Guida alla pianificazione della protezione degli account amministrativi

Capitolo 2 - Principi di base per rendere più sicuri gli account amministrativi

Aggiornato: 25/5/2005

In questo capitolo viene spiegato perché è importante che gli account Administrator siano il più possibile protetti e fornisce cenni generali sugli account utente e sui gruppi amministrativi che di solito si possono utilizzare per accedere a un computer o a un dominio. Vengono inoltre illustrati i principi di base da considerare quando per pianificare la protezione degli account Administrator.

In questa pagina

Perché è importante rendere più protetti gli account Administrator Cenni generali su account e gruppi amministrativi Principi per rendere gli account Administrator più sicuri

Perché è importante rendere più protetti gli account Administrator

Rendere gli account Administrator il più sicuri possibile è essenziale per garantire la protezione completa delle risorse di rete di un'organizzazione. È necessario proteggere tutti i computer che un amministratore potrebbe utilizzare, compresi i controller di dominio, i server e le workstation. Il gruppo IT dell'organizzazione dovrebbe garantire la massima protezione dei controller di dominio e dei server che sono autorità di certificazione, poiché sono considerati risorse altamente affidabili. È necessario anche proteggere i computer desktop e portatili degli amministratori come risorse affidabili, poiché gli amministratori li utilizzano per gestire a distanza l'insieme di strutture, il dominio e l'infrastruttura.

I server membri che si collegano ai controller di dominio richiedono spesso privilegi elevati per collegarsi e fornire servizi. Poiché questo richiede di solito che il server mantenga credenziali di livello elevato (solitamente diritti amministrativi a livello di dominio), la compromissione di uno qualunque di questi server può portare immediatamente alla compromissione dell'intero dominio. Ad esempio, un aggressore potrebbe prendere il controllo di un singolo server membro e utilizzarlo come punto di attacco per l'intero dominio.

Rendere il più possibile sicuri gli account Administrator del dominio è ancora più importante quando si utilizzano ambienti di trust protetti negli insiemi di strutture o nei domini. Le organizzazioni devono essere certe di poter utilizzare account di dominio in tutti i domini trusting e che in tutti i domini siano applicati gli stessi elevati standard di protezione degli account Administrator. Ad esempio, si supponga di avere un dominio principale chiamato Test.com e due sottodomini chiamati TestA.com e TestB.com. Se gli amministratori di TestB.com hanno privilegi amministrativi espliciti in TestA.com o sono membri del gruppo Enterprise Admins dell'insieme di strutture, sarebbe inutile proteggere gli account Administrator in TestA.com. Questo perché, se gli account Administrator di TestB.com non sono protetti, eventuali intrusi nel dominio non protetto TestB.com potrebbero ottenere l'accesso amministrativo al dominio protetto TestA.com.

Perché non ci si dovrebbe collegare al proprio computer come amministratore

Se si accede regolarmente al computer come amministratore per eseguire operazioni comuni basate su applicazioni, si rende il computer vulnerabile a software pericolosi e ad altri rischi per la protezione (dato che il software pericoloso verrà eseguito con gli stessi privilegi utilizzati per l'accesso). Se si visita un sito Internet o si apre un allegato di posta elettronica, è possibile danneggiare il computer poiché potrebbe essere distribuito del codice pericoloso che verrà scaricato ed eseguito sul computer.

Se si accede come amministratore di un computer locale, il codice pericoloso potrebbe, tra l'altro, riformattare il disco rigido, cancellare i file e creare un nuovo account utente con privilegi amministrativi. Se si accede come membro di un gruppo di amministratori di dominio, di un gruppo di amministratori dell'organizzazione o di un gruppo di amministratori di schema del servizio directory Active Directory®, il codice pericoloso potrebbe creare un nuovo account utente con accesso amministrativo per il dominio o mettere a repentaglio lo schema, la configurazione o i dati del dominio.

Su un computer locale, si dovrebbe aggiungere l'account utente del dominio al solo gruppo Users (e non al gruppo Administrators) per eseguire operazioni di routine, come l'esecuzione dei programmi o l'esplorazione dei siti Internet. Quando è necessario eseguire operazioni amministrative sul computer locale o in Active Directory, utilizzare il comando Esegui come per avviare un programma con credenziali amministrative.

Il comando Esegui come permette di eseguire le attività amministrative esponendo il computer e i dati di Active Directory a meno rischi. Per ulteriori informazioni su come utilizzare il comando Esegui come, vedere la sezione Utilizzare il Servizio accesso secondario nel capitolo 3, "Direttive per rendere più sicuri gli account amministrativi", di questa guida.

Nota: Per ulteriori informazioni sull'utilizzo di Esegui come in Microsoft® Windows® 2000, Windows XP e Windows Server™ 2003, consultare gli articoli 294676, 305780, 325859 e 325362 della Knowledge Base. È possibile individuare questi articoli per numero nel sito Web Search the Support Knowledge Base (KB) all'indirizzo http://support.microsoft.com/default.aspx?scid=fh;en-us;KBHOWTO ** **

Inizio pagina

Cenni generali su account e gruppi amministrativi

Vi sono numerosi account utenti e gruppi amministrativi le cui credenziali possono essere utilizzate per accedere a un computer o a un dominio. Gli account amministrativi di un dominio di Active Directory includono:

  • L'account Administrator, che viene creato al momento dell'installazione di Active Directory sul primo controller di dominio del dominio. Tra tutti gli account del dominio è quello dotato di maggiori poteri. La password per questo account viene definita durante l'installazione di Active Directory nel computer. Se il dominio è il primo dominio creato in un insieme di strutture, diventa automaticamente il dominio principale dell'insieme di strutture e quindi contiene il gruppo degli amministratori dell'organizzazione. L'account Administrator di questo dominio principale dell'insieme di strutture è, per impostazione predefinita, membro del gruppo degli amministratori dell'organizzazione e ha privilegi amministrativi su tutto l'insieme di strutture. Per impostazione predefinita, il primo account amministrativo creato in ogni dominio è anche il DRA (Data Recovery Agent) per l'EFS (Encrypting File System) di ogni dominio.

  • Gli account che vengono creati in seguito e per i quali si assegnano direttamente privilegi amministrativi o che appartengono a un gruppo con privilegi amministrativi.

  • Gli account che utilizzano certificati Agente recupero dati EFS, Agente di registrazione o Agente recupero chiavi. Gli account che utilizzano questi certificati sono account molto potenti e devono essere protetti. Ad esempio, se qualcuno dispone di un certificato Agente di registrazione, può registrare un certificato e generare una smart card per conto di qualunque membro dell'organizzazione. La smart card risultante potrebbe essere quindi utilizzata per accedere alla rete e rappresentare l'utente reale. Considerata la potenza degli account Agente di registrazione, si raccomanda alle organizzazioni di mantenere un criterio di protezione forte su chi li detiene.

Il numero di gruppi amministrativi di un dominio di Active Directory varia a seconda dei servizi installati. I gruppi specificatamente utilizzati per l'amministrazione di Active Directory sono:

  • I gruppi amministrativi che esistono già nel contenitore Builtin, ad esempio, Account Operators e Server Operators. Si noti che i gruppi contenuti nel contenitore Builtin non possono essere spostati in un'altra posizione.

  • I gruppi amministrativi che esistono già nel contenitore Users, ad esempio gli amministratori di dominio e i proprietari autori criteri di gruppo.

  • I gruppi che vengono creati in seguito e collocati in un gruppo con privilegi amministrativi o a cui si assegnano direttamente privilegi amministrativi.

I gruppi amministrativi e gli account predefiniti in un ambiente di dominio sono:

  • Enterprise Admins (esiste solo nei domini principali degli insiemi di strutture)

  • Domain Admins (esiste in tutti i domini)

  • Schema Admins (esiste solo nei domini principali degli insiemi di strutture)

  • Proprietari autori criteri di gruppo (esiste solo nei domini principali degli insiemi di strutture)

  • Gruppo Administrators

  • Account Administrator

  • Account Administrator in modalità ripristino servizi directory (disponibile solo in Modalità ripristino servizi directory. Questo account è locale per il controller di dominio e non è un account esteso a tutti i domini. La password di questo account viene impostata quando si installa Active Directory sul computer).

Per una descrizione completa di ognuno di questi account e di questi gruppi amministrativi, vedere "Gruppi predefiniti:": Active Directory" e "Account di utenti e computer" nella Guida in linea e supporto tecnico di Windows Server 2003.

Tipi di account Administrator

Per accedere a un computer o a un dominio, esistono tre categorie di account Administrator. Ogni categoria ha possibilità e privilegi univoci.

  • Account Administrator locali. Questa categoria include l'account predefinito Administrator, che Windows Server 2003 crea e utilizza quando lo si installa per la prima volta in un computer. Questa categoria include anche gli altri account utente creati successivamente e che vengono aggiunti al gruppo locale predefinito Administrators. I membri di questo gruppo hanno accesso completo e senza restrizioni al computer locale.

  • Account Administrator di dominio. Questa categoria comprende l'account Administrator predefinito, che Active Directory crea e utilizza al momento dell'installazione. Questa categoria include anche gli altri account utente creati successivamente e che vengono aggiunti al gruppo locale predefinito Administrators o al gruppo Domain Admins. I membri di questi gruppi hanno accesso completo e senza restrizioni al dominio e, se non è protetto correttamente, all'intero insieme di strutture.

  • Account Administrator dell'insieme di strutture. Questa categoria comprende l'account Administrator predefinito del primo dominio che si crea nell'insieme di strutture, noto come dominio principale dell'insieme di strutture, poiché l'account Administrator del dominio principale dell'insieme di strutture viene aggiunto automaticamente al gruppo Enterprise Admins quando si installa Active Directory. Questa categoria include anche gli altri account utente creati successivamente e aggiunti al gruppo Enterprise Admins. I membri del gruppo Enterprise Admins hanno accesso completo e senza restrizioni all'intero insieme di strutture. Enterprise Admins può anche installare Autorità di certificazione, che può essere utilizzato per impersonare qualsiasi utente nell'insieme di strutture.

Inizio pagina

Principi per rendere gli account Administrator più sicuri

Quando si pianifica un'ulteriore protezione degli account amministrativi, si dovrebbe:

  • Applicare il principio del privilegio minimo

  • Seguire le procedure ottimali per rendere più sicuri gli account Administrator

Principio del privilegio minimo

Sebbene la maggior parte dei corsi di formazione e della documentazione relativa alla sicurezza includa l'implementazione del principio di privilegio minimo, le organizzazioni raramente lo adottano. Il principio è semplice e l'applicazione corretta aumenta la sicurezza e riduce i rischi. Il principio specifica che tutti gli utenti dovrebbero accedere con un account utente avente le autorizzazioni minime necessarie per completare le relative attività e nessuna autorizzazione supplementare. In questo modo, si assicura la protezione dal codice pericoloso e da altri attacchi. Questo principio si applica ai computer e agli utenti dei computer.

Il motivo per cui questo principio funziona bene è la necessità di svolgere ricerche interne. Ad esempio, è necessario determinare i privilegi di accesso di cui un computer o un utente hanno veramente bisogno e quindi implementarli. Per molte organizzazioni, questa attività potrebbe sembrare inizialmente molto impegnativa, ma è un passo essenziale per proteggere con successo l'ambiente di rete.

Il concetto del privilegio minimo dovrebbe essere adottato per concedere i privilegi a tutti gli amministratori del dominio. Ad esempio, se un amministratore accede con un account privilegiato ed esegue involontariamente un programma con virus, il virus ha accesso amministrativo al computer locale e all'intero dominio. Se l'amministratore accedesse invece con un account non privilegiato (non amministrativo), l'ambito dell'attacco del virus sarebbe limitato al solo computer locale poiché il virus sarebbe eseguito come utente del computer locale.

In un altro esempio, gli account a cui si assegnano diritti di amministratore a livello di dominio non devono avere diritti elevati per un altro insieme di strutture, anche se esiste una relazione di trust tra gli insiemi di strutture. Questa tattica aiuta a evitare danni estesi qualora un aggressore riesca a compromettere un insieme di strutture gestito. Le organizzazioni dovrebbero controllare regolarmente la rete per proteggersi da un incremento non autorizzato di privilegi.

Procedure ottimali per rendere gli account amministrativi più sicuri

Le direttive, sotto forma di procedure ottimali, da seguire per utilizzare account amministrativi più sicuri in Windows Server 2003 sono le seguenti:

  • Separare il ruolo di amministratore del dominio da quello di amministratore dell'organizzazione.

  • Separare gli account utente dagli account amministrativi.

  • Utilizzare il Servizio di accesso secondario.

  • Eseguire una sessione di Servizi terminal separata per l'amministrazione.

  • Rinominare l'account Administrator predefinito.

  • Creare un account Administrator fittizio.

  • Creare un account Administrator secondario e disabilitare l'account predefinito.

  • Abilitare il blocco dell'account per gli accessi remoti da parte dell'amministratore.

  • Creare una password complessa per l'amministratore.

  • Automatizzare la ricerca di password deboli.

  • Utilizzare le credenziali amministrative solo su computer affidabili.

  • Controllare account e password a intervalli regolari.

  • Vietare la delega degli account.

  • Controllare la procedura per l'accesso amministrativo.

Per ulteriori informazioni su queste procedure ottimali, vedere il capitolo 3, "Direttive per rendere più sicuri gli account amministrativi", di questa guida.

Download

Guida alla pianificazione del monitoraggio della protezione e della rilevazione degli attacchi

Inizio pagina