Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Appendice C: Guida alla creazione del laboratorio
Aggiornato: 16 febbraio 2005
Questa appendice fornisce indicazioni per la creazione dell'infrastruttura necessaria al supporto dei gruppi di isolamento che utilizzano IPsec. Le indicazioni riguardano l'installazione e la configurazione di Microsoft® Windows Server™ 2003, la preparazione del servizio di directory Active Directory® e la configurazione dei criteri IPsec.
Questa appendice fornisce inoltre le istruzioni di implementazione utilizzate per distribuire i criteri IPsec di base per lo scenario della Woodgrove Bank, descritto precedentemente in questa guida.
Utilizzare l'appendice insieme agli altri capitoli della guida che illustrano il processo di progettazione e la logica alla base delle decisioni di implementazione a cui si fa riferimento in questa appendice. Il documento descrive inoltre le attività e i processi necessari per creare e implementare un'efficace infrastruttura di base dei criteri IPsec. Prima di procedere alla lettura della presente appendice, è consigliabile consultare i capitoli precedenti della guida. Prima di implementare le indicazioni fornite con questa appendice, si consiglia inoltre di leggere e comprendere a fondo le implicazioni dei requisiti di supporto illustrati nel capitolo 6, "Gestione di un ambiente di isolamento del server e del dominio".
In questa pagina
Prerequisiti
Distribuzione dei criteri di base
Implementazione dei criteri IPSec
Utilizzo del metodo graduale per abilitare i criteri IPsec di base
Strumenti e script per i test funzionali
Abilitazione dell'elenco filtri delle subnet protette dell'organizzazione sui restanti criteri
Abilitazione della configurazione del gruppo di accesso alla rete
Abilitazione del dominio di isolamento
Abilitazione del gruppo di isolamento Nessun fallback
Abilitazione del gruppo di isolamento Crittografia
Abilitazione del gruppo di isolamento Limite
Configurazione del dominio di isolamento come gruppo di isolamento predefinito
Test funzionali finali - Tutti i gruppi di isolamento abilitati
Riepilogo
Prerequisiti
Questa sezione contiene informazioni utili per valutare l'idoneità dell'organizzazione all'implementazione della soluzione IPsec.
Prima di iniziare
È necessario conoscere i concetti di protocollo IPsec, di rete e di architettura di rete. È inoltre necessaria la conoscenza delle seguenti aree di Windows Server 2003:
Installazione del sistema operativo.
Concetti relativi ad Active Directory tra cui la struttura e gli strumenti di Active Directory, la gestione di utenti, gruppi e altri oggetti Active Directory e l’uso dei criteri di gruppo.
La protezione dei sistemi Windows, inclusi concetti quali utenti, gruppi, controllo, elenchi di controllo dell'accesso (ACL, Access Control List), utilizzo dei modelli di protezione e applicazione dei modelli di protezione mediante Criteri di gruppo o strumenti della riga di comando.
Prima di leggere la presente appendice, è necessario inoltre aver preso visione delle istruzioni di pianificazione fornite in questa guida e conoscere a fondo l'architettura e la progettazione della soluzione.
Prerequisiti organizzativi
È necessario consultarsi con altre persone dell'organizzazione che potrebbero essere coinvolte nell'implementazione della soluzione, fra le quali:
Finanziatori.
Personale addetto alla protezione e al controllo.
Personale addetto alla progettazione, amministrazione e gestione di Active Directory
Personale addetto alla progettazione, amministrazione e gestione di DNS (Domain Name System), server Web e della rete.
Nota: a seconda della struttura dell'organizzazione IT, questi ruoli possono essere ricoperti da più persone oppure un numero ristretto di addetti può ricoprire più ruoli.
Prerequisiti per l'infrastruttura IT
Il contenuto dell'appendice presuppone inoltre l'esistenza della seguente infrastruttura IT:
Un dominio Windows Server 2003 con servizio Active Directory in modalità nativa o mista. Questa soluzione utilizza gruppi universali per l'applicazione dell'oggetto Criteri di gruppo (GPO, Group Policy Object). Se l'organizzazione non utilizza la modalità nativa o mista, è comunque possibile applicare l'oggetto Criteri di gruppo tramite l'uso di configurazioni di gruppo standard globali e locali. Tuttavia, poiché questa opzione è più complessa da gestire, la presente soluzione non la utilizza.
Nota: Windows Server 2003 include numerosi miglioramenti relativi ai criteri IPsec. Nessun aspetto specifico di Windows Server 2003 impedisce l'utilizzo di questa soluzione con Windows 2000. Tuttavia, la soluzione è stata testata solo su un sistema Windows Server 2003 con servizio Active Directory. Per ulteriori informazioni sui miglioramenti apportati a IPsec in Windows Server 2003, consultare la pagina New features for IPsec sul sito Web Microsoft all'indirizzo www.microsoft.com/resources/documentation/WindowsServ/ 2003/standard/proddocs/en-us/ipsec_whatsnew.asp.
Hardware del server in grado di supportare l'esecuzione di Windows Server 2003.
Licenze, supporti di installazione e codici "Product Key" di Windows Server 2003 Standard Edition e Enterprise Edition.
Prerequisiti per l'implementazione di base
Prima di eseguire le attività descritte nella presente appendice, è necessario verificare la presenza di determinati elementi, fondamentali per la riuscita dell'implementazione.
Requisiti hardware
Prima di distribuire l'infrastruttura IPsec di base, accertarsi che l'infrastruttura corrente sia fisicamente in grado di supportare l'implementazione di IPsec. La procedura di verifica di tale capacità è descritta nel capitolo 3 della presente guida, "Determinazione dello stato corrente dell'infrastruttura IT".
Strumenti
Per la configurazione dei criteri IPsec e la loro attivazione tramite gli oggetti Criteri di gruppo di Active Directory, sono disponibili quattro strumenti principali, ovvero:
Netsh. Strumento di riga di comando incluso in Windows Server 2003. Consente la configurazione dei criteri locali su sistema Windows Server 2003 e dei criteri di dominio. Questa soluzione utilizza gli script Netsh per configurare i criteri di dominio.
Console di gestione Criteri di gruppo (GPMC, Group Policy Management Console). Componente aggiuntivo dello strumento di gestione oggetti Criteri di gruppo che semplifica l'amministrazione dei criteri di gruppo all'interno dell'azienda. Lo strumento è disponibile per il download alla pagina Group Policy Management Console with Service Pack 1 nell'area di download del sito Web Microsoft all'indirizzo www.microsoft.com/downloads/details.aspx? FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en (in lingua inglese).
Console di gestione criteri di protezione IP. Strumento che consente all'amministratore di creare, visualizzare o modificare criteri IPsec, operazioni filtro ed elenchi filtri. Benché sia uno snap-in di Microsoft Management Console (MMC), non compare nell'elenco predefinito del menu Strumenti di amministrazione del computer. Per poterlo utilizzare, eseguire mmc.exe al prompt dei comandi e aggiungerlo manualmente.
Console di gestione Monitor di protezione IP. Strumento che consente all'amministratore di visualizzare le diverse regole applicate al computer, oltre alle associazioni di protezione (SA, Security Associations) in modalità principale e rapida ad esso associate. Analogamente alla Console di gestione criteri di protezione IP, questo strumento non compare nel menu Strumenti di amministrazione predefinito ed è pertanto necessario caricarlo manualmente mediante il programma mmc.exe.
Si raccomanda di installare tali strumenti sulle workstation del team di implementazione in modo che i membri del team abbiano il tempo di approfondire il funzionamento di ciascuno strumento prima dell'avvio dell'implementazione.
Distribuzione dei criteri di base
La Woodgrove Bank ha scelto di implementare la distribuzione spostando tutti i computer nel gruppo di isolamento Limite secondo un metodo graduale. In questo modo, gli amministratori hanno potuto agire con cautela e risolvere i problemi principali senza che ciò influisse in modo significativo sulla comunicazione tra computer. La distribuzione dei criteri senza il ricorso a subnet protette ha consentito al team amministrativo di individuare tutti i computer a cui era stato assegnato un criterio IPsec locale e di tenere conto di tale informazione. Con l'aggiunta delle subnet al criterio, gli eventuali conflitti individuati sono stati prontamente risolti.
Una volta impostato il funzionamento dei computer nell'ambito del criterio del gruppo di isolamento Limite, il team è quindi passato all'implementazione dei gruppi di isolamento standard, modalità non crittografata consentita in uscita e crittografia. Tali gruppi di isolamento sono stati distribuiti mediante il metodo di "distribuzione per gruppi" illustrato nel capitolo 4 della presente guida, "Progettazione e pianificazione dei gruppi di isolamento". Un insieme di computer è stato selezionato per il progetto pilota e aggiunto ai rispettivi gruppi di controllo dei nuovi criteri. Sono stati infine risolti eventuali problemi e aggiunti ulteriori computer fino al completamento di tutti i gruppi di isolamento.
Implementazione dei criteri IPSec
Nelle organizzazioni di grandi dimensioni, il processo di assegnazione del criterio IPsec corretto a ciascun computer previsto può risultare piuttosto complesso. Il meccanismo dei criteri disponibile con il servizio Active Directory consente di semplificarlo in modo significativo. Le sezione seguente dell'appendice contiene informazioni utili per l'implementazione dei criteri IPsec.
Copia degli script di configurazione
Per configurare i criteri IPsec, è necessario innanzitutto copiare gli script di configurazione richiesti nel controller di dominio utilizzato per la loro memorizzazione. Per configurare il laboratorio della Woodgrove Bank, sono stati utilizzati gli script di configurazione disponibili con la soluzione. Nello scenario della Woodgrove Bank, è stata seguita le seguente procedura:
Per copiare gli script di configurazione
Connettersi a IPS-CH-DC-01 come amministratore del dominio Americhe.
Creare la cartella C:\IPsec Scripts.
Copiare i file degli script dalla cartella Strumenti e modelli della presente soluzione nella cartella C:\IPsec Scripts.
Installazione della Console di gestione Criteri di gruppo
La Console di gestione Criteri di gruppo consente di installare e configurare gli oggetti Criteri di gruppo utilizzati dalla soluzione. L'installazione della Console di gestione Criteri di gruppo è necessaria solo su IPS-CH-DC-01, mentre è facoltativa su eventuali altri server.
Nota: l'installazione della GPMC modifica lievemente l'interfaccia utente di MMC Utenti e computer di Active Directory del computer su cui è installata. Per ulteriori informazioni sull'utilizzo della GPMC e per scaricare il file di installazione, consultare la pagina Group Policy Management Console with Service Pack 1 nell'area di download del sito Web Microsoft all'indirizzo www.microsoft.com/downloads/details.aspx? familyid=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en (in lingua inglese).
Per installare la Console di gestione Criteri di gruppo
Scaricare il file di installazione Gpmc.msi dall’area di download del sito Web Microsoft.
Accertarsi di aver eseguito l’accesso a IPS-CH-DC-01 come membro del gruppo degli amministratori di dominio.
In Esplora risorse, fare doppio clic sul file di installazione Gpmc.msi.
Per installare la GPMC, seguire le istruzioni della procedura di installazione guidata e accettare tutte le impostazioni predefinite.
Importante: è necessario installare la GPMC nella cartella Programmi di qualsiasi unità. È necessario inoltre utilizzare la cartella di installazione predefinita (GPMC) contenuta all'interno della cartella Programmi. Se si modifica il nome della cartella, sarà necessario aggiornarIo nel file Constants.txt. Nelle procedure che seguono vengono utilizzati alcuni strumenti installati dalla GPMC e, se la console viene installata in una posizione diversa, tali strumenti non potranno essere individuati, a meno che il file non venga aggiornato.
Implementazione di Elenchi filtri e Operazioni filtro IPsec
È possibile creare gli elenchi filtri e le operazioni filtro IPsec utilizzando lo strumento Netsh o lo snap-in MMC Gestione criteri di protezione IP.
Benché lo snap-in MMC Gestione criteri di protezione IP disponga di un'interfaccia grafica per IPsec, spesso gli amministratori preferiscono gestire e aggiornare gli script mediante lo strumento di riga di comando Netsh, che semplifica inoltre il trasferimento degli script da e verso insiemi di strutture o domini. In questa soluzione, per implementare gli elenchi filtri e le operazioni filtro IPsec sono stati utilizzati script Ntesh.
Nota: eseguire il test degli script in base agli archivi dei criteri locali su un computer con sistema operativo Windows Server 2003 impostando gli archivi su locale. Dopo aver eseguito il debugging degli script, modificare la configurazione dell'archivio impostando come attivo il dominio per l'importazione finale.
Per creare gli elenchi filtri e le operazioni filtro IPsec
Connettersi al dominio IPS-CH-DC-01 come amministratore del dominio Americhe.
Aprire un prompt dei comandi e digitare
netsh –f "c:\IPsec Scripts\PacketFilters.txt", quindi premere INVIO.Nota: se utilizzando lo script vengono creati elenchi filtri vuoti, nella riga di comando viene visualizzato il seguente messaggio di errore: ERR IPsec [05022]: No filters in FilterList with name "<Nome elenco filtri>.", che può essere tranquillamente ignorato.
Avviare lo snap-in MMC Gestione criteri di protezione IP e confermare l'avvenuta creazione degli elenchi e delle operazioni filtro in Active Directory.
Nota: per effettuare i test in base al criterio locale, assicurarsi che lo script eseguito al punto 2 sia configurato come segue: set store location=local. Al punto 3, controllare che lo snap-in MMC sia impostato sul computer locale e non sul dominio.
Implementazione dei criteri IPSec
Una volta creati gli elenchi filtri e le operazioni filtro, è possibile eseguire i criteri IPsec.
Nota: i criteri creati dagli script sono configurati con un intervallo di polling di cinque minuti per consentire l'esecuzione di test.
Nella tabella riportata di seguito sono elencati il nome del criterio e il file di script mediante il quale il criterio viene creato. Il nome del file di script verrà utilizzato al punto 2 della seguente procedura.
Tabella C.1. Associazione dei criteri IPsec ai file di script
| Nome del criterio IPsec | Nome del file di script |
|---|---|
| IPSEC - Criterio IPsec gruppo di isolamento Limite (1.0.041001.1600) | BoundaryIGPolicy.txt |
| IPSEC - Criterio IPsec gruppo di isolamento Nessun fallback (1.0.041001.1600) | NoFallbackIGPolicy.txt |
| IPSEC - Criterio IPsec dominio di isolamento (1.0.041001.1600) | IsolationDomainPolicy.txt |
| IPSEC - Criterio IPsec gruppo di isolamento Crittografia (1.0.041001.1600) | EncryptionIGPolicy.txt |
```
netsh –f "c:\IPsec Scripts\<Script Filename>"
and then press ENTER.
```
**Nota:** se un elenco filtri rimane vuoto, Netsh visualizza un messaggio di errore che inizia con "ERR IPsec \[05022\]..." e che può essere tranquillamente ignorato.
Avviare lo snap-in MMC Gestione criteri di protezione IP e confermare l'avvenuta creazione dei criteri IPSec in Active Directory.
Nota: per effettuare i test in base al criterio locale, assicurarsi che lo script eseguito al punto 2 sia configurato come segue: set store location=local. Al punto 3, controllare che lo snap-in MMC sia impostato sul computer locale e non sul dominio.
Creazione degli oggetti GPO per i criteri IPsec
La Woodgrove Bank ha creato quattro oggetti GPO per recapitare i criteri IPsec. A ogni oggetto GPO è stato dato il nome del criterio IPsec a cui è assegnato. Finché i criteri rimarranno collegati all'interno di Active Directory, gli oggetti GPO non recapiteranno al dominio alcun criterio IPsec.
Nella tabella riportata di seguito, sono elencati i nomi degli oggetti GPO e il nome del criterio IPsec recapitato dal rispettivo oggetto GPO.
Tabella C.2. Associazione degli oggetti GPO della Woodgrove Bank ai criteri IPsec
| Nome GPO | Nome del criterio IPsec |
|---|---|
| IPSEC - Criterio gruppo di isolamento Limite | IPSEC - Criterio IPsec gruppo di isolamento Limite (1.0.041001.1600) |
| IPSEC - Criterio gruppo di isolamento Nessun fallback | IPSEC - Criterio IPsec gruppo di isolamento Nessun fallback (1.0.041001.1600) |
| IPSEC - Criterio dominio di isolamento | IPSEC - Criterio IPsec dominio di isolamento (1.0.041001.1600) |
| IPSEC - Criterio gruppo di isolamento Crittografia | IPSEC - Criterio IPsec gruppo di isolamento Crittografia (1.0.041001.1600) |
| Nome gruppo | Descrizione |
|---|---|
| CG_NoIPsec_computers | Gruppo universale costituito da account di computer che non rientrano nell'ambiente IPsec, tipicamente gli account dei computer infrastrutturali. |
| CG_BoundaryIG_computers | Gruppo universale costituito da account di computer autorizzati a comunicare con computer non attendibili. |
| CG_ EncryptionIG_computers | Gruppo universale costituito da account di computer facenti parte del gruppo di isolamento Crittografia. |
| CG_ IsolationDomain_computers | Gruppo universale costituito da account di computer facenti parte del dominio di isolamento. |
| CG_NoFallbackIG_computers | Gruppo universale costituito da account di computer facenti parte del gruppo di isolamento Nessun fallback. |
| Nome GPO | Nome gruppo o account | Diritti assegnati |
|---|---|---|
| IPSEC - Criterio gruppo di isolamento Limite | CG_NoIPsec_computers | Nega applicazione Criteri di gruppo |
| CG_BoundaryIG_computers | Consenti lettura e applicazione dei criteri di gruppo | |
| IPSEC - Criterio gruppo di isolamento Nessun fallback | CG_NoIPsec_computers | Nega applicazione Criteri di gruppo |
| CG_NoFallbackIG_computers | Consenti lettura e applicazione dei criteri di gruppo | |
| IPSEC - Criterio dominio di isolamento | CG_NoIPsec_computers | Nega applicazione Criteri di gruppo |
| IPSEC - Criterio dominio di isolamento | CG_ IsolationDomain_computers | Consenti lettura e applicazione dei criteri di gruppo |
| IPSEC - Criterio gruppo di isolamento Crittografia | CG_NoIPsec_computers | Nega applicazione Criteri di gruppo |
| CG_ EncryptionIG_computers | Consenti lettura e applicazione dei criteri di gruppo |
| Ordine di collegamento | Nome oggetto Criteri di gruppo |
|---|---|
| 1 | IPSEC - Criterio gruppo di isolamento Crittografia |
| 2 | IPSEC - Criterio gruppo di isolamento Nessun fallback |
| 3 | IPSEC - Criterio dominio di isolamento |
| 4 | IPSEC - Criterio gruppo di isolamento Limite |
| 5 | Default Domain Policy |
| Subnet | Netmask | Descrizione |
|---|---|---|
| 192.168.1.0 | 255.255.255.0 | Subnet LAN organizzazione 192.168.1.0/24 |
| 172.10.1.0 | 255.255.255.0 | Subnet LAN organizzazione 172.10.1.0/24 |
Netdiag /test:IPsec
Di seguito viene riportato un esempio di output del comando:
IP Security test . . . . . . . . . : Passed
Directory IPsec Policy Active: ' IPSEC – Isolation
Domain IPsec Policy (1.0.041001.1600)'
Windows XP
Nei computer che eseguono Windows XP, l'amministratore può identificare il criterio IPsec corrente tramite lo strumento di riga di comando IPseccmd.exe. Per recuperare il nome del criterio e altre informazioni, l'amministratore esegue l'accesso al computer, apre un prompt dei comandi e digita quanto segue:
IPseccmd show gpo
Di seguito viene riportato un esempio di output del comando:
Active Directory Policy
-----------------------
Directory Policy Name: IPSEC – Isolation Domain IPsec
Policy (1.0.041001.1600)
Description: Isolation Domain Policy (Allow Outbound)
Last Change: Fri Sep 03 15:20:29 2004
Group Policy Object: IPSEC – Isolation Domain Policy
Organizational Unit:
LDAP://DC=americas,DC=woodgrovebank,DC=com
Policy Path: LDAP://CN=IPsecPolicy{efa2185d-1a1d-40f6-
b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Windows Server 2003
Nei computer che eseguono Windows Server 2003, l'amministratore può identificare il criterio IPsec corrente tramite lo strumento di riga di comando Netsh. Per recuperare il nome del criterio e altre informazioni, l'amministratore esegue l'accesso al computer, apre un prompt dei comandi e digita quanto segue:
netsh IPsec static show gpoassignedpolicy
Di seguito viene riportato un esempio di output del comando:
Source Machine : Local Computer GPO
for <IPS-TZ-W2K-02>
GPO Name : IPSEC – Isolation Domain Policy
Local IPsec Policy Name : NONE
AD IPsec Policy Name : IPSEC – Isolation
Domain IPsec Policy
(1.0.041001.1600)
AD Policy DN : LDAP://CN=IPsecPolicy
{efa2185d-1a1d-40f6-b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Local IPsec Policy Assigned: Yes, but AD Policy is
Overriding
Uso dello strumento Monitor di protezione IP per determinare il tipo di SA
Lo snap-in MMC Monitor di protezione IP viene utilizzato per esaminare le SA in modalità principale e rapida, i filtri associati, i criteri IKE (Internet Key Exchange) e quelli di negoziazione. Durante la risoluzione dei problemi, è possibile ricorrere allo snap-in MMC Monitor di protezione IP per determinare il tipo di SA negoziate tra peer. Esaminando le SA dalla struttura Modalità rapida, gli amministratori di sistema sono in grado di identificare i peer IPsec del computer su cui è in esecuzione lo strumento.
Quando un computer negozia una connessione IPsec, viene creata una SA non trasferibile, il cui valore all'interno dei campi Autenticazione, Confidenzialità ESP o Integrità ESP sarà diverso da <Nessuno>. Per esempio, l'incapsulamento ESP con SHA1, ma senza autenticazione, all'interno del campo Integrità ESP conterrà il valore HMAC-SHA1, mentre conterrà <Nessuno> negli altri due campi. Se la SA non trasferibile, inoltre, ha negoziato la crittografia, il campo Confidenzialità ESP conterrà il valore DES o 3DES.
Una SA trasferibile, invece, conterrà il valore <Nessuno> in tutti i campi, indicando che il risponditore ha utilizzato una modalità non crittografata.
Abilitazione dell'elenco filtri delle subnet protette dell'organizzazione sui restanti criteri
Prima di abilitare i restanti criteri IPsec, è necessario aggiungere a ciascun criterio l'elenco filtri della rete protetta dell'organizzazione. Questa operazione è necessaria poiché, quando sono stati creati i criteri, l'elenco filtri della rete protetta dell'organizzazione era vuoto e non poteva dunque essere aggiunto ai criteri.
In una sezione precedente della presente appendice, è stato implementato l'elenco filtri della rete protetta dell'organizzazione ed è ora possibile aggiungerlo ai restanti criteri. Nella tabella seguente, sono riportati i nomi dei criteri e l'operazione filtro associata assegnata all'elenco filtri della rete protetta dell'organizzazione.
Tabella C.7. Associazione dei criteri alle operazioni filtro
| Nome criterio | Operazione filtro |
|---|---|
| IPSEC - Criterio IPsec gruppo di isolamento Nessun fallback (1.0.041001.1600) | IPSEC - Modalità di richiesta completa (Ignora in ingresso, Impedisci in uscita) |
| IPSEC - Criterio IPsec dominio di isolamento (1.0.041001.1600) | IPSEC - Modalità di richiesta protetta (Ignora in ingresso, Consenti in uscita) |
| IPSEC - Criterio IPsec gruppo di isolamento Crittografia (1.0.041001.1600) | IPSEC - Modalità di richiesta crittografia (Ignora in ingresso, Impedisci in uscita) |
| Nome gruppo | Descrizione |
|---|---|
| ANAG _EncryptedResourceAccess_computers | Gruppo locale di dominio utilizzato per limitare il numero dei computer con accesso alle risorse crittografate |
| ANAG _EncryptedResourceAccess_users | Gruppo locale di dominio utilizzato per limitare il numero degli utenti che possono avviare la comunicazione con le risorse crittografate |
| Nome gruppo | Membri |
|---|---|
| ANAG _EncryptedResourceAccess_computers | IPS-SQL-DFS-01 IPS-SQL-DFS-02 IPS-ST-XP-05 |
Per popolare i gruppi elencati nella tabella precedente
Avviare Utenti e computer di Active Directory su IPS-CH-DC-01 collegandosi come amministratore del dominio Americhe.
Espandere il dominio, quindi fare clic su Utenti.
Nel riquadro a destra, fare clic con il pulsante destro del mouse sul gruppo di protezione <Nome gruppo>, quindi scegliere Proprietà.
Selezionare la scheda Membri e fare clic su Aggiungi.
Fare clic sul pulsante Tipi di oggetto, selezionare la casella di controllo Computer, quindi fare clic su OK.
Nella casella di testo Immettere i nomi degli oggetti da selezionare, digitare il nome di tutti i computer elencati nella colonna Membri della tabella precedente, separando i nomi con un punto e virgola. Scegliere OK.
Scegliere OK.
Aggiunta di account utente ai gruppi di protezione gruppo di accesso alla rete
La Woodgrove Bank ha identificato gli account utente autorizzati ad avviare il traffico all'interno del gruppo di accesso alla rete e li ha aggiunti ai gruppi locali di dominio appropriati, utilizzati per implementare il gruppo di accesso alla rete.
Nella tabella riportata di seguito, viene indicata l'appartenenza del gruppo di accesso alla rete identificato dalla Woodgrove Bank.
Tabella C.10: Appartenenza al gruppo di accesso alla rete della Woodgrove Bank
| Nome gruppo | Membri |
|---|---|
| ANAG _EncryptedResourceAccess_users | User7 |
| Nome GPO | Nome gruppo |
|---|---|
| Criterio gruppo di isolamento accesso a risorse crittografate | ANAG_EncryptedResourceAccess_computers ANAG_EncryptedResourceAccess_users Amministratori Operatori backup |
Nota: come minimo, devono essere aggiunti tutti i gruppi elencati. L'amministratore dovrà stabilire se occorre concedere tale diritto anche ad altri gruppi.
Per concedere il diritto "Accedi al computer dalla rete"
Connettersi a IPS-CH-DC-01 come amministratore del dominio Americhe.
Avviare la console di gestione Criteri di gruppo.
Espandere Insieme di strutture: corp.woodgrovebank.com, il dominio e infine americas.corp.woodgrovebank.com.
Fare clic con il pulsante destro del mouse su Oggetti criteri di gruppo, quindi fare clic su Nuovo.
Nella casella di testo Nome, digitare <Nome GPO>, quindi fare clic su OK.
Fare clic con il pulsante destro del mouse su <Nome GPO>, quindi scegliere Modifica.
Espandere Configurazione computer, espandere Impostazioni di Windows, Impostazioni di protezione, Criteri locali e infine fare clic su Assegnazione diritti utente.
Nel riquadro a destra, fare clic con il pulsante destro del mouse su Accedi al computer dalla rete, quindi scegliere Proprietà.
Selezionare la casella di controllo Definisci le impostazioni relative ai criteri.
Fare clic sul pulsante Aggiungi utente o gruppo.
Fare clic sul pulsante Sfoglia.
Nella casella di testo Immettere i nomi degli oggetti da selezionare, digitare il <nome gruppo> di tutti i gruppi elencati nella tabella precedente, separandoli con un punto e virgola. Scegliere OK.
Fare clic di nuovo su OK.
Chiudere la console di gestione Criteri di gruppo.
Collegamento degli oggetti Criteri di gruppo di accesso alla rete
Prima di distribuire i criteri di gruppo di accesso alla rete, occorre collegare gli oggetti Criteri di gruppo a un percorso nell'ambiente di dominio. La Woodgrove Bank ha scelto di distribuire l'oggetto Criteri di gruppo collegandolo all'unità organizzativa appropriata in Active Directory, come illustrato nella tabella seguente.
Tabella C.12. Nome GPO gruppo di accesso alla rete e UO di destinazione
| Nome GPO gruppo di accesso alla rete | UO di destinazione |
|---|---|
| Criteri di gruppo accesso alla rete crittografata | Server di database |
| Nome del computer | Gruppo elencato nel diritto utente |
|---|---|
| IPS-SQL-DFS-01 | ANAG_EncryptedResourceAccess_computers ANAG_EncryptedResourceAccess_users |
| IPS-SQL-DFS-02 | ANAG_EncryptedResourceAccess_computers ANAG_EncryptedResourceAccess_users |
Per confermare la corretta appartenenza del gruppo al gruppo di accesso alla rete
Connettersi al <nome computer> come amministratore del dominio Americhe.
Avviare lo strumento Criteri di protezione locali.
Espandere Criteri locali, espandere Assegnazione diritti utente, quindi fare doppio clic su Accedi al computer dalla rete nel riquadro a destra.
Verificare che il gruppo Utenti autenticati non sia presente.
Verificare che il gruppo <gruppo elencato in diritti utente> sia presente.
Chiudere lo strumento Criteri di protezione locali.
Ripetere i punti da 1 a 6 per ciascun <nome computer> elencato nella tabella precedente.
Test funzionali di implementazione
Dopo aver verificato che ai gruppi di protezione fossero stati concessi i diritti utente appropriati, la Woodgrove Bank ha sottoposto a test incrociati i computer appartenenti ai gruppi di accesso alla rete. Quindi, ha utilizzato queste informazioni per verificare che le restrizioni sui diritti di accesso fossero implementate e funzionanti. La Woodgrove Bank ha poi tentato di eseguire i comandi net view su diverse combinazioni di iniziatore e risponditore. Oltre a questo test, si è utilizzato lo snap-in MMC Monitor di protezione IP per verificare che fossero state create le SA appropriate. Nella tabella riportata di seguito, vengono elencati l'iniziatore e il risponditore utilizzati per ogni esecuzione di net view, un'indicazione sull'esito (positivo o negativo) previsto e il tipo di SA negoziate.
Tabella C.14. Risultati previsti per il test funzionale del gruppo di accesso alla rete
| Iniziatore | Risponditore | Risultato | SA negoziata |
|---|---|---|---|
| IPS-TZ-XP-06 | IPS-SQL-DFS-01 | Operazioni non riuscite | Nessuna |
| IPS-TZ-XP-06 | IPS-SQL-DFS-02 | Operazioni non riuscite | Nessuna |
| IPS-TZ-XP-06 | IPS-ST-XP-05 | Operazioni riuscite | SA non trasferibile |
| IPS-SQL-DFS-01 | IPS-SQL-DFS-02 | Operazioni riuscite | SA non trasferibile |
| IPS-SQL-DFS-01 | IPS-ST-XP-05 | Operazioni riuscite | SA non trasferibile |
| IPS-SQL-DFS-02 | IPS-SQL-DFS-01 | Operazioni riuscite | SA non trasferibile |
| IPS-ST-XP-05 | IPS-SQL-DFS-01 | Operazioni riuscite | SA non trasferibile |
| IPS-ST-XP-05 | IPS-SQL-DFS-02 | Operazioni riuscite | SA non trasferibile |
```
net view \\<Responder>
```
Tramite lo snap-in MMC Monitor di protezione IP, verificare che per ciascuna connessione riuscita sia stata negoziata la SA appropriata
Ripetere i punti da 1 a 5 per ciascun <iniziatore> univoco elencato nella tabella precedente.
Abilitazione del dominio di isolamento
Prima di distribuire i criteri del dominio di isolamento, è necessario che l'amministratore individui un gruppo di computer da utilizzare per il testing del progetto pilota. Il gruppo di computer ideale deve rappresentare uno "spaccato" dell'infrastruttura IT dell'organizzazione e comprendere computer client e server.
Gli account di computer così identificati vengono aggiunti al gruppo CG_IsolationDomain_computers. Una volta trascorso il tempo necessario per la replica, il criterio di isolamento del dominio viene applicato ai computer pilota e attivato.
Implementazione del dominio di isolamento
La Woodgrove Bank ha identificato i seguenti computer da utilizzare per il progetto pilota:
IPS-TZ-XP-01
IPS-TZ-W2K-02
IPS-TZ-XP-06
IPS-WEB-DFS-01
Per aggiungere computer pilota al gruppo CG_IsolationDomain_computers
Avviare Utenti e computer di Active Directory su IPS-CH-DC-01 collegandosi come amministratore del dominio Americhe.
Espandere il dominio**,** quindi scegliere Utenti.
Nel riquadro a destra, fare clic con il pulsante destro del mouse sul gruppo di protezione CG_IsolationDomain_computers, quindi scegliere Proprietà.
Selezionare la scheda Membri e fare clic su Aggiungi.
Fare clic sul pulsante Tipi di oggetto, selezionare la casella di controllo Computer, quindi fare clic su OK.
Nella casella di testo Immettere i nomi degli oggetti da selezionare, digitare il nome di ciascun computer dell'elenco precedente, separando i nomi con un punto e virgola, quindi scegliere OK.
Scegliere nuovamente OK.
Nota: dopo l'aggiunta dei computer al gruppo universale CG_IsolationDomain_computers, è necessario attendere che trascorra il tempo necessario alla replica delle modifiche apportate alle appartenenze ai gruppi in tutto l'insieme di strutture e all'applicazione del criterio ai computer host.
Verifica della distribuzione del dominio di isolamento
Dopo aver creato e distribuito, allo stato attivo, gli oggetti dei criteri in Active Directory, procedere alla verifica del corretto funzionamento del computer all'interno del gruppo di isolamento.
Test di implementazione prerequisiti
Prima di eseguire eventuali test funzionali sul computer presente nel dominio di isolamento, la Woodgrove Bank ha atteso la replica e l'aggiornamento del criterio, quindi ha verificato che venisse applicato il criterio IPsec corretto.
Per controllare che a IPS-TZ-XP-06 sia stato applicato il criterio IPsec corretto
Connettersi a IPS-TZ-XP-06 come amministratore del dominio Americhe.
Aprire un prompt dei comandi e specificare il seguente comando:
IPseccmd show gpo
- Controllare l'output per confermare che il nome del criterio sia il seguente: "IPSEC – Criterio IPsec dominio di isolamento (1.0.041001.1600)".
Test funzionali di implementazione
Dopo aver verificato la corretta applicazione del criterio a IPS-TZ-XP-06, la Woodgrove Bank ha eseguito alcuni semplici test funzionali per verificarne il corretto funzionamento. La Woodgrove Bank ha poi tentato di eseguire i comandi net view da IPS-TZ-XP-06 a diversi computer presenti in altri gruppi di isolamento. Inoltre, si è utilizzato lo snap-in MMC Monitor di protezione IP per verificare che fossero state create le SA appropriate. Nella tabella riportata di seguito, vengono elencati i computer di destinazione utilizzati per ogni esecuzione di net view, un'indicazione sull'esito (positivo o negativo) previsto e il tipo di SA negoziate.
Nota: quando si tenta di eseguire un comando net view su un computer non attendibile, è necessario specificare le credenziali di amministratore locale del computer di destinazione.
Tabella C.15. Risultati previsti dei test funzionali sul dominio di isolamento
| Computer di destinazione | Risultato | SA negoziata |
|---|---|---|
| IPS-TZ-W2K-02 | Operazioni riuscite | SA non trasferibile |
| IPS-WEB-DFS-01 | Operazioni riuscite | SA non trasferibile |
| IPS-UT-XP-03 | Operazioni riuscite | SA trasferibile |
| IPS-PRINTS-01 | Operazioni riuscite | SA non trasferibile |
```
net view \\<Target Computer>
```
**Nota:** su IPS-UT-XP-03, specificare le credenziali di amministratore locale con il comando **net view**.
Tramite lo snap-in MMC Monitor di protezione IP, controllare il campo Associazioni protezione di tutte le connessioni riuscite per verificare che sia stata negoziata la SA appropriata.
Ripetere i punti 3 e 4 per ciascun <computer di destinazione> elencato nella tabella precedente.
Abilitazione del gruppo di isolamento Nessun fallback
I computer appartenenti al gruppo di isolamento Nessun fallback non possono avviare traffico non autenticato su computer non attendibili.
Implementazione del gruppo di isolamento Nessun fallback
La Woodgrove Bank ha collocato i computer che non possono avviare comunicazioni non autenticate su computer non attendibili nel gruppo universale CG_NoFallbackIG_computers.
Per popolare il gruppo CG_NoFallbackIG_computers
Connettersi a IPS-CH-DC-01 come amministratore del dominio Americhe, quindi avviare Utenti e computer di Active Directory.
Espandere il dominio, quindi fare clic su Utenti.
Nel riquadro a destra, fare clic con il pulsante destro del mouse sul gruppo di protezione CG_NoFallbackIG_computers, quindi scegliere Proprietà.
Selezionare la scheda Membri e fare clic su Aggiungi.
Fare clic sul pulsante Tipi di oggetto, selezionare la casella di controllo Computer, quindi fare clic su OK.
Nella casella di testo Immettere i nomi degli oggetti da selezionare, digitare IPS-LT-XP-01, quindi fare clic su OK.
Scegliere OK per due volte.
Nota: a causa dei ritardi di replica e della frequenza di polling dei criteri IPsec, si verificherà un ritardo tra l'aggiunta del computer al gruppo CG_NoFallbackIG_computers e l'applicazione del criterio gruppo di isolamento Nessun fallback. Riavviare il computer a questo punto se si desidera applicare immediatamente il criterio IPsec. In caso contrario, il criterio verrà applicato allo scadere del ticket di sessione e aggiornato con le nuove informazioni di appartenenza al gruppo locale.
Verifica della distribuzione del gruppo di isolamento Nessun fallback
Dopo aver creato e distribuito, allo stato attivo, gli oggetti dei criteri in Active Directory, procedere alla verifica del corretto funzionamento del computer all'interno del gruppo di isolamento.
Test di implementazione prerequisiti
Prima di eseguire eventuali test funzionali sui computer del gruppo di isolamento Nessun fallback, la Woodgrove Bank ha atteso la replica e l'aggiornamento del criterio, quindi ha verificato che venisse applicato il criterio IPsec corretto.
Per controllare che a IPS-LT-XP-01 sia stato applicato il criterio IPsec corretto
Connettersi a IPS-LT-XP-01 come amministratore del dominio Americhe.
Aprire un prompt dei comandi e specificare il seguente comando:
IPseccmd show gpo
- Controllare l'output per confermare che il nome del criterio sia il seguente: "Modalità non crittografata consentita in uscita".
Test funzionali di implementazione
Dopo aver verificato la corretta applicazione del criterio a IPS-LT-XP-01, la Woodgrove Bank ha eseguito alcuni semplici test funzionali per verificarne il corretto funzionamento. La Woodgrove Bank ha poi tentato di eseguire i comandi net view da IPS-LT-XP-01 a diversi computer presenti in altri gruppi di isolamento. Inoltre, si è utilizzato lo snap-in MMC Monitor di protezione IP per verificare che fossero state create le SA appropriate. Nella tabella riportata di seguito, vengono elencati i computer di destinazione utilizzati per ogni esecuzione di net view, un'indicazione sull'esito (positivo o negativo) previsto e il tipo di SA negoziate.
Nota: quando si tenta di eseguire un comando net view su un computer non attendibile, è necessario specificare le credenziali di amministratore locale del computer di destinazione.
Tabella C.16. Risultati previsti per il test funzionale del criterio Modalità non crittografata consentita in uscita
| Computer di destinazione | Risultato | SA negoziata |
|---|---|---|
| IPS-PRINTS-01 | Operazioni riuscite | SA non trasferibile |
| IPS-TZ-XP-01 | Operazioni riuscite | SA non trasferibile |
| IPS-UT-XP-03 | Operazioni non riuscite | Nessuna |
```
net view \\<Target Computer>
```
**Nota:** su IPS-UT-XP-03, specificare le credenziali di amministratore locale con il comando **net view**.
Tramite lo snap-in MMC Monitor di protezione IP, controllare il campo Associazioni protezione di tutte le connessioni riuscite per verificare che sia stata negoziata la SA appropriata.
Ripetere i punti 3 e 4 per ciascun <computer di destinazione> elencato nella tabella precedente.
Abilitazione del gruppo di isolamento Crittografia
È necessario che il traffico dei computer appartenenti al gruppo di isolamento Crittografia sia crittografato. Inoltre, i server che ospitano i dati sono configurati in modo da limitare l'accesso attraverso la rete mediante l'implementazione di un gruppo di isolamento specifico per i server selezionati.
Utilizzando un ulteriore criterio di gruppo e un gruppo di protezione, è possibile controllare l'accesso al server tramite la modifica del diritto "Accedi al computer dalla rete". Prestare particolare attenzione quando si modificano i diritti di accesso al server per evitare che anche agli utenti legittimi venga rifiutato l'accesso.
Nota: il gruppo di isolamento utilizzato in questa sezione è stato implementato nella precedente sezione "Abilitazione della configurazione del gruppo di isolamento" della presente guida.
Implementazione del gruppo di isolamento Crittografia
Il team di implementazione della Woodgrove Bank ha individuato i computer che richiedevano la crittografia IPsec e li ha inseriti nel gruppo universale Richiedi crittografia.
Per popolare il gruppo Richiedi crittografia
Connettersi a IPS-CH-DC-01 come amministratore del dominio Americhe, quindi avviare Utenti e computer di Active Directory.
Espandere il dominio, quindi fare clic su Utenti.
Nel riquadro a destra, fare clic con il pulsante destro del mouse sul gruppo di protezione CG_EncryptionIG_computers, quindi scegliere Proprietà.
Selezionare la scheda Membri e fare clic su Aggiungi.
Fare clic sul pulsante Tipi di oggetto, selezionare la casella di controllo Computer, quindi fare clic su OK.
Nella casella di testo Immettere i nomi degli oggetti da selezionare, digitare IPS-SQL-DFS-01; IPS-SQL-DFS-02, quindi fare clic su OK.
Scegliere OK.
Nota: a causa dei ritardi di replica e della frequenza di polling dei criteri IPsec, si verificherà un ritardo tra l'aggiunta del computer al gruppo CG_EncryptionIG_computers e l'applicazione del criterio del gruppo di isolamento Crittografia. Riavviare il computer a questo punto se si desidera applicare immediatamente il criterio IPsec. In caso contrario, il criterio verrà applicato allo scadere del ticket di sessione e aggiornato con le nuove informazioni di appartenenza al gruppo locale.
Verifica della distribuzione del gruppo di isolamento Crittografia
Dopo aver creato e distribuito, allo stato attivo, gli oggetti dei criteri in Active Directory, procedere alla verifica del corretto funzionamento del computer all'interno del gruppo di isolamento.
Test di implementazione prerequisiti
Prima di eseguire eventuali test funzionali sui computer del gruppo di isolamento Crittografia, la Woodgrove Bank ha atteso la replica e l'aggiornamento del criterio, quindi ha verificato che ai computer IPS-SQL-DFS-01 e IPS-SQL-DFS-02 venisse applicato il criterio IPsec corretto.
Per controllare che sia stato applicato il criterio IPsec corretto
Connettersi a IPS-SQL-DFS-01 come amministratore del dominio Americhe.
Aprire un prompt dei comandi e specificare il seguente comando:
netsh IPsec static show gpoassignedpolicy
Controllare l'output per confermare che il nome del criterio sia il seguente: "IPSEC - Criterio IPsec gruppo di isolamento Crittografia (1.0.041001.1600)".
Avviare lo strumento Criteri di protezione locali.
Espandere Criteri locali, espandere Assegnazione diritti utente, quindi fare doppio clic su Accedi al computer dalla rete nel riquadro a destra.
Verificare che il gruppo Utenti autenticati non sia presente.
Verificare che i gruppi ANAG_EncryptedResourceAccess_computers e ANAG_EncryptedResourceAccess_users siano presenti.
Chiudere lo strumento Criteri di protezione locali.
Ripetere i punti da 1 a 8 su IPS-SQL-DFS-02.
Test funzionali di implementazione
Dopo aver verificato la corretta applicazione del criterio ai computer IPS-SQL-DFS-01 e IPS-SQL-DFS-02, la Woodgrove Bank ha eseguito alcuni semplici test funzionali per verificarne il corretto funzionamento. La Woodgrove Bank ha poi tentato di eseguire i comandi net view su IPS-SQL-DFS-01 e IPS-SQL-DFS-02. Inoltre, si è utilizzato lo snap-in MMC Monitor di protezione IP per verificare che fossero state create le SA appropriate. Nelle tabelle riportate di seguito, vengono elencati i computer di destinazione utilizzati per l'esecuzione di net view, un'indicazione sull'esito (positivo o negativo) previsto e il tipo di SA negoziate.
Nota: quando si tenta di eseguire un comando net view su un computer non attendibile, è necessario specificare le credenziali di amministratore locale del computer.
Tabella C.17. Risultati previsti dei test funzionali su IPS-SQL-DFS-01
| Computer di destinazione | Risultato | SA negoziata |
|---|---|---|
| IPS-SQL-DFS-02 | Operazioni riuscite | SA non trasferibile |
| IPS-TZ-XP-01 | Operazioni riuscite | SA non trasferibile |
| IPS-PRINTS-01 | Operazioni riuscite | SA non trasferibile |
| IPS-UT-XP-03 | Operazioni non riuscite | Nessuna |
```
net view \\<Target Computer>
```
**Nota:** su IPS-UT-XP-03, specificare le credenziali di amministratore locale con il comando **net view**.
Tramite lo snap-in MMC Monitor di protezione IP, controllare il campo Associazioni protezione di tutte le connessioni riuscite per verificare che sia stata negoziata la SA appropriata.
Ripetere i punti 3 e 4 per ciascun <computer di destinazione> elencato nella tabella precedente.
Abilitazione del gruppo di isolamento Limite
La Woodgrove Bank ha collocato i computer che devono avviare o ricevere comunicazioni non autenticate da o verso computer non attendibili nel gruppo universale CG_BoundaryIG_computers.
Implementazione del gruppo di isolamento Limite
Il team di implementazione della Woodgrove Bank ha identificato i computer appartenenti al gruppo di isolamento Limite e li ha collocati nel gruppo universale CG_BoundaryIG_computers.
Per popolare il gruppo CG_BoundaryIG_computers
Connettersi a IPS-CH-DC-01 come amministratore del dominio Americhe, quindi avviare Utenti e computer di Active Directory.
Espandere il dominio, quindi fare clic su Utenti.
Nel riquadro a destra, fare clic con il pulsante destro del mouse sul gruppo di protezione CG_BoundaryIG_computers, quindi scegliere Proprietà.
Selezionare la scheda Membri e fare clic su Aggiungi.
Fare clic sul pulsante Tipi di oggetto, selezionare la casella di controllo Computer, quindi fare clic su OK.
Nella casella di testo Immettere i nomi degli oggetti da selezionare, digitare IPS-PRINTS-01, quindi fare clic su OK.
Scegliere OK.
Nota: a causa dei ritardi di replica e della frequenza di polling dei criteri IPsec, si verificherà un ritardo tra l'aggiunta del computer al gruppo CG_BoundaryIG_computers e l'applicazione del criterio del gruppo di isolamento Limite. Riavviare il computer a questo punto se si desidera applicare immediatamente il criterio IPsec. In caso contrario, il criterio verrà applicato allo scadere del ticket di sessione e aggiornato con le nuove informazioni di appartenenza al gruppo locale.
Verifica della distribuzione del gruppo di isolamento Limite
Dopo aver creato e distribuito, allo stato attivo, gli oggetti dei criteri in Active Directory, procedere alla verifica del corretto funzionamento del computer all'interno del gruppo di isolamento.
Test di implementazione prerequisiti
Prima di eseguire eventuali test funzionali sui computer del gruppo di isolamento Limite, la Woodgrove Bank ha atteso la replica e l'aggiornamento del criterio, quindi ha verificato che al computer venisse applicato il criterio IPsec corretto.
Per controllare che a IPS-PRINTS-01 sia stato applicato il criterio IPsec corretto
Connettersi a IPS-PRINTS-01 come amministratore del dominio Americhe.
Aprire un prompt dei comandi e specificare il seguente comando:
netsh IPsec static show gpoassignedpolicy
- Controllare l'output per confermare che il nome del criterio sia il seguente: "IPSEC - Criterio IPsec gruppo di isolamento Limite (1.0.041001.1600)".
Test funzionali di implementazione
Dopo aver verificato la corretta applicazione del criterio a IPS-PRINTS-06, la Woodgrove Bank ha eseguito alcuni semplici test funzionali per verificarne il corretto funzionamento. La Woodgrove Bank ha poi tentato di eseguire i comandi net view sui computer elencati nella tabella seguente. Inoltre, si è utilizzato lo snap-in MMC Monitor di protezione IP per verificare che fossero state create le SA appropriate. Nella tabella riportata di seguito, vengono elencati i computer di destinazione utilizzati per ogni esecuzione di net view, un'indicazione sull'esito (positivo o negativo) previsto e il tipo di SA negoziate per ogni computer appartenente al gruppo di accesso a risorse crittografate.
Nota: quando si tenta di eseguire un comando net view su un computer non attendibile, è necessario specificare le credenziali di amministratore locale del computer.
Tabella C.18. Risultati previsti dei test funzionali su IPS-PRINTS-01
| Computer di destinazione | Risultato | SA negoziata |
|---|---|---|
| IPS-UT-XP-03 | Operazioni riuscite | SA trasferibile |
| IPS-TZ-XP-01 | Operazioni riuscite | SA non trasferibile |
| IPS-SQL-DFS-01 | Operazioni non riuscite | Nessuna |
```
net view \\<Target Computer>
```
**Nota:** su IPS-UT-XP-03, specificare le credenziali di amministratore locale con il comando **net view**.
Tramite lo snap-in MMC Monitor di protezione IP, controllare il campo Associazioni protezione di tutte le connessioni riuscite per verificare che sia stata negoziata la SA appropriata.
Ripetere i punti 3 e 4 per ciascun <computer di destinazione> elencato nella tabella precedente.
Configurazione del dominio di isolamento come gruppo di isolamento predefinito
Prima di eseguire i test funzionali, gli amministratori della Woodgrove Bank hanno configurato la protezione del dominio di isolamento in modo che venisse applicata a tutti i computer del dominio. Questo metodo garantisce che tutti i nuovi computer aggiunti al dominio vengano automaticamente aggiunti al dominio di isolamento, a meno che non abbiano esigenze tali per cui debbano essere aggiunti a un gruppo di isolamento diverso.
Inoltre, il gruppo Computer del dominio è stato rimosso dal gruppo CG_BoundaryIG_computers.
Per rimuovere Computer del dominio dal gruppo CG_BoundaryIG_computers
Avviare Utenti e computer di Active Directory su IPS-CH-DC-01 collegandosi come amministratore del dominio Americhe.
Espandere il dominio, quindi fare clic su Utenti.
Nel riquadro a destra, fare clic con il pulsante destro del mouse sul gruppo di protezione CG_BoundaryIG_computers, quindi scegliere Proprietà.
Selezionare la scheda Membri, quindi il gruppo Computer del domino, infine scegliere Rimuovi.
Fare clic su Sì per rimuovere il gruppo.
Scegliere OK.
Nota: a causa dei ritardi di replica e della frequenza di polling dei criteri IPsec, si verificherà un ritardo tra la rimozione del gruppo dal gruppo CG_BoundaryIG_computers e la rimozione del criterio gruppo di isolamento Limite. Riavviare il computer a questo punto se si desidera applicare immediatamente il criterio IPsec. In caso contrario, il criterio verrà applicato allo scadere del ticket di sessione e aggiornato con le nuove informazioni di appartenenza al gruppo locale.
Per aggiungere Computer del dominio al gruppo CG_BoundaryIG_computers
Avviare Utenti e computer di Active Directory su IPS-CH-DC-01 collegandosi come amministratore del dominio Americhe.
Espandere il dominio, quindi fare clic su Utenti.
Nel riquadro a destra, fare clic con il pulsante destro del mouse sul gruppo di protezione CG_IsolationDomain_computers, quindi scegliere Proprietà.
Selezionare la scheda Membri e fare clic su Aggiungi.
Nella casella di testo Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio, quindi fare clic su OK.
Scegliere nuovamente OK.
Nota: a causa dei ritardi di replica e della frequenza di polling dei criteri IPsec, si verificherà un ritardo tra l'aggiunta del gruppo Computer del dominio al gruppo CG_IsolationDomain_computers e l'applicazione del criterio gruppo di isolamento del dominio. Riavviare il computer a questo punto se si desidera applicare immediatamente il criterio IPsec. In caso contrario, il criterio verrà applicato allo scadere del ticket di sessione e aggiornato con le nuove informazioni di appartenenza al gruppo locale.
Aggiornamento dell'ordine di collegamento dei criteri IPsec
Per garantire la corretta applicazione dei criteri agli host, è necessario aggiornare l'ordine di collegamento dei criteri IPsec. L'operazione è necessaria in quanto il criterio predefinito attuale è il criterio gruppo di isolamento standard e non più il criterio gruppo di isolamento Limite, impostato come predefinito nella fase iniziale della distribuzione.
Per collegare i criteri IPsec agli oggetti GPO esistenti
Avviare la GPMC collegandosi come amministratore di dominio.
Espandere il dominio.
Fare clic sul nome del dominio.
Nell'elenco Oggetti Criteri di gruppo collegati, ordinare i criteri come illustrato nella tabella seguente con l'ausilio dei tasti freccia.
Tabella C.19. Ordine di collegamento oggetti Criteri di gruppo a livello di dominio
Ordine di collegamento Nome oggetto Criteri di gruppo 1 IPSEC - Criterio gruppo di isolamento Crittografia 2 IPSEC - Criterio gruppo di isolamento Nessun fallback 3 IPSEC - Criterio gruppo di isolamento Limite 4 IPSEC - Criterio dominio di isolamento 5 Default Domain Policy
Test funzionali finali - Tutti i gruppi di isolamento abilitati
Dopo aver abilitato tutti i gruppi di isolamento, la Woodgrove Bank ha eseguito alcuni semplici test funzionali per verificare il corretto funzionamento dei criteri. Benché durante l'implementazione di ciascun criterio fossero stati eseguiti alcuni test funzionali, gli amministratori della Woodgrove Bank non erano riusciti ad eseguire un test funzionale completo in quanto i gruppi di isolamento sono stati abilitati uno alla volta. Gli amministratori hanno poi tentato di eseguire i comandi net view da uno o più computer appartenenti a ciascun gruppo di isolamento su computer appartenenti ad altri gruppi di isolamento, per verificare che la connettività fosse stata stabilita correttamente. In alcuni gruppi di isolamento, sono stati selezionati più computer, i cui modelli di traffico variano a seconda che si tratti di risponditori o iniziatori. Inoltre, gli amministratori hanno utilizzato lo snap-in MMC Monitor di protezione IP per verificare che fossero state create le SA appropriate.
Nelle tabelle riportate di seguito, vengono elencati i computer di destinazione utilizzati per ogni esecuzione di net view, un'indicazione sull'esito (positivo o negativo) previsto e il tipo di SA negoziate per tutti i computer selezionati per l'esecuzione di test.
Nota: quando si tenta di eseguire un comando net view su computer non attendibili, è necessario specificare le credenziali di amministratore locale del computer.
Mediante la seguente procedura, è possibile verificare la connettività tra IPS-SQL-DFS-01 (con funzione di iniziatore) e diversi computer appartenenti ad altri gruppi di isolamento o di accesso alla rete.
Tabella C.20. Risultati previsti dei test funzionali su IPS-SQL-DFS-01
| Computer di destinazione | Risultato | Motivo | SA negoziata |
|---|---|---|---|
| IPS-ST-XP-05 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile con crittografia |
| IPS-TZ-XP-01 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile con crittografia |
| IPS-PRINTS-01 | Operazioni riuscite | Il computer è in grado di completare la negoziazione di IPsec. | SA non trasferibile con crittografia |
| IPS-UT-XP-03 | Operazioni non riuscite | L'iniziatore non supporta la modalità non crittografata. | Nessuna |
```
net view \\<Target Computer>
```
**Nota:** su IPS-UT-XP-03, specificare le credenziali di amministratore locale con il comando **net view**.
Tramite lo snap-in MMC Monitor di protezione IP, controllare il campo Associazioni protezione di tutte le connessioni riuscite per verificare che sia stata negoziata la SA appropriata.
Ripetere i punti 3 e 4 per ciascun <computer di destinazione> elencato nella tabella precedente.
Mediante la seguente procedura, è possibile verificare la connettività tra IPS-TX-XP-06 (con funzione di iniziatore) e diversi computer appartenenti ad altri gruppi di isolamento o di accesso alla rete.
Tabella C.21. Risultati previsti dei test funzionali su IPS-TZ-XP-06
| Computer di destinazione | Risultato | Motivo | SA negoziata |
|---|---|---|---|
| IPS-SQL-DFS-01 | Operazioni non riuscite | Il risponditore fa parte del gruppo Accesso a risorse crittografate. | Nessuna |
| IPS-ST-XP-05 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile |
| IPS-TZ-XP-01 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile |
| IPS-PRINTS-01 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile |
| IPS-UT-XP-03 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA trasferibile |
```
net view \\<Target Computer>
```
**Nota:** su IPS-UT-XP-03, specificare le credenziali di amministratore locale con il comando **net view**.
Tramite lo snap-in MMC Monitor di protezione IP, controllare il campo Associazioni protezione di tutte le connessioni riuscite per verificare che sia stata negoziata la SA appropriata.
Ripetere i punti 3 e 4 per ciascun <computer di destinazione> elencato nella tabella precedente.
Mediante la seguente procedura, è possibile verificare la connettività tra IPS-ST-XP-06 (con funzione di iniziatore) e diversi computer appartenenti ad altri gruppi di isolamento.
Tabella C.22. Risultati previsti dei test funzionali su IPS-ST-XP-05
| Computer di destinazione | Risultato | Motivo | SA negoziata |
|---|---|---|---|
| IPS-SQL-DFS-01 | Operazioni riuscite | Il risponditore fa parte del gruppo Accesso a risorse crittografate. | SA non trasferibile con crittografia |
| IPS-TZ-XP-01 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile |
| IPS-PRINTS-01 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile |
| IPS-UT-XP-03 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA trasferibile |
```
net view \\<Target Computer>
```
**Nota:** su IPS-UT-XP-03, specificare le credenziali di amministratore locale con il comando **net view**.
Tramite lo snap-in MMC Monitor di protezione IP, controllare il campo Associazioni protezione di tutte le connessioni riuscite per verificare che sia stata negoziata la SA appropriata.
Ripetere i punti 3 e 4 per ciascun <computer di destinazione> elencato nella tabella precedente.
Mediante la seguente procedura, è possibile verificare la connettività tra IPS-TX-XP-01 (con funzione di iniziatore) e diversi computer appartenenti ad altri gruppi di isolamento o di accesso alla rete.
Tabella C.23. Risultati previsti dei test funzionali su IPS-TZ-XP-01
| Computer di destinazione | Risultato | Motivo | SA negoziata |
|---|---|---|---|
| IPS-SQL-DFS-01 | Operazioni non riuscite | Il risponditore fa parte del gruppo Accesso a risorse crittografate. | Nessuna |
| IPS-ST-XP-05 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile |
| IPS-PRINTS-01 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile |
| IPS-UT-XP-03 | Operazioni riuscite | L'iniziatore supporta la modalità non crittografata. | SA trasferibile |
```
net view \\<Target Computer>
```
**Nota:** su IPS-UT-XP-03, specificare le credenziali di amministratore locale con il comando **net view**.
Tramite lo snap-in MMC Monitor di protezione IP, controllare il campo Associazioni protezione di tutte le connessioni riuscite per verificare che sia stata negoziata la SA appropriata.
Ripetere i punti 3 e 4 per ciascun <computer di destinazione> elencato nella tabella precedente.
Mediante la seguente procedura, è possibile verificare la connettività tra IPS-LT_XP-01 (con funzione di iniziatore) e diversi computer appartenenti ad altri gruppi di isolamento o di accesso alla rete.
Tabella C.24. Risultati previsti dei test funzionali su IPS-LT-XP-01
| Computer di destinazione | Risultato | Motivo | SA negoziata |
|---|---|---|---|
| IPS-SQL-DFS-01 | Operazioni non riuscite | Il risponditore fa parte del gruppo Accesso a risorse crittografate. | Nessuna |
| IPS-ST-XP-05 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile |
| IPS-TZ-XP-01 | Operazioni riuscite | I computer sono in grado di completare la negoziazione di IPsec. | SA non trasferibile |
| IPS-UT-XP-03 | Operazioni non riuscite | L'iniziatore non supporta la modalità non crittografata. | Nessuna |
```
net view \\<Target Computer>
```
**Nota:** su IPS-UT-XP-03, specificare le credenziali di amministratore locale con il comando **net view**.
Tramite lo snap-in MMC Monitor di protezione IP, controllare il campo Associazioni protezione di tutte le connessioni riuscite per verificare che sia stata negoziata la SA appropriata.
Ripetere i punti 3 e 4 per ciascun <computer di destinazione> elencato nella tabella precedente.
Mediante la seguente procedura, è possibile verificare la connettività tra IPS-UT-XP-03 (con funzione di iniziatore) e diversi computer appartenenti ad altri gruppi di isolamento o di accesso alla rete.
Tabella C.26. Risultati previsti dei test funzionali su IPS-UT-XP-03
| Computer di destinazione | Risultato | Motivo | SA negoziata |
|---|---|---|---|
| IPS-SQL-DFS-01 | Operazioni non riuscite | L'iniziatore non supporta la modalità non crittografata e il passthrough in ingresso. Il risponditore fa parte del gruppo Accesso a risorse crittografate. | Nessuna |
| IPS-ST-XP-05 | Operazioni non riuscite | L'iniziatore non supporta la modalità non crittografata e il passthrough in ingresso. | Nessuna |
| IPS-TZ-XP-01 | Operazioni non riuscite | L'iniziatore non supporta la modalità non crittografata e il passthrough in ingresso. | Nessuna |
| IPS-PRINTS-01 | Operazioni riuscite | L'iniziatore supporta la modalità non crittografata e il passthrough in ingresso. | SA trasferibile |
```
net view \\<Target Computer>
```
**Nota:** su tutti i computer basati sul dominio, specificare le credenziali di amministratore locale con il comando **net view**.
Tramite lo snap-in MMC Monitor di protezione IP, controllare il campo Associazioni protezione di tutte le connessioni riuscite per verificare che sia stata negoziata la SA appropriata.
Ripetere i punti 3 e 4 per ciascun <computer di destinazione> elencato nella tabella precedente.
Riepilogo
Una volta completate le attività descritte nella presente appendice, si sarà provveduto a:
Creare gli elenchi filtri, le operazioni filtro, le regole e i criteri IPsec in Active Directory.
Configurare gli oggetti GPO presenti in Active Directory per una corretta applicazione dei criteri IPsec.
Effettuare una distribuzione in più fasi del gruppo di isolamento Limite e del dominio di isolamento nell'intera azienda.
Configurare più gruppi di isolamento per il controllo dell'accesso al risponditore.
Abilitare e collaudare il dominio di isolamento.
Abilitare e collaudare il gruppo di isolamento Nessun fallback.
Abilitare e collaudare il gruppo di isolamento Crittografia.
Abilitare e collaudare il gruppo di isolamento Limite.
Scarica la soluzione completa
Isolamento del server e del dominio tramite IPsec e criteri di gruppo