Sicurezza informatica in ambiente Segreteria

Norme generali

Nominare una figura responsabile della sicurezza dei dati.
Non consentire l’accesso ai sistemi informatici ed ai server a persone non autorizzate esplicitamente dal Dirigente, dal Direttore o dal responsabile della sicurezza.
Custodire i server in luogo poco accessibile, lasciando sempre il server senza accesso effettuato.
Verificare che l’impianto elettrico, a servizio della rete, sia a norma.
Proteggere il server con adeguata unità di protezione elettrica (UPS).
Informare il personale sulle procedure e sul fatto che le attività sono monitorate.

Protezione della rete da attacchi esterni

Se al rete è connessa ad Internet, installare un firewall hardware e configurarlo in modo tale che tutte le porte in entrata siano chiuse.
Se gli accessi ad Internet sono liberi e possono essere effettuati da tutte le postazioni, è consigliabile l’installazione su un server di un Proxy, ad es. Microsoft ISA Server, in modo da filtrare i dati che transitano e al fine di definire delle policy di utilizzo.
Istruire il personale a non visitare siti che possano installare, senza alcun avviso, spyware o trojan. Eventualmente installare su tutti i client un programma per bloccare tali installazioni.

Protezione del dominio

Creare gli utenti necessari, creare un Unità organizzativa ed un gruppo globale comprendente tutti coloro che possono accedere alla rete, in modo da implementare policies di gruppo.
Cancellare gli eventuali utenti non necessari (es. personale trasferito, in pensione).
Modificare il nome di Administrator in qualcosa d’altro.
Creare un solo utente amministratore che, unico, conosce la password relativa. Tale password, in busta chiusa, deve essere consegnata al Direttore per eventuali necessità.
Se Administrator è anche utente normale, eviti di usare l’account amministrativo per lavorare normalmente.
Se il server controllore di dominio è anche file server (deposito dei dati), mettere i dati in altra partizione rispetto C: Utilizzare, se possibile, server con sistema RAID 1 (mirroring tra 2 dischi).
Utilizzare nel server esclusivamente partizioni con file system NTFS.
Installare un antivirus server ed uno su ciascun client. Se tutti i client sono connessi a Internet, scegliere un antivirus che permetta l’aggiornamento automatico e trasparente.
Accertarsi che l’unico protocollo di rete installato nel dominio sia TCP/IP.
Togliere eventuali condivisioni di file e stampanti inutili.
Attivare la registrazione delle attività del dominio (log) e controllarle periodicamente.
Informare il personale che le attività sono monitorate.
Attivare un programma di backup del server, relativamente al c.d. “Stato del sistema”.
Verificare la possibilità, eventualmente con upgrade hardware, di installare su tutti i client Windows XP professional, eliminando, quindi, Windows 9x.

Politiche di accesso alla rete

Se l’unico sistema di convalida dell’accesso è la password, implementare delle politiche di password:

La password è l’unica chiave personale per l’accesso alla rete, per cui informare il personale che è necessario tenerla riservata.
La password non deve essere né banale né facile, ed almeno di 6 lettere o numeri. Evitare quindi: data di nascita, nome marito-moglie.figli, targa auto, nome di battesimo, numero di telefono.
Una password accettabile deve contenere almeno 1 numero ed un segno grafico o una maiuscola: es. As3!fe5. Al massimo, per ragioni mnemoniche un nome come Roberto potrebbe diventare: r0BerT°
La durata della password deve essere al massimo di 30-45 giorni, dopo di che deve essere cambiata con una diversa o l’account viene sospeso (si implementa la funzione nelle policy del dominio Windows 2000).

Studiare la possibilità di implementare diversi tipi di accesso (chiavi elettroniche, smartcard, impronta digitale)

Protezione dei dati

Tutti i dati sensibili devono trovarsi su server o computer che utilizzino il file system NTFS (Windows 2000, 2000 server, XP, NT). Dare alle cartelle contenenti questi dati permessi di condivisione e NTFS molto ristretti (evitare accuratamente che “Everyone” abbia accesso completo).
Evitare di tenere dati sensibili in computer Windows 95 o 98, o, comunque, con file system FAT.
Nel server, porre i dati in una partizione diversa da C.
Nidificare i dati importanti in cartelle con nomi di fantasia, es: D:\film\cartoni_animati\Disney\paperino\dati, dando il nome di condivisione “Dati”. In tal modo dalla rete, chi ne ha l’autorizzazione, vedrà la condivisione \\nomeserver\dati, ma chi dovesse entrare abusivamente nel server avrebbe più difficoltà a trovarli.

Attivazione di politiche di backup

Definire chi abbia il ruolo di backup operator.
Definire la strategia di backup del server: tipo di backup (completo, differenziale o incrementale), pianificazione (dati da salvare, tempi e modalità), collocazione dei dati (disco di rete, supporto ottico CDROM, nastri, etc.), software da utilizzare (di sistema o software particolare).
Definire la collocazione dei supporti utilizzati.
Definire la strategia di backup dei client, se necessaria (in caso alcuni computer detengano dati sensibili), con le modalità di cui sopra.
Definire le modalità di backup dello “Stato del sistema” del server ed, eventualmente, la creazione di immagine della partizione di sistema, con l’utilizzo di idoneo software (es. V2i Protector o Ghost di Symantec).

Analisi della situazione del dominio


Tipo di dominio (rete)	o NT4 o Windows 2000 o Windows 2003
Numero dei server domain controller
Per domini NT4
Esiste un Amministratore di sistema	o Sì o No
Se esiste, è un dipendente dell’Istituto ?	o Sì o No
Se i server sono almeno due, ruolo degli stessi	o PDC o BDC o Print Server o File server
Sono installati tutti i Service pack e le altre patch ?	o Sì o No
Sono attivate le repliche tra PDC e BDC ?	o Sì o No
Sono attivati backup del sistema ?	o Sì o No
Nei server sono installati antivirus ?	o Sì o No
Gli antivirus sono ad aggiornamento automatico ?	o Sì o No
Gli antivirus sono aggiornati ?	o Sì o No
Sono definiti Gruppi globali di protezione ?	o Sì o No
Gli utenti sono inseriti in Gruppi	o Sì o No
Sono implementate policies Windows 98 ?	o Sì o No
Sono implementate policies Windows NT4 ?	o Sì o No
L’utente “guest” è disattivato	o Sì o No
Sono implementate politiche di password ?	o Sì o No Durata della password o Sì o No giorni: Complessità della password o Sì o No Modifica consentita o Sì o No
Nel dominio sono installati server web, email, ftp ?	o Sì o No
Se sono installati, indicare quali e in quali postazioni
Sono attivati e monitorati log delle attività ?	o Sì o No
E’ monitorata la “Visualizzazione Eventi” dei server ?	o Sì o No
Per domini Windows 2000 e Windows 2003
Esiste un Amministratore di sistema	o Sì o No
Se esiste, è un dipendente dell’Istituto ?	o Sì o No
Il dominio è unico	o Sì o No
Se i domini sono più di uno, il loro numero
Se i domini sono più di uno, sono in relazione di fiducia ?	o Sì o No
Se i domini sono più di uno, la struttura è a foresta ?	o Sì o No
E’ installata Active directory (AD) ?	o Sì o No
Sono definite Unità Organizzative (UO)	o Sì o No
Se sono definite UO, quante sono ?
Sono definiti Gruppi globali di protezione ?	o Sì o No
Gli utenti sono inseriti in Gruppi	o Sì o No
Sono implementate policies Windows 98 ?	o Sì o No
Sono implementate policies Windows NT4 ?	o Sì o No
Sono implementate Group Policies ?	o Sì o No
Se i server sono almeno 2, è attivata la replica di AD ?	o Sì o No
Tutti gli utenti hanno un account attivo ?	o Sì o No
L’utente “guest” è disattivato	o Sì o No
E’ stato rinominato l’utente “Administrator” ?	o Sì o No
Sono implementate politiche di password ?	o Sì o No Durata della password o Sì o No giorni: Complessità della password o Sì o No Modifica consentita o Sì o No
Nel dominio sono installati server web, email, ftp ?	o Sì o No
Se sono installati, indicare quali e in quali postazioni
Sono attivati e monitorati log delle attività ?	o Sì o No
E’ monitorata la “Visualizzazione Eventi” dei server ?	o Sì o No
Nei server sono installati antivirus ?	o Sì o No
Gli antivirus sono ad aggiornamento automatico ?	o Sì o No
Gli antivirus sono aggiornati ?	o Sì o No

Per tutti i domini
La rete ha segmenti wireless (senza fili)	o Sì o No
Se sì, l’accesso è protetto da protocollo criptato ?	o Sì o No
E’ installato e configurato un firewall hardware ?	o Sì o No Tipo:
E’ installato e configurato un firewall software	o Sì o No Tipo:
E’ installato e configurato un proxy server ?	o Sì o No o MS Proxy 2 o ISA Server 2000/2004 o Kerio o Wingate o Winproxy o Altro …………………
Il proxy server è installato su macchina dedicata ?	o Sì o No
Se no, quali sono le funzioni della macchina condivisa ?	o Domain controller o File server o Print Server o Web Server o FTP Server o Altro ………………
E’ configurato, nel firewall o nel proxy, il filtraggio degli indirizzi web ?	o Sì o No
Sono attivati e monitorati log delle attività in Internet ?	o Sì o No
Sono informati gli utenti sulle procedure attivate ?	o Sì o No
Sono disattivati su tutti i client gli accessi locali (escluso “Administrator” sui client NT4, 2000 o XP?	o Sì o No
L’utente “Administrator” su tutti i client NT4, 2000 o XP è protetto da password ?	o Sì o No
E’ inibito l’accesso senza validazione d’utente ?	o Sì o No
Protezione dei dati
I dati sensibili sono solo in un file server ?	o Sì o No
I dati presenti nel file server sono in partizione NTFS ?	o Sì o No
Se no, quali sono i computer che ospitano tali dati ?
Questi dati sono in partizioni NTFS ?	o Sì o No o Alcuni (specificare)
I dischi del server sono in configurazione RAID	o Sì in RAID 0 o Sì in RAID 1 o Sì in RAID 0+1 o Sì in RAID 5 o No
I computer che ospitano i dati sono dotati di masterizzatore CD o DVD riscrivibile ?	o Sì o No o Alcuni (specificare)
E’ implementata una politica di backup dati ?	o Sì o No
Che tipi di backup dati si applicano ?	o Completo o Incrementale o Differenziale
Con che frequenza viene effettuato il backup completo ?
Con che frequenza viene effettuato il backup incrementale ?
Con che frequenza viene effettuato il backup differenziale ?
Quale supporto si utilizza per il backup ?	o Altro disco o partizione o Disco di rete o CDR o CDRW o Floppy disk o Nastro/DAT
Nel caso di supporti rimovibili, ogni quanto sono sostituiti ?
Quante copie di backup sono effettuate ?
Dove sono conservate le copie ?
I dati sono criptati e protetti da password ?	o Sì o No
E’ utilizzato software specifico, oltre che il backup di Windows ?	o Sì o No (Specificare)
Sono effettuate immagini delle partizioni dei server ?	o Sì o No
Sono effettuate immagini delle partizioni dei client ?	o Sì o No

Analisi della situazione dei client

Postazione	Specifica	Note
Nome	Collocazione: Utente (i) primario:
Tipo di processore	o Pentium o Pentium II o Pentium III o Pentium IV o Celeron o AMD K5 o AMD K6 o AMD Duron o AMD Athlon
Frequenza	Mhz
RAM (Mb)	Mbyte
HD (Gb)		Numero partizioni Dimensione
CDROM-DVDROM	o Si o No
Masterizzatore	o Si o No
Floppy disk	o Si o No
Scheda di rete	o 10 Mbit o 10/100 Mbit
Collegamento ad Internet	o Sì o No	o Via LAN o Via modem
Sistema operativo	o Windows 95 o Windows 98 o Windows 98 SE o Windows ME o Windows 2000 professionale o Windows NT4 workstation o Windows XP professional
File System	o FAT o Fat32 o NTFS
Se il file system è NTFS:	Sono implementati permessi NTFS ? o Si o No	Eventuali tipi di permesso e limitazioni
Software di produttività installato	o Microsoft Office o Open Office o … o … o … o …	Versione Versione
Antivirus		Aggiornato: o Si o No
Software gestionale	o …. o … o …	Database sul computer o Si o No Database sul server o Si o No Database sul computer o Si o No Database sul server o Si o No