none
Sicurezza aziendale

    Domanda

  • Buongiorno Ragazzi,

    sono nuovo di questo forum,mi presento non mi ritengo un sistemista ma da due anni circa ho conosciuto questa bella realta e me ne sono innamorato. Ho un quesito da proporvi. Su una rete VPN  su tre sedi. Ogni sede ha una sua classe di ip statici con due server. Un windows 7 con SQL istallato che eroga il servizio ai client locali e remoti e un windows server 2008r2 standard che gestisce le utenze remote. Questa configurazione si ripete per tutte e tre le sedi. In termini di sicurezza  come dovrebbe essere progettata la rete? da premettere alcuni utenti remoti non devono accedere alla rete locale ma soltanto al gestionale eal servizio sql, i server remoti non hanno un dominio ma un gruppo di lavoro, e all interno della stessa rete locale , creare una sottorete che non deve comunicare con l altra.....So che è molto complicato da spiegare ma per me è una fonte di conoscenza.

    Grazie anticipatamente




    mercoledì 9 novembre 2016 14:05

Risposte

  • beh... come potrai intuire anche da solo, il primo passo e rimuovere dal gruppo Admin tutti gli utenti che non devono esserlo inoltre disattivare tutte le condivisioni dei clients (che di norma non servono perchè le risorse condivise devono stare eventualmente sui server).

    successivamente, per implementare una politica di sicurezza adeguata alle tue esigenze, dovresti anche descrivere cosa serve veramente perchè una struttura come quella che hai descritto non riesco ad immaginare a cosa serva.


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    sabato 19 novembre 2016 09:12
    Moderatore
  • per l'obiettivo che ti poni, oltre a non avere utenti admin, potrebbe essere sufficiente rimuovere le condivisioni dai clients e spostare quelle folders (solo quelle necessarie) sul server. le cartelle condivise sui clients non hanno ragione di esistere.

    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    martedì 22 novembre 2016 10:43
    Moderatore
  • attento a come dai i permessi di scrittura e a come fai autenticare gli utenti.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    • Contrassegnato come risposta nino1983 venerdì 3 marzo 2017 12:35
    venerdì 3 marzo 2017 12:24
    Moderatore
  • puoi avere due ftp server all'interno della stessa rete senza alcun problema.

    ovviamente dovrai preoccuparti di configurare opportunamente il nat per rendere raggiungibili quei due ftp server dall'esterno della tua rete locale. per fare questo potrai o usare due ip pubblici diversi o un solo ip con due porte diverse in maniera tale da rendere distinguibili i due ftp server.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    • Contrassegnato come risposta nino1983 mercoledì 8 marzo 2017 10:17
    domenica 5 marzo 2017 08:59
    Moderatore

  • ho un disco apposito per l'ftp denominato z . Provo a scrivere z\inetpub\ftproot/concessione iusr:R/T e non mi riconosce il comando. Cosa sbaglio? 

    sei sicuro di scrivere

    ICACLS z:\inetpub\ftproot /concessione iusr:R/T

    ?


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    • Contrassegnato come risposta nino1983 lunedì 13 marzo 2017 09:31
    venerdì 10 marzo 2017 16:34
    Moderatore
  • esattamente, ciao.

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    • Contrassegnato come risposta nino1983 martedì 14 marzo 2017 11:54
    martedì 14 marzo 2017 07:54
    Moderatore

Tutte le risposte

  • oltre all'utilizzo del gestionale, che mi pare di capire coincida con sql server, gli utenti hanno anche la necessità di accedere a cartelle condivise ?

    se la risposta è no, è sufficiente gestire tutto con l'autenticazione di SQL Server e permettere nella vpn solo il passaggio dei pacchetti sulle porte che interessano la connettività di SQL Server.


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    lunedì 14 novembre 2016 16:38
    Moderatore
  • Ciao grazie per la risposta,

    alcuni devono accedere al server 2008 senza limitazioni, altri accedono tramite remote app al 2008 dove è istallato il software, ma il motore di database si trova in un windows 7. Tutti e due computer si trovano nella stessa rete lan. 

    lunedì 14 novembre 2016 17:45
  • quando parli di "accedere" puoi dire quale tipo di autenticazione viene usata ora nel tuo ambiente ?

    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    martedì 15 novembre 2016 09:02
    Moderatore
  • Ciao,

    chi accede al 2008 senza limitazioni accede tramite desktop remoto. Altri accedono tramite remote app sempre al 2008(quest ultimi utenti che vorrei limitare perchè sono all interno della rete.) da start esegui riescono a raggiungere qualsiasi pc della rete. Inoltre utilizzando la remote app, possono accedere in questo momento anche con il desktop remoto....

    mercoledì 16 novembre 2016 07:38
  • bene... ma, per capirci, tutti si autenticano con credenziali che sono create sul server 2008 ?

    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    mercoledì 16 novembre 2016 07:45
    Moderatore
  • Si perfetto,

    gli utenti sono tutti sul 2008

    mercoledì 16 novembre 2016 12:38
  • ok.

    mi confermi che non hai nessun dominio windows ?

    mi confermi che hai un solo server 2008 che fa da terminal server e tre endpoint di una vpn ?

    mi spieghi come possono accedere gli utenti dalla sessione terminal ai clients della rete se i clients non hanno condivisioni attive ? per caso tutti gli utenti sono anche admin ?


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    mercoledì 16 novembre 2016 12:53
    Moderatore
  • Ciao,

    confermo non ho nessun dominio,per il 2008 ne ho uno in ogni sede cioè 3,

    tutti gli utenti locali sono admin,all'interno della lan ci sono pc che hanno cartelle condivise scansioni ecc...ecc..

    venerdì 18 novembre 2016 19:57
  • beh... come potrai intuire anche da solo, il primo passo e rimuovere dal gruppo Admin tutti gli utenti che non devono esserlo inoltre disattivare tutte le condivisioni dei clients (che di norma non servono perchè le risorse condivise devono stare eventualmente sui server).

    successivamente, per implementare una politica di sicurezza adeguata alle tue esigenze, dovresti anche descrivere cosa serve veramente perchè una struttura come quella che hai descritto non riesco ad immaginare a cosa serva.


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    sabato 19 novembre 2016 09:12
    Moderatore
  • togliendo tutti gli utenti da admin cosa posso iniziare a fare tramite il server 2008? far gestire le varie policy anche se non ho un dominio?

    l obbiettivo principale mio è fare in modo chi si collega tramite remote app che non possa esplorare l intera rete..

    Questa parte limitata di utenti non fa parte degli utenti locali.... e  sopratutto iniziare a creare delle regole per i vari utenti locali. Per far  questo posso utilizzare pure un firewall o posso gestirlo tramite autenticazione dei vari utenti?

    domenica 20 novembre 2016 14:16
  • togliere gli utenti dal gruppo admin serve a non permettergli di usarele condivisioni amministrative però devo capire meglio:

    tutti gli utenti che arrivano in rdp sul server sono solo nel gruppo admin del server ?

    e tu hai solo un workgroup ?

    e le credenziali sul server non sono replicate anche sui clients ?

    e le cartelle condivise dei clients quali permessi di accesso hanno ? e per quale motivo sono condivise ?

    ti devo fare tutte queste domande perchè non ho ancora capito in quale realtà ti muovi e quale sia la tua esigenza.

    ps: chiaro che un dominio sarebbe molto più semplice da gestire


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    lunedì 21 novembre 2016 09:14
    Moderatore
  • Hai ragione condivido il tuo pensiero spiegare e capire dietro un monitor non è semplice...

    Il nostro ufficio è abbastanza articolato e facciamo molte cose.....

    gli utenti locali come ti dicevo sono tutti admin, gli stessi da fuori si collegano al server 2008 ma come utenti appartenenti al gruppo administrator, user, utente desktop remoto,(e questa cosa non mi piace...).

    Un'altro gruppo di utenti non appartenenti alla rete locale lan, si collegano da fuori tramite remote app per far girare solo un software istallato sullo stesso 2008 ma con motore di database istallato su u un altro pc della rete con sistema operativo windows 7. Questi utenti appartengono al gruppo user e desktop remoto. Se per esempio devo stampare un documento il 2008 gli propone  tutti i percorsi di rete,desktop. Per quest ultimi vorrei  che loro devono lavorare senza problemi come fanno adesso ma senza esplorare tutto il resto della rete. Avevo pensato ad un firewall ma se posso fare tutto tramite regole interne non mi complico la vita più di tanto. Le cartelle condivise nei client posso pure toglierle e spostarle nei server... le cartelle non hanno permessi ognuno può scrivere o leggere senza limitazioni(altro neo negativo...). Per la realizzazione di un dominio ci avevo pensato pure io.. ma con una struttura avviata non è semplice rivoluzionare tutto....

    Grazie per la tua attenzione

    lunedì 21 novembre 2016 10:34
  • per l'obiettivo che ti poni, oltre a non avere utenti admin, potrebbe essere sufficiente rimuovere le condivisioni dai clients e spostare quelle folders (solo quelle necessarie) sul server. le cartelle condivise sui clients non hanno ragione di esistere.

    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    martedì 22 novembre 2016 10:43
    Moderatore
  • ok!,come primo obbiettivo creo tutti gli utenti non admin, sposto le cartelle sul server2008 ma per chi si collega con le remote app come  imposto regole? questa è la parte più delicata....

    Saluti

    martedì 22 novembre 2016 18:24
  • Gli utenti che utilizzano remote app sono user e utente desktop remoto. Con questa configurazione non possono accedere al server manager, ma per non esplorare tutto il resto?

    martedì 22 novembre 2016 20:38
  • ok!,come primo obbiettivo creo tutti gli utenti non admin, sposto le cartelle sul server2008 ma per chi si collega con le remote app come  imposto regole? questa è la parte più delicata....

    Saluti

    le regole di cosa?

    se tu rimuovi le condivisioni dei clients, chi si collega in remote app non ha proprio niente da esplorare salvo quanto si trova sul server ma li userai i permessi ntfs per consentire o negare gli accessi.


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    mercoledì 23 novembre 2016 09:24
    Moderatore
  • Gli utenti che utilizzano remote app sono user e utente desktop remoto. Con questa configurazione non possono accedere al server manager, ma per non esplorare tutto il resto?

    vale quanto ti ho appena risposto qui sopra.


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    mercoledì 23 novembre 2016 09:25
    Moderatore
  • Ok metterò in pratica....se ho dei dubbi chiedo.....

    grazie Nino

    mercoledì 23 novembre 2016 21:22
  • Salve ragazzi,

    ho spostato tutte le cartelle condivise nel server è dato le varie autenticazioni in base alle esigenze e fin qui tutto ok.

    Adesso è nata un altra necessità ho un altro pc che funge da ftp, lo vorrei eliminare per attivare  l ftp interno del mio windows server 2008r2 standard.  Consigli? ho letto qualche guida e non mi sembra complicato

    venerdì 3 marzo 2017 12:07
  • attento a come dai i permessi di scrittura e a come fai autenticare gli utenti.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    • Contrassegnato come risposta nino1983 venerdì 3 marzo 2017 12:35
    venerdì 3 marzo 2017 12:24
    Moderatore
  • grazie,

    siccome il servizio è già operativo e funzionante su un altro pc non vorrei creare disservizi.

    Ho già istallato il ruolo Ftp , il server ospita già un sito funzionante, vorrei spostare gli utenti ftp  all interno del mio winsìdows server per gestire meglio i vari accessi. Naturalmente verrà fatto quando il server non viene utilizzato e  se non creo scompigli valorizzo questa parte di server che non conosciamo

     ciao

    venerdì 3 marzo 2017 12:42
  • puoi avere due ftp server all'interno della stessa rete senza alcun problema.

    ovviamente dovrai preoccuparti di configurare opportunamente il nat per rendere raggiungibili quei due ftp server dall'esterno della tua rete locale. per fare questo potrai o usare due ip pubblici diversi o un solo ip con due porte diverse in maniera tale da rendere distinguibili i due ftp server.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    • Contrassegnato come risposta nino1983 mercoledì 8 marzo 2017 10:17
    domenica 5 marzo 2017 08:59
    Moderatore
  • Ok!

    infatti sto  facendo delle prove con una porta diversa..Il

    problema è che non riesco ad isolare i vari utenti ftp...Io voglio realizzare 5 cartelle dove ogni utente deve accedere solo ed esclusivamente a quella cartella con le sue credenziali.

    Ho fatto i seguenti passaggi.

    Il sito ftp è già attivo. In un disco nuovo  ho creato le 5 cartelle con l'autorizzazione di accesso per l'utente che ne deve fare uso. Se da internet explorer (dello stesso server ) punto al sito ftp , metto le credenziali dell utente non mi fa accedere. Le credenziali sono le stesse che l utente utilizza per l accesso remote app.

    Saluti!!


    mercoledì 8 marzo 2017 10:27
  • vedi qui come fare la corretta configurazione:

    https://www.iis.net/learn/publish/using-the-ftp-service/configuring-ftp-user-isolation-in-iis-7

    ciao


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    mercoledì 8 marzo 2017 11:35
    Moderatore
  • Buongiorno,

    ho iniziato la configurazione per isolare gli utenti. Nella prima fase mi chiede di effettuare questo comando dal cmd

    ICACLS "% SystemDrive% \ inetpub \ ftproot" / Concessione IUSR : R / T

    ho creato le cartelle come da indicazioni  inetpub,\ftproot\localuser....ecc..

    ho un disco apposito per l'ftp denominato z . Provo a scrivere z\inetpub\ftproot/concessione iusr:R/T e non mi riconosce il comando. Cosa sbaglio? ho istallato Iss 7 natio di windows server 2008 r2 standard e sto seguendo passo passo la guida postata da te Edoardo. Non riesco a capire l'esatto comando da scrivere nel cmd.

    Saluti 

    giovedì 9 marzo 2017 07:48
  • Ho appena scoperto che di default le cartelle ftp devono essere su C? e non è possibile creare in un 'altro disco? un pò deludente se cosi....

    confermate?

    • Proposto come risposta ErUyO giovedì 9 marzo 2017 18:28
    • Proposta come risposta annullata ErUyO giovedì 9 marzo 2017 18:28
    giovedì 9 marzo 2017 18:10
  • Ciao,

    Allora analizza prima l'aspetto puramente logico. Cioè eliminare quante più entrate possibili all'interno della rete.

    Mi spiego meglio.

    1) Limita con il dhcp server su indirizzi mac delle sole macchine che devi connettere

    2) Elimina tutti gli utenti dal gruppo Administrators

    3) Crea un gruppo di utenti a cui dai privilegi di lettura, alle cartelle più interne, e privilegi di scrittura a quelle più esterne

    4) Crea dei gruppi gerarchici (esemp.utente 1°livello, utente 2°livello ecc...)

    5) crea accesso con crtificati (che andrai a inserire nelle sole macchine connesse)

    Facendo così blinderai la rete in maniera iniziale contro accessi anche da parte di interni che connetto un pc alla rete

    giovedì 9 marzo 2017 18:37

  • ho un disco apposito per l'ftp denominato z . Provo a scrivere z\inetpub\ftproot/concessione iusr:R/T e non mi riconosce il comando. Cosa sbaglio? 

    sei sicuro di scrivere

    ICACLS z:\inetpub\ftproot /concessione iusr:R/T

    ?


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    • Contrassegnato come risposta nino1983 lunedì 13 marzo 2017 09:31
    venerdì 10 marzo 2017 16:34
    Moderatore
  • ciao Edoardo in effetti sbagliavo il comando.  Adesso tutto ok...

    Dopo questo lunghissimo post posso dire che riesco a gestire i tutti gli utenti che si collegano in desktop remoto o remote App.(Per me era la parte fondamantale) considerando che non ho un dominio e il server si trova all' interno di una rete lan come posso gestire gli accessi di quest'ultimi? Parlo di configurazione lato client e server

    lunedì 13 marzo 2017 09:46
  • bene, mi fa piacere che tu abbia raggiunto il risultato.

    non ho ben capito la tua ultima domanda: la puoi riformulare meglio ?


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    lunedì 13 marzo 2017 09:59
    Moderatore
  • Tutte le cartelle che avevo sparse per la rete li ho messe sul server e fin qui tutto ok. 

    sul windows server 2008 ho creato un gruppo di utenti(quelli che si collegano dall'esterno attraverso ip publico) e gli ho vietato l'accesso nei vari dischi  e cartelle di interesse. Come ti accennavo sopra questa era la parte che mi interessava di più e ci sono riuscito grazie a voi  ed in particolare a te Edoardo. Lo stesso server si trova in rete

    con altri 5 pc. Vorrei  gestire l'accesso alle cartelle condivise di questi pc. Per esempio su un client lavora giovanni, e voglio che non accede ad una cartella condivisa. Devo creare l'utente sul server e  dare le varie autenticazioni e lato

    client? non so se sono riuscito a spiegarmi.

    lunedì 13 marzo 2017 11:03
  • ti faccio delle domande per immaginare meglio il tuo scenario.

    per quale motivo i 5 clients condividono delle cartelle ?

    non possono usare tutti gli tenti (sia quelli interni sia quelli esterni) solo le shares del server ?


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    lunedì 13 marzo 2017 11:52
    Moderatore
  • Scusa Edoardo mi sono spiegato male.

    Le cartelle si trovano tutte sul server però ho capito una cosa che mi era sfuggita.

    Questi ultimi cinque utenti li tolgo da Administrator li metto user e nelle cartelle condivise del Server in base al loro nome utente gli concedo gli accessi, come ho fatto con gli utenti remoti.

    lunedì 13 marzo 2017 12:48
  • esattamente, ciao.

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    • Contrassegnato come risposta nino1983 martedì 14 marzo 2017 11:54
    martedì 14 marzo 2017 07:54
    Moderatore
  • Perfetto tutto funzionante!!!!!

    grazie a tutti!!!

    in particolare Edoardo Benussi

    martedì 14 marzo 2017 11:55