Windows XP Professional obbligatorio?

[hydra]

Dunque, chiariamo il problema:

Nel workgroup:

l'autenticazione viene fatta a livello di computer;
ogni computer deve avere l'utente in locale (quindi io non posso accedere a tale pc se non sono registrato NEL PC);
se utilizzo un pc come host, ossia come magazzino dati, e do dei privilegi alle cartelle, posso accedere solo se sono l'utente specifico. Se però io mi creo in locale tale utente posso tranquillamente accedere a tale cartella;
tutti gli utenti sono sullo stesso piano;

Nel dominio:
l'autenticazione viene fatta a livello server;
l'utente è univoco (definito nel dominio), quindi con il mio profilo utente posso accedere a tutti i pc della rete (salvo restizioni a livello SERVER)
l'unità condivisa a livello server deve avere i privilegi alle cartelle in modo che solo un determinato utente (o un determinato gruppo di utenti) possa accedervi (e in questo caso è impossibile accedervi creando un utente a livello locale);
la struttura del dominio è una struttura organizzata e i vari utenti sono raggruppati secondo i vari livelli.

Un workgroup è un tipo di lan paritaria che serve a condividere determinate risorse IN MODO UGUALE a tutti imembri del wkg.
Un dominio è una struttura lan organizzata in cui gli utenti hanno diversi diritti.

Alla luce di questo ditemi quale sistema è il migliore per garantire la privacy.

[12]

thx hydra, molto gentile come al solito!

e se la finanza ti fa un controllo può rompere le p***e?? se si in che misura?

?

[hydra]

Se non sei a norma di legge la finanza ti rompe le palle come da prassi. Non so in che misura, ma sempre in termini di legge.

Logicamente bisogna studiare bene la faccenda, perchè come detto da piercing non c'è scritto da nessuna parte che ci vuole il dominio, e non c'è scritto da nessuna parte che non si può usare l'HE. Ma se è stato detto che l'HE non può essere usato l'unico motivo è questo.

[12]

non so se ti può servire:

http://download.microsoft.com/download/ ... rivacy.doc

[hydra]

Di seguito viene riportata la tabella riassuntiva delle tecnologie Microsoft che aiutano le aziende a soddisfare i requisiti previsti dal Codice in materia di protezione dei dati personali.

Misura richiesta Soluzione Microsoft
1. Censimento e aggiornamento dei trattamenti  Active Directory;
 SMS 2003 (per gli aspetti di Software Inventory e Asset management)
2. Lista degli incaricati  Active Directory
3. Gestione delle credenziali di autenticazione  Active Directory per la parte server;
 sistema di autenticazione da Windows 2000 in poi per la parte client;
4. Password, token o dispositivi biometrici  Active Directory per la parte server;
 sistema di autenticazione da Windows 2000 in poi per la parte client;
5. Protezione della sessione di lavoro  Active Directory per la parte server;
 sistema di autenticazione da Windows 2000 in poi per la parte client;
6. Profilazione dei privilegi per l’accesso  Active Directory per la parte server;
 sistema di autenticazione da Windows 2000 in poi per la parte client;
7. Aggiornamento programmi per prevenire vulnerabilità e correggere difetti del software  SUS (Software Update Services) e SMS (System Management Server 2003) per la parte server;
 Microsoft Update per la parte client;
8. Adozione di misure idonee per assicurare l’integrità e disponibilità dei dati  Windows Server 2003, SQL Server 2000, Exchange Server 2003, Office 2003
9. Salvataggio e ripristino dati  Windows Server 2003, SQL Server 2000, Exchange Server 2003 per la parte server;
 personal firewall di Windows XP e Office 2003 per la parte client;
10. Ripristino dei dati e sistemi salvati  Task periodici da Windows 2000 in poi e Office 2003
11. Difesa dagli accessi abusivi  Windows Server 2003, SQL Server 2000, Exchange Server 2003 per la parte server;
 personal firewall di Windows XP e Office 2003 per la parte client;
 Enterprise firewall Microsoft Internet & Acceleration Server (ISA)

12. Protezione supporti rimovibili  Windows Server 2003 per la parte server;
 Windows XP per la parte client
14. Analisi dei rischi informatici  Servizi professionali Microsoft o dei Partner
14. Relazione di conformità dell’installatore per adozione misure minime  Servizi professionali Microsoft o dei Partner
15. Formazione specifica degli incaricati  Servizi professionali Microsoft o dei Partner

Questo è quanto dice Microsoft.

[dany]

Il 98 non può essere usato (per legge) perchè appunto non conforme alle esigenze sulla privacy.

Sicuri, conosco aziende italiane di fama mondiale, che al momento utilizzano windows 98?????

[pjfry]

Dunque, chiariamo il problema:

Nel workgroup:

l'autenticazione viene fatta a livello di computer;
ogni computer deve avere l'utente in locale (quindi io non posso accedere a tale pc se non sono registrato NEL PC);
se utilizzo un pc come host, ossia come magazzino dati, e do dei privilegi alle cartelle, posso accedere solo se sono l'utente specifico. Se però io mi creo in locale tale utente posso tranquillamente accedere a tale cartella;
tutti gli utenti sono sullo stesso piano;

dovresti crearti quell'utente con la stessa password, quindi dovresti conoscerne la password... se conosci la password di un utente non c'è dominio che tenga

inoltre, in un ufficio con pochi pc è uno spreco di soldi creare un dominio, come minimo per il fatto che devi comprarti almeno un windows 2000 server... anche per questo mi sembra difficile che venga imposto il concetto di autenticazione centralizzata

[piercing]

beh... io assicuro che sul workgroup in esame... ho 4 pc... nei quali entrano solo gli autorizzati ed ognuno dei quali può fare solo ed unicamente quello che io (amministratore) ho deciso di fargli fare...

questo viene fatto con XP Pro, ma solo perchè è quello che ho... non ho alcuna intenzione di installare ed acquistare una licenza server + cal per un insieme di 4 pc...

non credo che con XP Home possa essere diverso... anche se ripeto... non l'ho mai aperto in vita mia...

ovvio è che se gli utenti fossero 400 il discorso cambierebbe... ma solo ed unicamente per il sudore della fronte dell'amministratore di rete...

[hydra]

Il concetto che il 98 è "fuorilegge" dipende dal fatto che su un sistema stand-alone non mi garantisce la privacy (infatti se premo esc accedo al pc). Se il pc con 98 è connesso a un dominio devo autenticarmi per accedere al dominio (quindi premendo esc non vi accedo).

In un wkg quindi se premo esc posso accedere alla rete vedendo e utilizzando le varie risorse, mentre in un dominio questo non accade (appunto perchè in un wkg ho un livello paritativo al livello della macchina, mentre in un dominio vi è la necessità di autenticare l'utente per accedere alla rete).

Ora ripeto, non so se la legge specifichi espressamente che in una rete aziendale deve essere installato un dominio (anche perchè appunto sarebbe dispendioso), ma sull'affermazione in cui si dice che XP Home non va bene, mi viene in mente solo il motivo che tale so non permette di fare il join sul dominio.

[RunDLL]

Intanto non capisco proprio dove sono ste implicazioni che ho fatto, soprattutto utilizzando potrebbe che nella lingua italiana è modo condizionale. Che il 98 sia fuori legge per questa legge questo è accertato e superato. Che stare sotto dominio o no sia la stessa cosa non è vero affatto, un conto è avere le password di ogni utente su ogni computer, in una rete di 12 computer le password sono replicate 12 volte, in un server solo una, puoi violare un solo sistema non uno qualsiasi dei 12, se applichi le giuste misure e tieni i dati su di un solo sistema stai pur certo che è più sicuro (e pratico) che spargerli da tutte le parti. Figuriamoci su reti da 30-40 computer dove ogni utente tra l'altro fa i fatti suoi. Dimenticavo di dirlo prima che qualcuno lo contesti: per questa legge la password di accesso è OBBLIGATORIA. Ciao

[RunDLL]

[quote="piercing"]non credo che con XP Home possa essere diverso... anche se ripeto... non l'ho mai aperto in vita mia...
quote]

La configurazione degli account sulla Home Edition non è pienamente configurabile come sulla PRO. Per dire nella gestione del computer in strumenti di amministrazione la voce "Users and Groups" manco esiste.

[RunDLL]

Va bhè ho cancellato troppo del quote, me so cancellato anche una / e una [
Perchè non attivate la funzione "Modifica"?!

[kadosh]

Signori...mi spiace dirvelo ma siete in PERENNE ERRORE, e vi ostinate a perseguirlo metodicamente senza riflettere sul significato delle vostre stesse parole.

WINDOWS 98 NON E' FUORI LEGGE secondo i canoni del decreto legge, e tantomeno lo è Win XP HE.

Questo vostro accanirvi su un'idea che NON E' scritta da nessuna parte ma che deducete da vostre ERRONEE convinzioni sta portando gli utenti di questo Forum ad avere idee fuorvianti al riguardo.

Se io applicassi a Win 98 una psw di blocco del BIOS e un livello di prima autenticazione con SMART CARD nessuno, e ripeto NESSUNO, potrebbe perseguirmi per eventuali furti o manchevolezze riguardanti privacy e sicurezza della mia macchina...e che questo sia chiaro!! Inoltre applicando un successivo software di criptazione dei dati, ad esempio Pointsec, nessuno potrebbe accedere il mio pc via rete o file system non avendo i diritti del software.

Quanto vi dico non è semplicemente teorico ma portato all'atto pratico in una multinazionale svedese di cui ora curo l'intera gestione lato sistemi, rete, sicurezza, backoffice e applicazioni, con ampio consenso di vari consulenti legali che hanno dato un'occhiata alla discussione.

Nessuna legge dice che un sistema è vietato piuttosto che un altro, si pongono solo dei vincoli da rispettare, e se si riuscisse anche a win 3.11 a far rispettare questi vincoli esso stesso sarebbe in regola con le attuali normative.

Microsoft offre solo dei consigli, come molti altri, ovvi ad incrementare il loro portafogli, ma non rappresentano la legge.

I vincoli dell'allegato B non vengono infranti se al sistema vengono applicate le opportune modifiche, per questo non sono nominati nel decreto...altrimenti non vi immaginate neanche le querele e le salate multe che avrebbero dovuto pagare in risarcimento per le calunnie versate.

Se il discorso è valido per Win 98...figuratevi per XP HE...

Valutate bene le parole...prima di scrivere in un Forum...non influenzate solo i pochi che partecipano ma tutti quelli che leggono...grazie.

[RunDLL]

Sì questo è valido per persone che fisicamente potrebbero accendere un computer e manco totalmente vero perchè password al bios si eliminano facilmente resettandolo o togliendo la batteria, per uno che ci capisce è un secondo. Anche smart card sono aggirabili: mi smonto l'hard disk e me lo rimonto da altre parti. Certamente sono casi estremi e cmq la legge prevende anche sistemi di allarme obbligatori (adesso dimmi che non è vero manco questo!). Ma la totale sicurezza non è possibile.
Ma per gli attacchi hacker (che non ci saranno mai nei nostri confronti ma questa opportunità la legge non la prevede) via Internet?
Lasciare password disseminate per ogni computer è meglio che tenerle tutte in un solo computer? Non credo proprio!
Come ho già detto ogni legge sarà la giusta autorià a interpretarla, cosa che succede per ogni legge. Non mi stupirei affatto che un giudice in sede di giudizio dicesse:"Potevi tenerle in un solo posto le password degli utenti invece che su tutti i 50 computer" oppure "Non potevi immaginare che i tuoi dipendenti per sbaglio o non conoscenze informatiche o incapacità o qualunque cosa vuoi, disinstallassero il firewall e/o l'antivirus? Se avevi un dominio con un bel server amministrato da un esperto non sarebbe successo" oppure "Ti pare normale che hai messo la password al bios e poi ti sei andato a prendere un caffè mentre si avviava ed è passato uno che ha pigiato ESC e si è letto tutto?".
Tempo fà su questo stesso forum chiesi se era vero che tra un po' di tempo sarebbe stato obbligatorio l'antivirus e c'è chi "rideva" o diceva che era assurdo. Bhè ora è obbligatorio!

[kadosh]

Mi esprimo per l'ultima volta, e spero sia la definitiva.

Un giudice non potrà mai riprendere una persona perchè nel suo ufficio ha lasciato i suoi PC in WG e non ha creato un Dominio, perchè il Dominio non è sinonimo di sicurezza ma semplicemente di praticità, scalabilità e affidabilità...STOP.

Se io faccio quanto prevede la legge per rendere sicuro l'accesso alla mia WS con Win 98 o Win XP HE secondo le regole precisate nel decreto legge, nessuno potrà mai perseguirmi per non aver rispettato i canoni previsti. E QUESTO NON E' IN DISCUSSIONE.

Che poi i sistemi 9x o Win XP HE siano meno vantaggiosi sotto vari punto di vista fa parte di un'altra discussione, NON DI QUESTA.

Spero vorrete leggere tra le righe...altrimenti dovrò leggere io tra le vostre...

[piercing]

incredibile....

per la prima volta mi trovo d'accordo con kadosh....

rundll... ovviamente non si sta dicendo che "hai torto", ma credo che purtroppo sia molto facile da parte di persone che di questo problema non se ne occupano veramente travisare i contenuti di una legge per dire che questo va bene e quello no.... sicuramente è preferibile un'architettura ed un sistema operativo che integra tutto di default... ma questo non vuol dire che qualcosa è nei termini di legge e qualcos'altro no...

se la soluzione individuata, qualunque essa sia, risponde ai criteri di legge da te citati, questo vuol dire che la soluzione è corretta...

PS... prima che un giudice capisca cosa è un dominio passerà almeno un secolo...

PPS... per ogni regola c'è l'eccezione... quindi è facile aggirare la pwd del bios esattamente come è anocra + facile aggirare la password di amministratore di un sistema (ci si mette ancora di meno... di aprire un pc e staccare la batteria), ma qui siamo su un altro discorso, e purtroppo li c'è molto poco da fare... se non ricorrere a sistemi di controllo di altra natura...

[hydra]

Come ho detto il 98 non va bene perchè non garantisce la privacy (non per dire ma mi sembra che già al livello 2 di Codebreak si giochi appunto su questo fatto). L'accesso al pc deve essere impossibile a una persona che non sia in grado di identificarsi e in questo senso il 98 non offre la protezione necessaria, soprattutto in un workgroup dove l'accesso alla rete non è vincolato da nessuna autorizzazione. In un dominio invece la storia cambia, perchè è impossibile accedervi senza autenticarsi. Sull'affermazione "Win Xp Home edition non va bene", l'unica affermazione plausibile è che non prevede la possibilità di fare il join su un dominio, perchè per tutti gli altri aspetti è migliore del 98 (autenticazione compresa).
E' ovvio che se io installo e configuro programmi che mi limitano l'accesso alle applicazioni mi sento più sicuro, ma il metodo più sicuro per bloccare programmi e risorse è quello di non accedere al sistema.
Server non è affatto sinonimo di semplicità, è soprattutto sinonimo di sicurezza: io posso accedere solo se sono AUTORIZZATO. Il normale workgroup è una tipologia di (cito quanto appare nella finestra di Windows) piccola rete locale, ossia una rete il cui scopo è quello di condivirede file e cartelle, non prevede nessuna autenticazione ed è accessibile a quanti si colleghino tranquillamente utilizzando il proprio nome utente e password. Non mi piace il discorso che fa kadosh secondo cui io dovrei cambiare idea perchè chi legge si può fare idee sbagliate; su questa legge c'è tanto mistero e come si vede ci sono molti pareri discordanti che, sebbene non li condivida, li accetto. Io mi sono solo limitato a risponderen alla domanda del topic, e vorrei a sto punto sapere il motivo per cui l'HE non dovrebbe andare bene.
Io continuo a sostenere che una rete con un dominio è molto più sicura di una rete locale e non è affatto più semplice da utilizzare (l'amministratore di rete solitamente si fa un mazzo come una casa per configurare tutto). Per il resto fate come volete.

[fulged81]

ragazzi, io in ufficio ho 8 pc conb windows98se e uno con windows 2000 pro. Ho capito che per tenere il windows 98 ed essere conforme alle norme minime mi toccherà creare un domini giusto? Con windows 2000 professional, è possibile creare un dominio o mi serve x forza windows 2000 server?

[kadosh]

NON E' NECESSARIO AVERE UN DOMINIO, state tranquilli. Occorre solo mantenere le MISURE MINIME di SICUREZZA, rispettando i nodi dell'allegato B del Codice della Privacy 196/2003 in ottemperenza con gli articoli presenti nello stesso.

Vengo fuori oggi dall'ennesimo seminario (ICTSECURITY su http://www.ictsecurity.it ) in cui il concetto base è il rispetto delle normative e l'adeguamento alle misure minime, ma se io dimostro che la mia con Win 98 è sicura, e che le procedure che la regolano sono funzionali ed efficaci, io sono a posto con gli obblighi di legge.

E spero con questo di chiudere il discorso una volta per tutte.

[febelus]

Leggendo questo forum non ho potuto fare a meno di postare.
Secondo me è stato inteso male ,da molti, il senso della realizzazione di un dominio per assolvere alle richieste della legge 196.
Tale legge inquadra "solamente" i problemi di sicurezza dei DATI SENSIBILI all'interno di una rete informatica distribuita e ad un attento esame posso essere divisi in 4 gruppi:
1-Sicurezza da attacchi esterni.
2-Persistenza dei dati.
3-Sicurezza da attacchi virali.
4-Sicurezza da accessi interni non autorizzati.

L'uso di un dominio è sicuramente efficacie per la risoluzione del 4° punto ma non per la messa in sicurezza dell'intera architettura. Infatti ,creando un albero ldap o active directory o un' autenticazione samba, potremo redigere il nostro bel D.P.S.S. individuando le utenze e i loro diritti ma non potremo certo definire a norma di legge la nostra rete.
Il discorso è secondo me + complicato, infatti la legge impone a TUTTI coloro che hanno all'interno della loro rete informatica o computer stand/alone anche una sola lista di dati anagrafici di clienti o fornitori di ottemperare alla legee stessa.
Devo dire che facendo L'amministratore di rete da tempo e avendo lavorato anche in ambienti militari, come consulente ,la soluzione di tali problematiche risulta difficile e dispendiosa e sinceramente spero che il garante restringa l'adozione alle sole aziende e liberi professionisti.....Pensate ad un povero alimentari che gestisce i suoi fornitori con un foglio excel che si vede costretto a spendere veri soldoni.