4 strategie per trasformare le condivisioni di rete da un’orda di zombie assetati del tuo tempo in un plotone di soldati instancabili che combattono al tuo fianco

4 strategie per trasformare le condivisioni di rete da un’orda di zombie assetati del tuo tempo in un plotone di soldati instancabili che combattono al tuo fianco
Spread the love

In questo articolo voglio condividere alcuni suggerimenti per ottenere un successo stellare nella continua lotta contro il male assoluto dei dati condivisi senza nessun criterio (e che TU in qualità di System Admin ti trovi a gestire) e creare un sistema per gestire le condivisione dei file in rete di cui essere fiero.

Il comitato di gestione delle condivisioni AD CAZZUM ti sta cercando…

Nell’era dei colleghi connessi alla rete aziendale con gli smartphone anche mentre sono a cena, in bagno o nel letto, avere perfettamente sotto controllo ogni singola informazione a cui possono accedere -in tempo reale- suona come un incubo ad occhi aperti.

L’impostazione della condivisione di file di rete è una di quelle pratiche IT fondamentali che ogni amministratore di Windows sa e ha implementato come parte del lavoro quotidiano.

La meccanica di base di questo problema non è cambiata da Windows Server 2003 ed è relativamente semplice. Tuttavia, dopo aver configurato le condivisioni di risorsa e le singole autorizzazioni NTFS per ogni cartella, la maggior parte degli amministratori perde di vista il quadro generale perché gestiscono le richieste di autorizzazione “day by day” in modo puntuale.

Nel tempo, via via che le autorizzazioni vengono aggiunte, il risultato potrebbe essere che le autorizzazioni sono impostate in modo troppo ampio – per la delizia dei ladri di dati interni.

Il motivo principale è che gli amministratori non sono generalmente attrezzati per tenere traccia in tempo reale dei ruoli degli utenti, delle modifiche organizzative o del termine della collaborazione di lavoro, tre delle occasioni più comuni che influenzano l’accesso degli utenti al contenuto dei file.

Non è per mancanza di impegno, ma semplicemente perché è difficile avere il completo controllo del mapping tra utenti e le loro autorizzazioni sui file.

Questo è spesso il risultato di complesse gerarchie di autorizzazioni che rendono difficile per il personale IT gestire queste soluzioni.

Gli amministratori, ovviamente, possono rivedere i record di attività file per vedere chi effettua l’accesso ai record e quindi decidere se l’utente deve avere accesso.

Ma la maggior parte delle aziende non crea un audit di file: è un divoratore di risorse capace di ingoiare in un sol boccone anche i sistemi più performanti e -anche se fatto per un breve periodo- i risultati del log possono essere talmente vasti da scoraggiare qualsiasi tentativo di analisi.

Un gran bel casin…. ehm, problema.

Ci sono molti modi per gestirlo, non ultimo quello di spendere alcune migliaia di euro in software specifici che gestiscono solo ed unicamente i report legati alla sicurezza degli accessi.

Ma cosa fare se non gestisci una rete da migliaia di utenti e una spesa simile non è giustificata?

Beh, devi crearti il tuo “esercito personale” automatico composto da soldati che combattono la battaglia per sistemare gli accessi in modo corretto al posto tuo.

Ventiquattro ore su ventiquattro, senza mai stancarsi, né demotivarsi, senza scioperare né pretendere ferie o aumenti di stipendio.

Cosa devi fare ? Ecco i quattro passi fondamentali per armare fino ai denti il tuo prezioso esercito:

K.I.S.s.s.S.Keep It Super (super super) SIMPLE (ovvero maschera tutte le complessità in modo da far sembrare tutto il sistema un gioco da neonati in fasce)

I veri ideatori di questo metodo…

Piuttosto che lavorare su contine richieste di modifiche ad hoc, è importante avere una regola, una politica di gestione: più semplice è, meglio è.

Come sai meglio di me, le autorizzazioni sulle cartelle condivise possono essere di tre tipi:

  1. Autorizzazioni dirette, cioè tutte le autorizzazioni vengono applicate direttamente all’elenco di controllo degli oggetti condivisi;
  2. Autorizzazioni ereditate, cioè tutte le autorizzazioni delle sotto-cartelle che sono ereditate dalla directory padre;
  3. Ibride, cioè sono presenti autorizzazioni di entrambi le tipologie appena elencate.

Il nostro obiettivo deve essere quello di eliminare tutti i casi di cartelle con autorizzazioni ibride e di spostarci verso un modello binario: le cartelle dovrebbero essere completamente “ereditarie” o solo con autorizzazioni dirette. Più in dettaglio, la cartella padre condivisa deve avere SOLO autorizzazioni dirette, tutte le sottocartelle figlie devono avere SOLO autorizzazioni ereditate.

Per farlo, il sistema migliore è utilizzare un piano di autorizzazione binario, come nella figura 1 qui sotto:

Figura 1. Il modo corretto di gestire le autorizzazioni

Questo significa che chi ha accesso alla condivisione DEVE avere accesso anche a tutte le sottocartelle, e quindi deve esserci uniformità di informazione all’interno di una stessa condivisione.

Detto in altri termini, non puoi gestire una cartella “Amministrazione” con dentro una sottocartella “Bilancio” a cui accedono solo i responsabili amministrativi e un’altra sottocartella “Fatture” a cui accedono le impiegate amministrative… devi creare tante condivisioni quante sono le politiche di accesso ad medesima classe di informazioni.

Riprendendo questo esempio, dovrai creare direttamente una condivisione “Bilancio” con delle autorizzazioni di accesso e una differente condivisione “Fatture” a cui accederanno le un numero più ampio di utenti.

Il passo successivo è quello di standardizzare le autorizzazioni di gruppo esistenti, e vale la pena ricordare che devi gestire solo autorizzazioni di gruppo.Sono molto più facili da gestire rispetto alle autorizzazioni individuali.

Chi autorizza chi accede a cosa? (ovvero dovrai continuamente sfrangiare le scatole a chi genera o gestisce le informazioni perché ne deve essere anche il reale -sottolineo reale– custode)

Se cerchi un custode delle informazioni in gamba, questo è una bomba!

Parliamo ancora un attimo sulle autorizzazioni di gruppo e poi ti spiego perché.

È accettabile avere un gruppo unico di accesso? La risposta è NO.

Anche qui una politica binaria semplice e lineare è la soluzione migliore: posiziona gli utenti in un gruppo di lettura o in un gruppo di lettura e scrittura. (Naturalmente, dovrebbe esistere anche un gruppo amministrativo separato, ma il 99% degli utenti rientrerà in uno di questi due gruppi)

Una delle ragioni per cui è difficile definire le autorizzazioni effettive di una cartella condivisa è che spesso si creano situazioni che richiedono gruppi di accesso nidificati all’interno di altri gruppi.

Ora, ascolta me… EVITA come la peste bubbonica la nidificazione.

Nella mia visione dicotomica del mondo la nidificazione è MALE. Ma non solo MALE, ma MALE MALE: Se vuoi perdere rapidamente il controllo della tua sanità mentale oltre a quello della gestione delle autorizzazioni, nidificare è il sistema più rapido.

Ma se vuoi realmente gestire al meglio quei dati è necessario creare una nuova condivisione se una parte dei dati presenti in una sottocartella necessità di autorizzazioni di accesso differenti.

Ma chi decide quali utenti devono avere accesso o meno ad una condivisione? Ovviamente non l’amministratore di sistema.

Come sai meglio di me, la gestione dell’active directory permette l’assegnazione di un manager dei gruppi: ti basta solamente mettere come manager dei due gruppi di ogni condivisione (come detto sopra un gruppo in lettura ed uno in lettura/scrittura) la persona che gestisce le informazioni contenute.

Provo a farti un esempio per essere più chiaro.

Diciamo che hai creato una nuova condivisione chiamata “Vendite Mensili” in cui il Responsabile Commerciale salva i report del venduto e portafoglio del mese in corso.

Chi deve decidere chi deve (o non deve) vedere i report? Esatto, il primo indiziato è il Responsabile Commerciale…

Quindi, molto probabilmente tu dovrai creare due gruppi chiamandoli “R_Vendite_Mensili” (per gli utenti in sola lettura) e “RW_Vendite_Mensili” (per gli utenti che possono anche modificare) e mettere il Responsabile Commerciale come manager di questi due gruppi.

(Devi specificare l’attributo del gruppo “managedBy” e selezionare la checkbox “Manager can update membership list”)

La persona che deve gestire i membri del gruppo deve essere in grado di eseguire l’utility DSQuery, per il quale puoi creare questo collegamento:

rundll32 dsquery,OpenQueryWindow

Puoi anche già fare una ricerca e poi salvarla nel pc di quell’utente con tutti i parametri già impostati. Se vuoi che ti dia anche gli screen shot….suvvia, sei un amministratore di rete, vedi di muovere il fondoschiena….


TIPS: (…cavolo, dovresti pagarmi una consulenza per il trucco segreto che sto per svelarti…) In un dominio multilivello, dove potresti avere più file server all’interno della stessa rete, aggiungi al nome del gruppo anche il nome del server in modo da poter automatizzare (ti spiegherò poi come fare) questa operazione in modo ottimale. Qualcosa come “R_SRAC01001_Vendite_Mensili” potrebbe andare bene.


DOPPIO TIPS: (Poi ti dò il numero del mio conto bancario per il bonifico.) Se tieni le modalità di accesso all’inizio del nome “R_” o “RW_” puoi effettuare le ricerche nell’active directory in modo più semplice e puoi automatizzare anche l’assegnazione di alcuni utenti a tutti i gruppi di sola lettura.


Automatizza tutto il possibile, e anche di più (ovvero creati il tuo personale esercito di soldati che lavora al posto tuo)

Il tuo esercito di soldati pronti a difenderti e ad eseguire ogni tuo ordine

Ora arriva la parte che a me piace di più.

Cosa ne dici se, di tutto il lavoro che ti ho descritto sopra, tu non dovessi (quasi) nulla?

Nè adesso nè mai, nemmeno per manutenzionare gli accessi?

E come è possibile una simile stregoneria? Dimmi, non farmi stare sulle spine…” starai probabilmente pensando…

Beh, SE hai fatto tutto per benino, SE hai chiarito che la gestione è in carico ai vari responsabili, SE sai gestire gli script…. ALLORA puoi automatizzare ogniuno dei passaggi sopra descritti e dimenticarti ora e per sempre la gestione delle condivisioni.

Come funziona tutto il sistema?

Beh, tu devi creare le cartelle sul file server e condividerle con la autorizzazioni standard, e poi … devi far girare questo script

Pubblica_condivisioni_su_AD

E se questo script lo scheduli ogni 2 ore, non devi nemmeno fare la fatica del doppio click sul nome dello script.

Primo BOOM! Ecco la condivisione pubblicata sull’active directory ed ecco che appaiono come magia i due nuovi gruppi R_ e RW_ per gestirne gli accessi.

Ora, ammettiamo che tu abbia un ristretto elenco di dirigenti che devono accedere a tutte le informazioni in rete: come fare? Beh, schedula questo secondo script che aggiunge fino a 20 utenti a tutti i gruppi in lettura (oltre che metterci dentro il gruppo degli amministratori di dominio…) .

Aggiunta_di_un_utente_a_tutti_i_gruppi

Secondo BOOM! Ora puoi dimenticarti della gestione di questi super utenti. E per condivisioni pubbliche, a cui cioè devono accedere TUTTI gli utenti della rete?

Beh, NON utilizzare il gruppo “DOMAIN USER” semplicemente perché perderesti l’effetto finale risultante da tutta questa gestione… ma procediamo con ordine.

Con il seguente script puoi aggiungere uno ad uno tutti gli utenti ad un gruppo:

Aggiunta_di_tutti_gli_utenti_ad_un_gruppo

Quale è l’effetto risultante?

Che puoi vedere in modo puntuale a quali informazioni un utente può avere accesso semplicemente guardando i gruppi di cui è membro, sapendo anche a quali informazioni ha accesso in sola lettura e a quali in modifica.

E, allo stesso modo, per ogni cartella ha il completo elenco aggiornato in (quasi) tempo reale degli utenti che vi possono accede guardando i membri del gruppo relativo.

Hai capito lo schema?

Ora puoi sfogarti con gli script perché puoi

  • Abbinare automaticamente ogni condivisione con il manager di quella funzione / area e delegarne in automatico la gestione
  • Dare periodicamente ad ogni responsabile un report con lo spazio occupato da ogni condivisione se questa cresce in modo anomalo
  • Modificare automaticamente la descrizione di ogni condivisione in Active Directory per inserire il nome/cognome del responsabile in modo che un utente sappia a chi rivolgersi per chiedere l’accesso
  • etc etc etc

Automatizza e controlla e poi… schedula come se non ci fosse un domani. E poi ricontrolla. E poi ricontrolla. (ovvero non esiste l’automazione perfetta, ma l’automazione ti permette di evidenziare le anomalie)

Con le violazioni dei dati che sono divenute un evento comune, il personale IT dovrebbe analizzare l’attività di accesso ai file di rete alla ricerca di anomalie, che potrebbero evidenziare attività illecite o non autorizzate (esempio, hacker esterni o malware che utilizzano le credenziali degli utenti interni). In altre parole, l’IT dovrebbe esaminare l’attività di accesso con un occhio a modelli inusuali come spunti di attività, modifiche delle autorizzazioni alle cartelle esistenti e contenuti sensibili. Anche qui l’uso dell’automazione, in particolare i meccanismi di allerta in tempo reale, è un modo perfetto per implementare il monitoraggio e poi riesaminare manualmente i registri.

Mentre è naturale che tu sia impegnato a pensare a impostare le condivisioni di file di rete e gestire le azioni esistenti, a volte i problemi del ciclo di vita dei dati possono essere persi di vista.

Ricorda: tutti i dati hanno una durata di vita e quanto più il contenuto è legato al business, più diventa pertinente valutare correttamente il suo ciclo di vita.

Tu devi avere in vigore politiche di conservazione dei dati.

Questa non è solo una questione di salvataggio dello spazio disco rimuovendo e archiviando i dati, ma ha anche implicazioni sulla sicurezza dei dati.

C’è un approccio alla sicurezza dei dati conosciuta come “privacy by design”, che ha avuto una forte influenza sulla conformità dei dati. L’idea di fondo è che le aziende dovrebbero minimizzare i dati raccolti e impostare i limiti di conservazione per i file e le cartelle.

Il vantaggio della sicurezza nel mettere una data di scadenza sui dati è che ci sarebbero meno dati da gestire e -potenzialmente- meno dati da rubare per ladri di informazioni. Questa è una strategia di difesa semplice ma efficace.

Per aiutare gli utenti a gestire il ciclo di vita dei dati, un metodo brutale ma adeguato è impostare delle quote limite per le loro condivisioni, e abbinare un costo per megabyte.

In questo modo ti è possibile quantificare chi e come sta spendendo le risorse economiche dell’IT e se questo è corretto per il business aziendale.

Per ora basta così. alla prossima!

Francesco

P.S: Se vuoi avere una consulenza personalizzata per la tua azienda puoi contattarmi su Facebook, Linkedin o via mail all’indirizzo francesco.racchelli(at)gmail.com

P.P.S: Che ne dici di iscriverti alla mia newsletter (qui sotto il modulo) per avere aggiornamenti con i prossimi articoli?

[wysija_form id=”1″]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *