mercoledì 19 gennaio 2011

Windows 2008 server: password utenti di rete, screen saver e privacy

Dopo una pausa di circa un mese in cui ho dedicato il mio tempo libero a mia figlia nata a dicembre, torno a scrivere finalmente sul blog.

Come tutti sappiamo, la normativa privacy impone standard di sicurezza elevati al fine di evitare la sottrazione di informazioni riservate e personali.
Tralasciando ogni polemica o critica in merito alla bontà della normativa ed alla sua reale applicazione in Italia, vi espongo come gestisco la sicurezza delle password degli utenti e lo screen saver in ambiente Active Directory 2008.



Lanciando "Group Policy Management", andiamo a selezionare la "Default Domain Policy" nell'albero del dominio. Editandola (tasto destro -> edit), seguiamo quest'albero:
  1. Default Domain Policy
  2. Computer Configuration
  3. Policies
  4. Windows Settings
  5. Security Settings
  6. Account Policies
  7. Password Policies
Qua impostiamo i seguenti parametri.

Impostiamo che il sistema ricordi le 5 password precedentemente utilizzate così che gli utenti non le possano riutilizzare:
Enforce password history = 5 password remembered
 Impostiamo la validità temporale massima delle password:
Maximum password age = 90 days
 Indichiamo il limite temporale entro il quale non sia possibile variare la password (è buona regola che non si cambi più di una volta al giorno):
Minimum password age = 1 days
Settiamo i caratteri minimi da cui deve essere composta la password:
Minimum password length = 8 characters
 Attiviamo l'utilizzo dei caratteri speciali (simboli oltre a maiuscole, minuscole e numeri):
Password must meet complexity requirements = Enabled

Passando allo screen saver, dobbiamo fare in modo che si attivi automaticamente, richieda la password al termine e gli utenti non possano bypassarlo.
Sempre nella stessa schermata, passiamo alla seguente voce:

  1. User Configuration
  2. Policies
  3. Administrative Templates
  4. Control Panel
  5. Personalization
Abilitiamo quindi lo screen saver per tutti i client aderenti alla policy:
Enables desktop screen savers = Enabled
 Dopodiché attiviamo la richiesta di password al termine dello screen saver:
Password protect the screen saver = Enabled
 Per ultimo abilitiamo il tempo di attivazione ed impostiamolo a 15 minuti:
Screen saver timeout = Enabled | 900 seconds 

Con questo abbiamo fatto i primi passi verso la privacy!
Ricordatevi di:
  1. Fare tutte le prove del caso su alcuni computer prima di liberare le nuove regole a tutta la rete.
  2. Non impostare queste regole per i server (questi meritano regole differenti ed anche più ferree).
  3. Dare pronta comunicazione agli utenti prima così da non coglierli impreparati al momento del primo cambio password (e non vi tempestino quindi di telefonate!!)!
A presto!!

3 commenti:

  1. Come fai a gestire le copie dei log di accesso dell'amministratore??
    Copie ogni 6mesi, criptazione, ecc...
    Si può fare in modo gratuito?? cioè senza software di terze parti e adempiere comunque alle richieste del garante??
    Grazie delle Info.
    Fabrizio

    RispondiElimina
  2. @Fabrizio
    Ci sono molteplici modi per gestire in modo gratuito i dati inerenti al provvedimento "Amministratore di Sistema" ma, sinceramente, ritengo molto più importante PRIMA adempiere a tutte le richieste di sicurezza predisposte dalla normativa e POI al salvataggio dei dati.
    Ho partecipato infatti ad alcune conferenze in merito ed ho compreso che il salvataggio dei log è solo l'ultimo piccolo passo per essere a norma: quello che sta a monte è molto più importante!
    Cercherò di pubblicare qualcosa in merito a breve!

    RispondiElimina
  3. sono la mamma di un blogger, non so nulla di informatica, volevo unicamente augurare a te e a tua figlia tanto bene.
    lucetta

    RispondiElimina