Qui: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831 si legge dei nuovi criteri del Garante per gli "amministratori di sistema". Innanzitutto, sono molto interessato a conoscere cosa ne pensate. Ci sono degli appigli per evitare tutto ciò? Come ci si uniforma a questi criteri?
Poi, purtroppo, l'interpretazione che ne è stata fatta in azienda mi costringe a valutare i metodi tecnici per la "Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi". Per sistemi Linux/Unix, mni sto orientando ad impedire l'accesso remoto con user locali (generiche e applicative) e consentirlo solo attraverso autenticazione centralizzata sul dominio Windows AD. Ogni passaggio a "root" tramite "su" sarebbe, a quel punto, legato ad un utente specifico. Rimarrebbe l'accesso a "root" da console, che non saprei come regolare. E per l'auditing di tutte le attività, qual'è la strada migliore? Per i sistemi Windows? Grazie -- Domenico Viggiani ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
