui ti sei rivolto per la consulenza non ti ha spiegato bene le cose ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Friday, October 16, 2009 2:20 PM
  • ciao Edoardo,

    Le motivazioni sono estranee alle persone che ci hanno supportato. Decidemmo allora di non procedere perchè non ci risultava ancora necessario mentre ora si ipotizza la possibilità molto concreta.

    semplicemente questo
    Valentino

    Friday, October 16, 2009 2:34 PM
  • rispondo in ordine.

    i.- purtroppo non conosco il tool Symantec Protection Suite Small Business Edition ma credo che sia equivalente ad un'infinità di tool simili di terze parti. questi tool hanno il pregio di essere preconfigurati quindi aiutano l'utente di basso livello mentre il firewall di windows server 2008 o forefront threat management gateway richiedono maggiori competenze per ottenere una corretta configurazione. non è quindi questione di maggiore o minore sicurezza dato dal software quanto maggiore o minore competenza richiesta per configurarlo.

    l.- l'uso di lettori biometrici ha efficacia quando si temono violazioni fisiche degli ambienti in cui vengono tenute le macchine o furti di notebook e servono più ad intimorire che a proteggere veramente perchè la caratteristica biometrica è sempre mappata su una tradizionale credenziale che a lungo andare potrebbe essere ugualmente violata.

    m.- sebbene mi sembra tu stia saltando "di palo in frasca", windows server 2008 va benissmo per mettere in esecuzione sullo stesso un web server e un sql server. la versione del framework va bene come vanno bene anche versioni precedenti tanto sono tutte patchate.

    n.- la risposta è si se disponi di una chiavetta hdspa o umts di un provider di telefonia mobile e configuri una connessione vpn che verrà autenticata dal tuo server mediante il servizio rras.

    o.- il Bitlocker ToGo funziona sia su sistemi a 32 bit sia su quelli a 64 bit.

    ciao.

    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Friday, October 16, 2009 5:53 PM
  • ciao Mirosua,

    molto utile quanto hai spiegato.

    Proprio ieri ho visionato alcuni filmati della Microsoft sul nuovo windows server 2008 R2 che integrato con Windows 7 consente parecchio anche in termini di sicurezza senza un access VPN.

    Premesso che sto valutando i sistemi server 2008 soprattutto per aumentare notevolmente i valori della sicurezza dei dati trattati ( come ad esempio lo sviluppo di software ed applicativi per la progettazione di strutture in cemento armato, fibre di carbonio legno ed acciaio ) per preservarsi dall'haching fisico alle macchine stavo valutando di implementare la stessa sopratutto ocn l'uso di lettori di impronte digitali ocn smart card e microchip cifrato.

    g. - Come và integrato l'uso degli stessi per l'autenticazione come account per i pc clients e l'autenticazione sul server come amministratore del dominio se si prende in considerazione che il windows server 2008 R2 integra il nuovo BitLocker ToGO ad esempio?  anche se tu hai già risposto positivamente in merito all'aumento della sicurezza se si usano lettori fingerprint + smart card,  quanto aumenta la sicurezza integrando e configurando il tutto con bitlockerToGo + trusted Platform Module 1.2 + lettore e smart card +l'E.F.S. + Rights Management Systems e l'AppLocker - senza contare l'User Account Control che mi sembra poter far rientrare nelle "client policies" - ?

    h. - nell'ipotesi di sfruttare appieno quanto offerto dal bitLocker ToGo - che sicuramente come per il BitLocker normale del Vista Ultimate richiede un hardware TPM almeno 1.2 anche se questo punto non lo ho ancora verificato per il windows 7 - del windows server 2008 R2, le macchine con configurazione hardware T.P.M. 1.2 o successivi devono esser esia clients che il server?

    Valentino 

    Ciao,
    scusa ma riesco a rispondere solo adesso :-)


    prima di tutto Bitlocker ToGo non è una evoluzione di Bitlocker ma una features che permette di estendere Bitlocker ad un accesso passphrase o smart card ad unità removibili (USB devices).

    BitLocker gestisce invece la protezione dei volumi di sistema operativo e dati e quindi serve per evitare che i dischi di una macchina server o client se alterati a macchina spenta da malintenzionati ,non possano essere accessibili nel contenuto se non si conosce la passphrase di recovery mode (crittografati).
    In particolare per i notebook utilizzati dai roaming user (gente che va in giro e magari porta con se un notebook che contiene i dati importanti dell'azienda) si può beneficiarne e avere un livello di sicurezza aggiunto.

    TPM 1.2 è un requisito di Bitlocker se si vuole avere una gestione della crittografia (sealing della VMK) partendo da chip hardware (SRK di TPM) e si vuole gestire l'integrita della partizione partizione di avvio (file di boot) ,avere un pin (o pin con in più aggiunta di USB Key) per avviare il sistema - la versione 1.2 è requisito minimo e la mother boad deve sempre comunque essere presente nell'HCL di Microsoft per TPM.

    In AD DS puoi gestire la recovery key ,policy che obbligano ad avere Bitlocker2Go attivo,lunghezza del pin.

    TPM devi averlo su hardware server e client a prescindere - in base al livello di protezione che vuoi ottenere per le macchine e alle modalità di avvio del sistema che vuoi implementare.

    'E.F.S. + Rights Management Systems e l'AppLocker - senza contare l'User Account Control' ......

    sono tutti strumenti che aggiungono sicurezza a vari livelli sempre però che si abbia chiaro quale è il flusso delle informazioni all'interno dell'organizzazione (tipo decidere di usare Rights Management Systems con Exchange 2007 per i contenuti degli allegati gestisti con client e-mail tipo Outlook.....).

    Attenzione a non nidificare troppo i livelli di sicurezza - potresti rendere impossibile la user experience.

    Valuta il processo aziendale e dopo che lo hai chiaro individua il flusso di informazioni (dove passa ,viene archiviato e per quanto tempo),chi accede alle informazioni ,quando e da dove.

    Allora puoi cominciare a proteggere i dati definendo politiche e introducendo le tecnologie adeguate.


    Sunday, October 18, 2009 8:26 PM
  • Salve Mirosua,

    vorrei sapere se posso contattarti via e-mail.

    Valentino

    Thursday, October 29, 2009 8:49 PM
  • Certo, contactus@virtualisaction.com.
    Friday, October 30, 2009 11:55 AM