Securizarea Unei Retele Windows Server Prin Functia Active Directory

1. Introducere 3

Generalități 3

2. Elemente de bază 5

2.1 Domenii 5

2.1.1 Generalități 5

2.1.2 Controler de domeniu 5

2.2 Obiecte 5

2.2.1 Computerele 6

2.2.2 Grupuri de securitate 7

2.2.3 Utilizatori 8

3. Managementul drepturilor (Rights Management) 9

3.1 Directoare și fișiere 9

3.2 Unități de rețea 11

3.2.1 Profilul utilizatorului 12

3.2.2 Directorul personal 13

3.3 Politica de grup 14

3.3.1 Parametri în registry (registry entries) 15

3.3.2 Redirecționarea folderelor 16

3.3.3 Gestionarea de aplicații 16

3.3.4 Stabilirea setărilor de securitate 16

4. Administrarea 18

4.1 Unelte 18

4.1.1 Active Directory Users and Computers 18

4.1.2 Group Policy Management 19

4.1.3 ADSI Editor 20

4.2 Lightweight Directory Access Protocol (LDAP) 21

4.3 Active Directory Service Interfaces (ADSI) 22

4.4 PowerShell 22

4.4.1 Acces la Active Directory 22

4.4.2 Active Data Objects (ADO) 24

4.5 C# 25

5. Beneficiile folosirii funcției Active Directory 26

5.1 Beneficii de securitate 26

5.2 Beneficii dintr-o perspectivă de afaceri 27

6. Concluzii 29

7. Norme legislative 30

8. Bibliografie 41

1. Introducere

Generalități

Active Directory (AD) – este o ierarhie de câteva obiecte, unde obiectele se împart în trei categorii: resurse (ex: imprimantă), servicii (ex: poșta electronică), resurse umane (ex: utilizatori, grupe de utilizatori). Scopul tehnologiei "Active Directory" este de a pune la dispoziție informații despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securității.

Fiecare obiect, indiferent de categorie, reprezintă o entitate și atributele ei, unde 'entitate' poate fi – "Utilizator", "Calculator", "Imprimantă", "Aplicație" sau "Resursă Partajată". Mai mult decât atât, un obiect poate să conțină și alte obiecte. Atributele obiectului (structura de bază a obiectului în sine) sunt definite de o "schemă", care la rândul ei definește și tipul obiectelor care pot fi stocate ca subobiecte în obiectul dat.

Totul pare complicat, însă în realitate e mai simplu decât pare. Aceste reguli au fost inventate numai cu scopul ca să poată cumva să reflecte situațiile întâlnite de noi în fiecare zi. Pentru a le înțelege mai bine să ne închipuim o situație care trebuie cumva reflectată în lumea IT, și printr-o metodă de pseudo-inducție vom ajunge exact la ceea ce a fost expus mai sus.

O "schemă" e compusă din două tipuri de obiecte (sau meta-datele schemei): "clasa" și „atributele". Aceste meta-date există cu scopul de a extinde sau modifica schema. Din motiv ce meta-datele schemei sunt parte din obiectul pe care-l descriu (parte din obiectul la care a fost aplicată schema), odată ce am modificat schema, efectele se raspândesc pe toate obiectele din Active Directory la care a fost aplicată schema dată – prin această caracteristică "Active Directory" este foarte puternic dar și foarte periculos – o modificare nechibzuită poate duce la efecte nedorite de nivel global (cum ar fi: scăderi din salariu de nivel esențial, imposibilitatea îndeplinirii lucrului oamenilor care sunt dependenți de efectele modificării). O schemă creată poate fi numai deactivată, nu și ștearsă – deoarece crearea sau modificarea unei scheme este bazată pe motive serioase.

Un serviciu de director este o memorie de date care stochează informații despre oameni, calculatoare și alți participanți dintr-o rețea. Pentru acest scop este disponibil serviciul, ”componente de acces la rețea”, cum ar fi un serviciu de nume de domeniu (DNS). Active Directory este un serviciu de director de la Microsoft pentru rețele Windows Server. Prin aceasta se poate efectua o hartă a rețelei din cadrul institutului.

Această lucrare de licență se adresează în primul rând la depozitul de date din Active Directory si aplicațiile sale. După o introducere de bază a conceptelor de Active Directory se va prezenta în mod special sarcinile de gestionare a obiectelor de utilizator și calculator. În acest scop, posibilitățile de gestionare a drepturilor pentru fișiere și programe sunt prezentate la nivel de utilizator și la nivel de grup. Într-un alt paragraf sunt tratate opțiunile de control, prin intermediul politicii de grup. În cele din urmă, capacitățile de administrare a unei rețele și accesul automatizat sunt prezentate pe baza unor programe. (III)

2. Elemente de bază

2.1 Domenii

2.1.1 Generalități

Un domeniu este o zonă de securitate într-o rețea. Cu ajutorul unui astfel de domeniu poate fi reprodusă structura organizatorică a unei rețele. Domeniile sunt arborescente: un domeniu poate fi subdomeniu al unui alt domeniu. Domeniile "rădăcină" se mai numesc și domenii de nivel superior (în engleză Top Level Domain, prescurtat TLD: Domeniu de top-nivel). În același exemplu, "org" este TLD-ul pentru host-ul ro.wikipedia.org.

Pentru domeniile .ro, autoritatea națională este RoTLD.

Ultima parte din numele unui subdommeniu conține întotdeauna numele domeniului aranjat deasupra.

2.1.2 Controler de domeniu

Domeniul se stabilește atunci când creați un controler de domeniu. Apoi, acesta poate fi utilizat de computere din aceeași rețea. Serverul de domeniu constituie astfel un sistem de autentificare central pentru utilizatori și computere.

Fiecare domeniu necesită cel puțin un controler de domeniu. Este posibilă și funcționarea cu unul sau mai multe controlere de domeniu (backup-controller), pentru a face accesul la informații mai rapid și pentru a îmbunătăți accesul la rețea in cazul unor probleme cu unul dintre controlere.

2.2 Obiecte

Active Directory este bazat pe obiecte. Toate informațiile sunt stocate în obiecte. Aceasta este cea mai mică unitate de stocare într-un Active Directory. Fiecare obiect are un nume unic și poate obține ca proprietăți diferite atribute. În funcție de tipul obietelor, atributele sunt deja predefinite.

Există trei categorii, care pot fi alocate unui obiect. Un obiect de resursă care conține informații despre hardware-ul din cadrul rețelei. Acest lucru poate fi de exemplu un calculator, server sau imprimantă. Instalația de servicii, cum ar fi e-mail, pot fi găsite într-un obiect de serviciu. Utilizatori și grupuri sunt clasificate ca obiect de cont sau obiect de resursă umană.

Fiecare obiect poate fi identificat în mod clar. Identificarea se face prin calea completă și numele obiectului, numit numele distins (DN).

Exemplu: CN=Streanga Andrei,OU=CIP-Pool,OU=1. OG,DC=test,DC=local

CN (Common Name) indică numele obiectului. În acest caz, CIP-Pool este o unitate organizațională (Organisational Unit, OU) într-o unitate organizațională diferită, cu numele de 1.OG. Ca o indicație finală a numelui apare în același format numele de domeniu (Domain Component, DC). Aici domeniul este test.local.

O alternativă la Distinguished Name este Canonical Name. În acest sens, etichetele atribut ca OU sau DC sunt omise, iar lista începe în ordine inversă.

Exemplu: test.local/1. OG/CIP-Pool/Streanga Andrei

Numele unui obiect trebuie să fie unic. Nu este posibil în Active Directory, două intrări cu același Common Name în aceeași unitate organizațională. În plus, fiecărui obiect îi este atribuit un GUID (Global Unique Identifier). Aceasta are o valoare de 128 de biți, și este întotdeauna unic. Acest lucru este important, de exemplu, atunci când o aplicație dorește să acceseze un obiect care este redenumit sau mutat în viitor. Cu GUID, obiectul poate fi încă identificat chiar și după redenumire.

2.2.1 Computerele

Pe lângă utilizatori, există o listă de computere, care este gestionat în mod automat de către Active Directory. Numai după ce un computer a fost adăugat de către un utilizator autorizat la un domeniu, ceilalți utilizatori din domeniul respectiv se pot conecta la acest computer. Computerul, nume de rețea și informații cum ar fi versiunea utilizată pentru sistemul de operare sunt stocate în Active Directory.

Exemplu de Distinguished Names pentru un computer:

CN=XP3,CN=Computers,DC=test,DC=local

Este obișnuit ca, calculatoarelor să li se adauge grupuri de securitate, care sunt apoi subordonate unităților organizaționale. Acest lucru are avantajul că și calculatoarele pot fi gestionate prin Politica de grup.

2.2.2 Grupuri de securitate

Cu ajutorul grupurilor de securitate pot fi alocate drepturi si resurse unui grup de utilizatori în cadrul domeniului. Acest lucru poate fi, de exemplu, dreptul de a utiliza o imprimantă sau dreptul de a accesa un director de rețea. Un grup de securitate poate fi, de asemenea, subordonat la un alt grup de securitate, așa că moștenește drepturile și limitările.

Active Directory oferă implicit mai multe grupuri de securitate (a se vedea figura 1).

(Figura 1)

Cele două grupuri principale de Administratori de domeniu și utilizatorii de domeniu.

Grupul de administratori de domeniu este standard persoana care a configurat controlerul de domeniu. Acesta poate adăuga orice alte persoane cu drepturi de administrator. Ca membru al acestui grup aveți acces la toate setările din Active Directory (a se vedea figura 2).

Utilizator de domeniu sunt toți utilizatorii care au un cont în domeniu.

(Figura 2)

2.2.3 Utilizatori

Obiectele de utilizator identifică un singur membru al rețelei. Acest lucru poate fi atribuit unui grup, astfel încât utilizatorul are drepturile grupului respectiv.

În scopul unei ușoare identificări a unui utilizator din cadrul rețelei se folosește un nume principal de utilizator (UPN-User Principal Name). Aceasta constă din numele contului de utilizator și numele DNS al domeniului.

Un utilizator cu numele contului Streanga în rețeaua test.vasile-goldiș.ro de exemplu, ar primi un nume de utilizator principal [anonimizat]-goldiș.ro. Acest lucru corespunde cu formatul unei adrese de e-mail, astfel încât utilizatorul trebuie doar să iși amintească o adresa atribuită.

2.2.4 Unități organizaționale

Obiectele pot fi rezumate într-o unitate organizațională. Aceasta oferă o grupare simplă. In general, o astfel de unitate este determinată de rețeaua sau structura organizatorică a unei facilități.

Așadar o divizie a unei companii poate fi grupată într-o unitate organizațională. Utilizatorii pot fi astfel combinați pentru a forma unități mai mari. În interiorul setărilor pentru utilizatori, pot exista utilizatori suplimentari care aparțin unui grup de securitate specific (de exemplu, al grupului de administratori).

Unități organizaționale sunt necesare pentru declararea politicii de grup. Prin aceasta se pot face setări persoanele asociate. Politicile de grup interne ignoră setările politicilor de grup externe.

În mod implicit, fiecare domeniu conține o serie de obiecte, care sunt stocate în cinci unități organizaționale predefinite. (II)

3. Managementul drepturilor (Rights Management)

3.1 Directoare și fișiere

Fiecare director și fiecare fișier poate obține drepturi de acces pentru diferite conturi. Pot fi setate drepturi de control complet, modificare, citire și executare, listă foldere și listă continut pentru a citi și a scrie. Drepturile au priorități diferite. Astfel, de exemplu, control complet activează automat toate celelalte opțiuni. Dacă doriți să specificați mai precis ce drepturi sunt date unui utilizator, pot fi utilizate permisiuni speciale. Așadar se pot stabili în mod explicit tot felul de drepturi (cum ar fi ștergerea și citirea de atribute a subfolderelor și a fișierelor). În cazul în care un drept îi este atribuit unui director, acest va fi utilizat în mod implicit și pentru sub-directoare.

(Figura 3)

În cazul în care dorim eliminarea unui drept asupra unui fișier pentru o anumită persoană într-un grup, acest lucru se poate face prin proprietatea de Deny a fișierului. Acest drept va fi selectat în coloana corespunzătoare a legii respective. Din moment ce o interdicție are prioritate față de un anumit drept, acel drept își pierde valabilitatea și va fi înlocuit.

(Figura 4)

3.2 Unități de rețea

În scopul de a oferii acces asupra unităților de rețea unui grup de utilizatori, Windows oferă foldere și listă continut pentru a citi și a scrie. Drepturile au priorități diferite. Astfel, de exemplu, control complet activează automat toate celelalte opțiuni. Dacă doriți să specificați mai precis ce drepturi sunt date unui utilizator, pot fi utilizate permisiuni speciale. Așadar se pot stabili în mod explicit tot felul de drepturi (cum ar fi ștergerea și citirea de atribute a subfolderelor și a fișierelor). În cazul în care un drept îi este atribuit unui director, acest va fi utilizat în mod implicit și pentru sub-directoare.

(Figura 3)

În cazul în care dorim eliminarea unui drept asupra unui fișier pentru o anumită persoană într-un grup, acest lucru se poate face prin proprietatea de Deny a fișierului. Acest drept va fi selectat în coloana corespunzătoare a legii respective. Din moment ce o interdicție are prioritate față de un anumit drept, acel drept își pierde valabilitatea și va fi înlocuit.

(Figura 4)

3.2 Unități de rețea

În scopul de a oferii acces asupra unităților de rețea unui grup de utilizatori, Windows oferă posibilitatea de a elibera unități în întreaga rețea. Pentru a face acest lucru faceți clic într-un director de proprietăți și apoi pe fila Sharing. Aici aveți posibilitatea să partajați dosarul în rețea, unde totodată se poate selectat și cine are dreptul de acces. Pot fi specificate atât grupuri de securitate cât și utilizatori individuali. În plus, sunt valabile și permisiunile de fișier.

O caracteristică specială de partajare a directoarelor se aplică dosarelor ale căror nume se termină cu semnul $. O astfel de listă poate fi utilizată în mod normal, dar ea nu apare în lista de directoare. Astfel, nu este garantată o siguranță mai mare, dar permite ascunderea dosarului.

(Figura 5)

Pentru a lega în mod automat o unitate de rețea la o literă de unitate, trebuie creat un script, care ruleaza la autentificarea utilizatorului. Pentru a face acest lucru, se creează un fișier cmd și se adaugă următoarea linie:

NET USE S: \\SERVER\SHAREDDIR

Cu ajutorul lui "Active Directory Users and Computers", va fi selectat script-ul de pornire care este executat la autentificarea utilizatorului. Aici tastați calea către fișierul. Aceasta deschide unitatea S: și leagă în mod automat directorul de rețea asociată. In plus, exista posibilitatea utilizării comenzii %username% ca un substituent pentru numele contului.

Alternativ, unitățile de rețea pot fi conectate pentru unități organizaționale utilizând politica de grup. Totodată se poate stabili cu ajutorul funcției Policy Management Editor, căi de rețea și litera sub care acestea vor fi afișate.

3.2.1 Profilul utilizatorului

Pentru ca utilizatorii de rețea să se poată loga la orice calculator din rețea și să iși păstreaze setările de sistem și de program, este indicată stocarea profilurilor de utilizator pe partea de server. Pentru a face acest lucru, se creează un director pe server, se face sharing pentru utilizatorul respectiv iar calea spre acest director este trecută ca și cale de profil în setările contului utilizatorului respectiv. Directorul partajat ar putea fi de exemplu, \\SERVER\profile și calea de profil corespunzătore este \\SERVER\profile\%username%.

La primul logon al utilizatorului, directorul este creat în mod automat pe server și pe computerul local în calea "C:\Documents and Settings\[username]" (Windows XP, 2000, 2003) sau "C:\Users\[username]"(Windows 7).

La logoff, conținutul directorului local este copiat in directorul de server. La un nou logon conținutul directorului de pe server este copiat pe computerul local. Folderul conține setări ale desktopului și meniului de start, setări pentru programe și directorul cu documente personale. Acest lucru îi oferă utilizatorului posibilitatea de a se loga la orice calculator din rețea cu același nume de utilizator.

Trebuie remarcat faptul că utilizatorul însuși este proprietarul profilului său. Administratorul nu are acces la aceste profiluri de utilizator. Numai prin preluarea de proprietate explicit al directorului poate accesa, schimba sau șterge conținutul.

(Figura 6)

3.2.2 Directorul personal

Directorul personal este similar cu profilul de utilizator si se stochează pentru fiecare cont pe server. Diferența este că profilul de utilizator este sincronizat la fiecare logon si logoff, în timp ce directorul personal este legat ca o unitate de rețea.

Deci, atunci când se lucrează cu fișiere în directorul personal se lucrează direct pe rețea, iar în timp ce lucrați cu fișierele din profilul de utilizator accesul se face asupra copiilor locale, acest lucru înseamnă că programele ce au accesul regulat la datele de aplicare, nu au nevoie să comunice în mod constant cu rețeaua, dar atunci când se face logon si logoff toate fișierele trebuiesc copiate.

Setările si căile pentru directorul personal se definesc în același loc ca și pentru profilul de utilizator. La specificare este utilizat același format, unde %username% poate fi folosit din nou ca un substituent pentru ID-ul de cont.

(Figura 7)

3.3 Politica de grup

Utilizând Politica de grup, se fac setări asupra interfeței desktopului utilizatorului. Este posibil punerea la dispoziție a unor programe sau a stabili anumite setări ale sistemului. Politica de grup poate fi gestionată cu ajutorul funcției Group Policy Management. O politică de grup poate fi asociată cu patru tipuri de obiecte diferite:

Local Group

Location

Domain

Organizational Unit

Politici de grup locale sunt aplicate, prin urmare, numai în cazul în care computerul nu este membru în nici un domeniu. În cazul în care un drept a fost definit pe mai multe niveluri, dreptul este suprascris în ordine crescătoare, locația va suprascrie politicile locale. Așadar politicile într-o unitate organizațională au cea mai mare prioritate. Dacă există unități organizaționale imbricate drepturile proprietăților interioare le vor inlocui pe cele exterioare. În plus, moștenirea poate fi dezactivată. Folosind Group Policy Management, se pot creea și asocia politici de grup unităților organizaționale. Pentru a face acest lucru, faceți clic pe unitatea organizațională respectivă și selectați "Create and Link a GPO". Politica de grup creată poate fi editată folosind Policy Management Group Editor. Aici se face o distincție între configurarea computerului și configurarea utilizatorului.

Configurațiile computerelor sunt efectuate independent de persoana înregistrată. Aceasta include, de exemplu, instalarea de drivere. Configurațiile de utilizatori nu vor avea efect decât după ce un utilizator s-a logat din nou. Unele setări sunt disponibile atât pe partea de configurație a computerului cât și a utilizatorului. În acest caz, prima are prioritate.

Ambele categorii sunt din nou împărțite în politici și setări. În setări este permisă definirea setărilor de sistem, cum ar fi variabilele de mediu, fișiere, foldere sau introducerea manuală a unor parametri in registry , precum și setările de hardware, cum ar fi surse de date, dispozitive sau opțiuni de rețea stabilite.

Folosind politici, administratorul poate instala software-ul de pe calculatoare și stabili anumiți parametri în registry.

3.3.1 Parametri în registry (registry entries)

Cele mai multe politici de grup schimbă parametri în registru (Registry) din sistemul de operare Windows. Policy Management Group oferă aici o scurtă descriere de intrări, și arată dacă acestea au fost deja configurate.

Dacă este nevoie accesul chiar și mai adânc în sistem, de exemplu, pentru definirea setărilor la un anumit program acest lucru este posibil, prin intermediul punctului de registry. Aici există posibilitatea de schimbare și setare manuală a parametrilor pentru obiect.

3.3.2 Redirecționarea folderelor

O alternativă la profilul de utilizator salvat pe server o oferă redirecționarea de foldere. Aici, foldere individuale cum ar fi directorul "My Documents" este salvat în rețea. Acest lucru are avantajul că nu trebuie sincronizat conținutul directorului la fiecare logon și logoff. În schimb, utilizatorul accesează directorul prin intermediul rețelei. Din motive de confidențialitate trebuie asigurate utilizatorului dreptul exclusiv de acces la folder.

3.3.3 Gestionarea de aplicații

În scopul de a pune la dispoziție aplicații utilizatorilor și calculatoarelor, pachete software pot fi adăugate prin punctul de instalare de software. Pachetele Windows Installer dețin extensia MSI. Tipurile de implementare se disting între publicat și alocat. Prin tipul de implementare publicat utilizatorul poate instala aplicația, iar la tipul de implementare alocat aplicația este instalată automat. În cazul în care software-ul este instalat ca parte din configurația de calculator a politicii, pachetul de software-ul este disponibil pentru fiecare utilizator care se logează la computer.

3.3.4 Stabilirea setărilor de securitate

În conformitate cu setările Windows vom găsi setările de securitate. Aici există posibilitatea de a adăuga certificate de încredere. Acest lucru face sens pentru software-ul care a fost semnat cu certificatul organizației. Astfel aplicația instalată poate fi recunoscută ca fiind de încredere. Restricții privind instalarea de software pot fi, de asemenea, stabilite în acest domeniu. Aici se pot distinge trei niveluri de bază de securitate:

De exemplu, un utilizator nu poate instala un program chiar daca este selectată setarea "Fără restricție" în cazul în care programul ce urmează a fi instalat accesează un director din sistem pentru care utilizatorul nu are drepturi de acces. (I)

4. Administrarea

4.1 Unelte

4.1.1 Active Directory Users and Computers

Cel mai simplu mod de a avea acces la instrumentele din Active Director este folosirea lor dupa ce au fost instalate automat la instalarea Windows. Unul dintre aceste instrumente este programul "Active Directory Users and Computers".Aici sunt listate toate „Containerele” și grupurile locale din domeniu. Tot aici este posibil un management simplu al obiectelor și crearea de noi utilizatori.

(Figura 8)

În cazul în care un utilizator trebuie creat cu atributele unui alt utilizator (de exemplu, deoarece datele, cum ar fi birou sau organizație sunt identice), obiectul poate fi copiat. Astfel in afară de nume, celelalte atribute cum ar fi ID-ul de obiect si parola sunt preluate.

Obiectele pot fi mutate prin drag & drop de la o unitate organizațională la alta, în acest caz trebuie ținut cont și de impactul politicii de grup. De asemenea se va schimba și numele distins (Distinguished Name) al obiectului, astfel că anumite căi ce au fost salvate pentru un obiect pot devenii invalide. O altă caracteristică a programului este crearea de interogări salvate. Extensiile pot fi folosite pentru a crea interogări recurente. Așadar este posibilă listarea de utilizatori blocați (care au introdus incorect de prea multe ori parola) sau vizualizare utilizatori care nu s-au autentificat pâna in prezent. Interogările se pot referi la toate obiectele din Active Directory.

4.1.2 Group Policy Management

Un alt instrument este Group Policy Management (Group Policy Management Console, GPMC). Aici se pot face setări mai profunde asupra liniilor directoare. Similar cu primul program de management și aici sunt listate toate unitățile organizatorice. Utilizând butonul din dreapta al mouse-ului se poate crea și lega un nou GPO. În mod implicit, regulile nu sunt configurate. O schimbare a politicii depinde de la caz la caz și nu este actualizată imediat. Dacă, de exemplu, se schimbă calea către directorul personal, această schimbare va intra în vigoare doar după ce repornim computerul.

(Figura 9)

4.1.3 ADSI Editor

ADSI Edit este o variantă low-level pentru prelucrarea de intrări în Active Directory. Directory Information Tree din cadrul editorului este salvat exact cum este si afișat.

In figura 8 se poate vedea că atât grupul de securitate cât și utilizatorul sunt listați împreună cu alte unități organizatorice.

(Figura 10)

În contrast cu instrumentul "Active Directory Users and Computers", este posibil să vedem toate proprietățile unei intrări, și (presupunând că nu există nici o protecție la scriere) acestea se pot și schimba. Lista poate fi filtrată in funcție de valori stabilite sau valori fără filtru de protecție la scriere. In figura alăturată, a fost aplicat filtrul "Arată numai atribute cu valori".

(Figura 11)

4.2 Lightweight Directory Access Protocol (LDAP)

Lightweight Directory Access Protocol este jurnalul de aplicare a Active Directory pentru comunicarea prin TCP / IP. Se bazează pe modelul client-server. Protocolul este utilizat și de alte servicii de director, precum Novell eDirectory sau Sun Java System Directory Server.

Structura de date a unui director LDAP corespunde unui arbore ierarhic, numit și Directory Information Tree (DIT). Fiecare obiect este autonom și este format din atribute. Valorile admise ale unui atribut sunt dependente de tipul acestuia.

Pentru adresarea unui obiect este necesar un Distinguished Name. Alternativ, cu ajutorul ADO (Active Data Objects) poate fi formulată o interogare, care este apoi evaluată prin Active Directory. Aceasta funcționează similar cu accesul la intrările într-o bază de date relațională. Cele mai importante proprietăți ale unui cont de utilizator sunt enumerate mai jos:

Folosind aceste atribute, este posibil de exemplu, crearea unui script care afișează doar nume și prenume iar restul datelor, cum ar fi birouri și descriere sunt adăugate automat. Este posibilă și o generare automată a mai multor conturi.

4.3 Active Directory Service Interfaces (ADSI)

ADSI este interfața COM pentru Active Directory. COM (Component Object Model) se bazează pe principiul client-server și permite interogări prin accesarea la Active Directory. Obiectele sunt solicitate prin LDAP, cărora ulterior le pot fi aplicate anumite funcții.

Deoarece această interfață este definită ca implicită, multe limbaje de programare dețin accesul la clase pentru aceasta. Astfel încât Microsoft ADSI este implementat în .NET Framework, care cu limbaje de programare bazate pe .NET cum ar fi Visual Basic.NET sau C# poate accesa serviciul director.

4.4 PowerShell

Începând cu Windows Server 2008 R2 serviciul Windows PowerShell este instalat implicit la fiecare instalare de Active Directory. Acest serviciu consolă oferă o alternativă la linia de comandă cmd.exe. Printre altele a fost introdus conceptul de orientare pe obiecte. În plus, este integrat .NETFramework, care oferă acces simplu la Active Directory folosind LDAP și ADIS.

4.4.1 Acces la Active Directory

Pentru a citi un obiect din Active Directory, este necesar să se precizeze numele distins, inclusiv calea și domeniul. Acest lucru poate fi realizat prin comanda:

$userObj = [ADSI]"LDAP://CN=Streanga Andrei,OU=CIP-Pool, ↵

DC=test,DC=local"

Folosind controlerul ADSI se accesează Active Directory și se identifică persoana numită Streanga Andrei din unitatea organizațională CIP-Pool și în cadrul domeniului test.local. Apoi, contul de utilizator este stocat ca obiect ADSI în variabila $userObj.

Dacă dorim, de exemplu, doar schimbarea numelui de familie al utilizatorului, acest lucru se poate face prin folosirea funcției put:

$userObj.put("sn", "Streanga")

$userObj.SetInfo()

Funcția put atribuie obiectului o valoare nouă sau suprascrie o valoarea deja existentă. Pentru salvarera modificărilor trebuie aplicată ulterior funcția SetInfo. Aceasta trimite valorile la baza de date din Active Directory.

În următorul exemplu, vor fi generați 100 de utilizatori noi. Aceștia vor avea ca nume de utilizator "User", urmat de numărul corespunzător (de exemplu, "User5"). Cu acest nume, utilizatorul se poate loga la rețea, iar la prima logare acesta trebuie sa iși schimbe și parola.

$objADSI = [ADSI]"LDAP://OU=CIP-Pool,DC=test,DC=local"

for ($i=1; $i -le 100; $i++) {

$userName = "User$i"

$objUser = $objADSI.Create("User", "CN=$userName")

$objUser.Put("samAccountName", $userName)

$objUser.Put("userprincipalname","$[anonimizat]")

$objUser.put("userAccountControl", 544)

$objUser.SetInfo()

}

În prima linie este creat un nou obiect ADSI, care arată spre unitatea organizațională CIP-Pool. În următoarea buclă, numele contului este salvat în variabila $userName. Ulterior prin folosirea comenzii Create-Function este creat un obiect nou de tip User, căruia îi este alocat ca și Common Name numele de utilizator. Prin atributul samAccountName Security Account Manager (SAM) este stabilit numele de utilizator pentru sisteme înainte de Windows 2000. Prin funcția userprincipalname este creat numele de utilizator pentru sinsteme începând de la Windows 2000 în sus , care corespunde cu numele de utilizator principal al utilizatorului.

Aceste informații sunt deja suficiente pentru a crea un cont pe deplin. Totuși, acesta este marcat ca fiind inactiv. Pentru a activa contul este nevoie de introducerea valorii pentru userAccountControl. Aici sunt stabiliți biții pentru NORMAL_ACCOUNT (512) și PASSWD_NOTREQD (32), de unde rezultă o valoare totală de 544. NORMAL_ACCOUNT activează contul, dar presupune că, utilizatorul se poate autentifica utilizând o parolă. PASSWD_NOTREQD asigură că utilizatorul își stabilește in mod privat parola la prima logare. Se folosește din nou SetInfo pentru a se transmite contul de utilizator creat la Active Directory.

4.4.2 Active Data Objects (ADO)

Pentru a efectua o căutare în Active Directory, este posibilă utilizarea funcției Active Data Objects. În următorul exemplu, se vor căuta persoane care au tastat greșit parola de cel puțin trei ori:

$objConnection = New-Object -comobject ADODB.Connection

$objCommand = New-Object -comobject ADODB.Command

$objConnection.Provider = "ADSDSOObject"

$objConnection.Open("Active Directory Provider")

$objCommand.ActiveConnection = $objConnection

$objCommand.CommandText = "SELECT * FROM 'LDAP://OU=CIPPool, ↵

DC=test,DC=local' WHERE badPwdCount > 3 AND objectClass ='user'"

$objRecordSet = $objCommand.Execute()

$objRecordSet.getRows()

Mai întâi este creat un ADODB Connection Object si un Result Object. După ce a fost făcută conectarea la Active Directory, aceasta este înregistrată ca un compus activ pentru urmatoarea comandă. Ca și text de comandă se introduce o interogare unde un loc în Active Directory poate fi specificat prin valoarea FROM. Apoi urmează două condiții WHERE. A doua condiție objectClass = "User" asigură că sunt listate numai conturi de utilizatori. După execuție, intrările găsite vor fi emise prin efectuarea comenzii getRows(). Alternativ, ar fi de asemenea posibil căutarea prin elementele folosind $objRecordSet.MoveNext().

4.5 C#

Active Directory se poate accesa și prin folosirea limbajului C#, datorită lui .Net Framework. Deoarece obiectele de la baza COM sunt aceleași ca și în Power Shell accesul funcționează pe același principiu. Clasele necesare se găsesc în System.DirectoryServices.

Ca un exemplu, sunt verificate datele de utilizator ale unei persoane:

PrincipalContext context = new PrincipalContext(ContextType.Domain, ↵ "test.local");

bool check = context.ValidateCredentials(username, pw);:

Variabila context conține Containerul care stă la bază pentru a accesa domeniul test.local ,după care se poate folosi și funcția ValidateCredentials. Acesta redă Common Name și Password ca un string. Cu acreditările corecte, funcția returnează true.

Un alt scenariu este de a aloca un utilizator la un grup de securitate:

PrincipalContext context = new PrincipalContext(ContextType.Domain, ↵

"test.local");

GroupPrincipal group = GroupPrincipal.FindByIdentity(context, ↵ "CN=Abteilungsleitung,OU=CIP-Pool,DC=test,DC=local");

UserPrincipal user = UserPrincipal.FindByIdentity(context, ↵

"Streanga");

group.Members.Add(user);

group.Save();

După ce a fost creat PrincipalContext se va căuta în funcția de grup si de persoană cu ajutorul lui GroupPrincipal.FindByIdentity și UserPrincipal.FindByIdentity. Apoi, se adaugă utilizatorul de listă group.Members. Prin apelarea funcției Save, datele sunt livrate și stocate în Active Directory. (IV)

5. Beneficiile folosirii funcției Active Directory

Într-un final, se poate spune că Active Directory a adus avantaje din punct de vedere administrativ. Datorită flexibilității mari și varietății de instrumente care sunt puse la dispozitie, rețeaua poate fi gestionată la nivel global sau local. Totodată, departamentul IT la nivel mondial nu pierde niciodată controlul asupra departamentelor locale.

5.1 Beneficii de securitate

Active Directory oferă numeroase îmbunătățiri legate de siguranță, prezentate în mare în textul ce urmează:

Hacking

Numeroase îmbunătățiri pentru autentificare și criptare (autentificare reciprocă Kerberos, criptarea parolă), au îngreunat semnificativ încercările de intruziune și interceptarea de parole, și totodată au ajutat la creșterea securității globale a sistemului.

Parolele utilizatorilor

Datorită granulării semnificativ mai bune a politicilor de parolă foarte complexe pot fi stabilite criterii sigure de atribuire a parolelor. Astfel încât să puteți, de exemplu, interzice ca părți ale numelui cuiva să fie folosit ca parte a parolei. Înlocuirea regulată a parolei are loc mai confortabil decât în ​​Windows NT. Crearea de cerințe complexe de parolă a fost o condiție prealabilă pentru Simple-sign-on.

GPOs

Prin folosirea de GPOs se pot face numeroase setări de securitate fundamentale pentru utilizatori. Datorită acestui lucru Patchmanagementul poate fi îmbunătățit considerabil, iar setările pentru Firewall, Offline Files și Server Profiles pot fi controlate cu ușurință.

Redundanța Domain Controlerului

Având în vedere că operațiunea unei rețele nu are aproape nici un efect în cazul în care un Domain Controler nu funcționează regulamentar, continuitatea operațiunilor in cadrul rețelei este garantată. Spre deosebire de Windows NT, obiectele pot fi create și modificate în continuare. Așadar achiziționarea de hardware, înlocuirea și instalarea nu mai crează probleme din punct de vedere a timpului. Acest lucru este deosebit de important dintr-o perspectivă de afaceri, deoarece nu există nici un downtime și resursele IT pot fi programate în mod flexibil.

Cel mai mare avantaj al Active Directory este, probabil, la nivel global – sau după caz și nivel local – Administrația. Astfel, politici cu privire la GPO pot fi configurate la nivel mondial pe fiecare calculator, iar compania sau administratorii locali pot crea și configura propriile politici GPO specifice fiecărei regiuni. În plus, drepturile de administrare pot fi coborâte la nivelul obiect prin dreptul granular.

5.2 Beneficii dintr-o perspectivă de afaceri

Active Directory are pentru o societate mai multe avantaje:

Siguranță și control

Datorită numeroaselor îmbunătățiri de securitate (parole complexe, GPO, criptare, certificate) siguranța generală a companiei a fost crescută în mod semnificativ, iar datele interne ale companiei sunt protejate mai bine împotriva accesului neautorizat. Controlul permisiunilor pentru utilizatori este simplificat considerabil prin folosirea lui Active Directory.

Eficiența prin accesul de date global.

Din perspectiva de management, o importanță majoră in folosirea lui Active Directory îl constituie faptul că avem acces la datele personale din cadrul unei companii din aproape orice locație a lumii. Acest obiectiv poate fi atins și realizat în mare măsură prin integrarea de legături VPN la nivel mondial. Eficiența comunicării și schimbului de date între site-uri a crescut semnificativ, de exemplu transferul de e-mail. Angajații care călătoresc mult pot acum prelua cu ușurință date și e-mailuri.

Distribuirea resurselor

Datorită inovației structurate a serviciului de director nu numai departamentul IT, dar, de asemenea, și conducerea unei intreprinderi are in permanență o imagine asupra distribuirii resurselor in cadrul unei rețele.

Creșterea productivității

Productivitatea totală a fost îmbunătățită cu ajutorul administrării mai ușoare, fiabilității mai mari (de exemplu redundanța), disponibilitatea sistemului, politici de securitate la nivel mondial, precum și creșterea semnificativă a accesul la date.

6. Concluzii

Cu ajutorul unui serviciu de director Active Directory, rețelele pot configurte și gestionate cu ușurință. Designul exact al topologiei unei rețele ne va fii de folos pe termen lung. Prin administratrea simplificată, controlul și gestiunea elementelor de securitate într-o rețea sunt crescute semnificativ.

Administrarea Global vă permite să reacționați mai rapid la erori de sistem și pune la dispoziție resurse noi.

Instrumentele oferite permit o configurare rapidă și ușoară a rețelei. Prin LDAP și ADSI este oferită posibilitatea de access la Active Directory a mai multor limbaje de programare.

7. Norme legislative

Criminalitatea informatică poate cauza multe probleme în societatea modernă. Una dintre măsurile prin care se poate crește gradul de securitate al unei rețele este prezentarea utilizatorilor a riscurilor la care se expun, prin informarea acestora asupra normelor legislative in vigoare, care reglementează prevenirea și combaterea criminalității informatice.

Prin urmare, România a adoptat legislația privind criminalitatea informatică care corespunde pe deplin convențiilor și standardelor internaționale.

Totuși, această legislație poate fi complexă din punctul de vedere al aplicării sale pentru autoritățile care o implementează, în special pentru aceia care sunt mai puțin familiarizați cu computerele și serviciile electronice ca parte a vieții de zi cu zi. Legislația din acest domeniu este prezentată mai jos, printr-un extras din cadrul legii 161 din 19/04/2003.

TITLUL III
  Prevenirea și combaterea criminalității informatice

CAPITOLUL I

Dispoziții generale

  Art. 34. – Prezentul titlu reglementează prevenirea și combaterea criminalității informatice, prin măsuri specifice de prevenire, descoperire și sancționare a infracțiunilor săvârșite prin intermediul sistemelor informatice, asigurându-se respectarea drepturilor omului și protecția datelor personale.
   Art. 35. – (1) în prezentul titlu, termenii și expresiile de mai jos au următorul înțeles:
   a) prin sistem informatic se înțelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic;
   b) prin prelucrare automată a datelor se înțelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
   c) prin program informatic se înțelege un ansamblu de instrucțiuni care pot fi executate de un sistem informatic în vederea obținerii unui rezultat determinat;
   d) prin date informatice se înțelege orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic. în această categorie se include și orice program informatic care poate determina realizarea unei funcții de către un sistem informatic;
   e) prin furnizor de servicii se înțelege:
   1. orice persoană fizică sau juridică ce oferă utilizatorilor posibilitatea de a comunica prin intermediul sistemelor informatice;
   2. orice altă persoană fizică sau juridică ce prelucrează sau stochează date informatice pentru persoanele prevăzute la pct. 1 și pentru utilizatorii serviciilor oferite de acestea;
   f) prin date referitoare la traficul informațional se înțelege orice date informatice referitoare la o comunicare realizată printr-un sistem informatic și produse de acesta, care reprezintă o parte din lanțul de comunicare, indicând originea, destinația, ruta, ora, data, mărimea, volumul și durata comunicării, precum și tipul serviciului utilizat pentru comunicare;
   g) prin date referitoare la utilizatori se înțelege orice informație care poate conduce la identificarea unui utilizator, incluzând tipul de comunicație și serviciul folosit, adresa poștală, adresa geografică, numere de telefon sau alte numere de acces și modalitatea de plată a serviciului respectiv, precum și orice alte date care pot conduce la identificarea utilizatorului;
   h) prin măsuri de securitate se înțelege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricționat sau interzis pentru anumite categorii de utilizatori;
   i) prin materiale pornografice cu minori se înțelege orice material care prezintă un minor având un comportament sexual explicit sau o persoană majoră care este prezentată ca un minor având un comportament sexual explicit ori imagini care, deși nu prezintă o persoană reală, simulează, în mod credibil, un minor având un comportament sexual explicit.
   (2) în sensul prezentului titlu, acționează fără drept persoana care se află în una dintre următoarele situații:
   a) nu este autorizată, în temeiul legii sau al unui contract;
   b) depășește limitele autorizării;
   c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.

CAPITOLUL II

Prevenirea criminalității informatice

Art. 36. – Pentru asigurarea securității sistemelor informatice și a protecției datelor personale, autoritățile și instituțiile publice cu competențe în domeniu, furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile desfășoară activități comune și programe de prevenire a criminalității informatice.
   Art. 37. – Autoritățile și instituțiile publice cu competențe în domeniu, în cooperare cu furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile promovează politici, practici, măsuri, proceduri și standarde minime de securitate a sistemelor informatice.
   Art. 38. – Autoritățile și instituțiile publice cu competențe în domeniu, în cooperare cu furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile organizează campanii de informare privind criminalitatea informatică și riscurile la care sunt expuși utilizatorii de sisteme informatice.
   Art. 39. – (1) Ministerul Justiției, Ministerul de Interne, Ministerul Comunicațiilor și Tehnologiei Informației, Serviciul Român de Informații și Serviciul de Informații Externe constituie și actualizează continuu baze de date privind criminalitatea informatică.
   (2) Institutul Național de Criminologie din subordinea Ministerului Justiției efectuează studii periodice în scopul identificării cauzelor care determină și a condițiilor ce favorizează criminalitatea informatică.

Art. 40. – Ministerul Justiției, Ministerul de Interne, Ministerul Comunicațiilor și Tehnologiei Informației, Serviciul Român de Informații și Serviciul de Informații Externe desfășoară programe speciale de pregătire și perfecționare a personalului cu atribuții în prevenirea și combaterea criminalității informatice.
   Art. 41. – Proprietarii sau administratorii de sisteme informatice la care accesul este interzis sau restricționat pentru anumite categorii de utilizatori au obligația de a avertiza utilizatorii cu privire la condițiile legale de acces și utilizare, precum și cu privire la consecințele juridice ale accesului fără drept la aceste sisteme informatice. Avertizarea trebuie să fie accesibilă oricărui utilizator.

CAPITOLUL III
 

Infracțiuni și contravenții

SECȚIUNEA 1
Infracțiuni contra confidențialității și integrității datelor și sistemelor informatice

Art. 42. – (1) Accesul, fără drept, la un sistem informatic constituie infracțiune și se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.
   (2) Fapta prevăzută la alin. (1), săvârșită în scopul obținerii de date informatice, se pedepsește cu închisoare de la 6 luni la 5 ani.
   (3) Dacă fapta prevăzută la alin. (1) sau (2) este săvârșită prin încălcarea măsurilor de securitate, pedeapsa este închisoarea de la 3 la 12 ani.
  

Art. 43. – (1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică și care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic constituie infracțiune și se pedepsește cu închisoare de la 2 la 7 ani.
   (2) Cu aceeași pedeapsă se sancționează și interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic ce conține date informatice care nu sunt publice.
   Art. 44. – (1) Fapta de a modifica, șterge sau deteriora date informatice ori de a restricționa accesul la aceste date, fără drept, constituie infracțiune și de pedepsește cu închisoare de la 2 la 7 ani.
   (2) Transferul neautorizat de date dintr-un sistem informatic se pedepsește cu închisoare de la 3 la 12 ani.
   (3) Cu pedeapsa prevăzută la alin. (2) se sancționează și transferul neautorizat de date dintr-un mijloc de stocare a datelor informatice.
   Art. 45. – Fapta de a perturba grav, fără drept, funcționarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor informatice sau prin restricționarea accesului la aceste date constituie infracțiune și se pedepsește cu închisoare de la 3 la 15 ani.
   Art. 46. – (1) Constituie infracțiune și se pedepsește cu închisoare de la 1 la 6 ani:
   a) fapta de a produce, vinde, de a importa, distribui sau de a pune la dispoziție, sub orice altă formă, fără drept, a unui dispozitiv sau program informatic conceput sau adaptat în scopul săvârșirii uneia dintre infracțiunile prevăzute la art. 42-45;
   b) fapta de a produce, vinde, de a importa, distribui sau de a pune la dispoziție, sub orice altă formă, fără drept, a unei parole, cod de acces sau alte asemenea date informatice care permit accesul total sau parțial la un sistem informatic în scopul săvârșirii uneia dintre infracțiunile prevăzute la art. 42-45.
   (2) Cu aceeași pedeapsă se sancționează și deținerea, fără drept, a unui dispozitiv, program informatic, parolă, cod de acces sau dată informatică dintre cele prevăzute la alin. (1) în scopul săvârșirii uneia dintre infracțiunile prevăzute la art. 42-45.
   Art. 47. – Tentativa infracțiunilor prevăzute la art. 42-46 se pedepsește.

SECȚIUNEA a 2-a
Infracțiuni informatice

Art. 48. – Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice, constituie infracțiune și se pedepsește cu închisoare de la 2 la 7 ani.
   Art. 49. – Fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau ștergerea de date informatice, prin restricționarea accesului la aceste date ori prin împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un beneficiu material pentru sine sau pentru altul, constituie infracțiune și se pedepsește cu închisoare de la 3 la 12 ani.
   Art. 50. – Tentativa infracțiunilor prevăzute la art. 48 și 49 se pedepsește.

SECȚIUNEA a 3-a
Pornografia infantilă prin sisteme informatice

Art. 51. – (1) Constituie infracțiune și se pedepsește cu închisoare de la 3 la 12 ani și interzicerea unor drepturi producerea în vederea răspândirii, oferirea sau punerea la dispoziție, răspândirea sau transmiterea, procurarea pentru sine sau pentru altul de materiale pornografice cu minori prin sisteme informatice ori deținerea, fără drept, de materiale pornografice cu minori într-un sistem informatic sau un mijloc de stocare a datelor informatice.
(2) Tentativa se pedepsește.

SECȚIUNEA a 4-a
Contravenții

Art. 52. – Nerespectarea obligației prevăzute la art. 41 constituie contravenție și se sancționează cu amendă de la 5.000.000 lei la 50.000.000 lei.
   Art. 53. – (1) Constatarea contravenției prevăzute la art. 52 și aplicarea sancțiunii se fac de către personalul împuternicit în acest scop de către ministrul comunicațiilor și tehnologiei informației, precum și de către personalul special abilitat din cadrul Ministerului de Interne.
   (2) Contravenției prevăzute la art. 52 îi sunt aplicabile dispozițiile Ordonanței Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările ulterioare.

CAPITOLUL IV

Dispoziții procedurale

Art. 54. – (1) în cazuri urgente și temeinic justificate, dacă există date sau indicii temeinice cu privire la pregătirea sau săvârșirea unei infracțiuni prin intermediul sistemelor informatice, în scopul strângerii de probe sau al identificării făptuitorilor, se poate dispune conservarea imediată a datelor informatice ori a datelor referitoare la traficul informațional, față de care există pericolul distrugerii ori alterării.
   (2) în cursul urmăririi penale conservarea se dispune de procuror, prin ordonanță motivată, la cererea organului de cercetare penală sau din oficiu, iar în cursul judecății, de instanță prin încheiere.
   (3) Măsura prevăzută la alin. (1) se dispune pe o durată ce nu poate depăși 90 de zile și poate fi prelungită, o singură dată, cu o perioadă ce nu poate depăși 30 de zile.
   (4) Ordonanța procurorului sau încheierea instanței se transmite, de îndată, oricărui furnizor de servicii sau oricărei persoane în posesia căreia se află datele prevăzute la alin. (1), aceasta fiind obligată să le conserve imediat, în condiții de confidențialitate.
   (5) în cazul în care datele referitoare la traficul informațional se află în posesia mai multor furnizori de servicii, furnizorul de servicii prevăzut la alin.(4) are obligația de a pune, de îndată, la dispoziția organului de urmărire penală sau a instanței informațiile necesare identificării celorlalți furnizori de servicii, în vederea cunoașterii tuturor elementelor din lanțul de comunicare folosit.
   (6) Până la terminarea urmăririi penale, procurorul este obligat să încunoștințeze, în scris, persoanele față de care se efectuează urmărirea penală și ale căror date au fost conservate.
   Art. 55. – (1) în termenul prevăzut la art. 54 alin. (3) procurorul, pe baza autorizației motivate a procurorului anume desemnat de procurorul general al parchetului de pe lângă curtea de apel sau, după caz, de procurorul general al Parchetului de pe lângă Curtea Supremă de Justiție, ori instanța de judecată dispune cu privire la ridicarea obiectelor care conțin date informatice, date referitoare la traficul informațional sau date referitoare la utilizatori, de la persoana sau furnizorul de servicii care le deține, în vederea efectuării de copii, care pot servi ca mijloc de probă.
   (2) Dacă obiectele care conțin datele informatice sau datele referitoare la traficul informațional nu sunt puse de bunăvoie la dispoziția organelor judiciare pentru efectuarea de copii, procurorul prevăzut la alin. (1) sau instanța de judecată dispune ridicarea silită. în cursul judecății, dispoziția de ridicare silită se comunică procurorului, care ia măsuri de aducere la îndeplinire, prin organul de cercetare penală.
   (3) Copiile prevăzute la alin. (1) se realizează cu mijloace tehnice și proceduri adecvate de natură să asigure integritatea informațiilor conținute de acestea.
   Art. 56. – (1) Ori de câte ori pentru descoperirea și strângerea probelor este necesară cercetarea unui sistem informatic sau a unui suport de stocare a datelor informatice, organul competent prevăzut de lege poate dispune efectuarea unei percheziții.
   (2) Dacă organul de urmărire penală sau instanța de judecată apreciază că ridicarea obiectelor care conțin datele prevăzute la alin. (1) ar afecta grav desfășurarea activității persoanelor care dețin aceste obiecte, poate dispune efectuarea de copii, care pot servi ca mijloc de probă și care se realizează potrivit art. 55 alin. (3).
   (3) în cazul în care, cu ocazia cercetării unui sistem informatic sau a unui suport de stocare a datelor informatice, se constată că datele informatice căutate sunt cuprinse într-un alt sistem informatic sau suport de stocare a datelor informatice și sunt accesibile din sistemul sau suportul inițial, se poate dispune, de îndată, autorizarea efectuării percheziției în vederea cercetării tuturor sistemelor informatice sau suporturilor de stocare a datelor informatice căutate.
   (4) Dispozițiile din Codul de procedură penală referitoare la efectuarea percheziției domiciliare se aplică în mod corespunzător.
   Art. 57. – (1) Accesul într-un sistem informatic, precum și interceptarea și înregistrarea comunicărilor desfășurate prin intermediul sistemelor informatice se efectuează când sunt utile pentru aflarea adevărului, iar stabilirea situației de fapt sau identificarea făptuitorilor nu poate fi realizată în baza altor probe.
   (2) Măsurile prevăzute la alin. (1) se realizează cu autorizarea motivată a procurorului anume desemnat de procurorul general al parchetului de pe lângă curtea de apel sau, după caz, de procurorul general al Parchetului de pe lângă Curtea Supremă de Justiție ori de procurorul general al Parchetului Național Anticorupție, de către organele de cercetare penală, cu sprijinul unor persoane specializate, care sunt obligate să păstreze secretul operațiunii efectuate.
   (3) Autorizația prevăzută la alin. (2) se dă pentru cel mult 30 de zile, cu posibilitatea prelungirii în aceleași condiții, pentru motive temeinic justificate, fiecare prelungire neputând depăși 30 de zile. Durata maximă a măsurii autorizate nu poate depăși 4 luni.
   (4) Până la terminarea urmăririi penale, procurorul este obligat să încunoștințeze în scris persoanele față de care s-au dispus măsurile prevăzute la alin. (1).
   (5) Dispozițiile Codului de procedură penală referitoare la înregistrările audio sau video se aplică în mod corespunzător.
   Art. 58. – Dispozițiile prezentului capitol se aplică în urmărirea penală sau judecarea cauzelor privind infracțiunile prevăzute în prezentul titlu și a oricăror alte infracțiuni săvârșite prin intermediul sistemelor informatice.
   Art. 59. – în cazul infracțiunilor prevăzute în prezentul titlu și al oricăror alte infracțiuni săvârșite prin intermediul sistemelor informatice, pentru a garanta aducerea la îndeplinire a confiscării speciale prevăzute la art. 118 din Codul penal se pot lua măsurile asigurătorii prevăzute de Codul de procedură penală.

CAPITOLUL V
 

Cooperare internațională

Art. 60. – (1) Autoritățile judiciare române cooperează în mod direct, în condițiile legii și cu respectarea obligațiilor decurgând din instrumentele juridice internaționale la care România este parte, cu instituțiile având atribuții similare din alte state, precum și cu organizațiile internaționale specializate în domeniu.
   (2) Cooperarea, care se organizează și se desfășoară potrivit alin. (1), poate avea ca obiect, după caz, asistența judiciară internațională în materie penală, extrădarea, identificarea, blocarea, sechestrarea și confiscarea produselor și instrumentelor infracțiunii, desfășurarea anchetelor comune, schimbul de informații, asistența tehnică sau de altă natură pentru culegerea și analiza informațiilor, formarea personalului de specialitate, precum și alte asemenea activități.
   Art. 61. – (1) La solicitarea autorităților competente române sau ale altor state, pe teritoriul României se pot desfășura anchete comune, în vederea prevenirii și combaterii criminalității informatice.
   (2) Anchetele comune prevăzute la alin. (1) se desfășoară în baza acordurilor bilaterale sau multilaterale încheiate de autoritățile competente.
   (3) Reprezentanții autorităților competente române pot participa la anchete comune desfășurate pe teritorii ale altor state, cu respectarea legislațiilor acestora.
   Art. 62. – (1) Pentru asigurarea cooperării internaționale imediate și permanente în domeniul combaterii criminalității informatice se înființează, în cadrul Secției de Combatere a Criminalității Organizate și Antidrog din Parchetul de pe lângă Curtea Supremă de Justiție, Serviciul de combatere a criminalității informatice, ca punct de contact disponibil permanent.
   (2) Serviciul de combatere a criminalității informatice are următoarele atribuții:
   a) acordă asistență de specialitate și oferă date despre legislația română în materie punctelor de contact similare din alte state;
   b) dispune conservarea imediată a datelor, precum și ridicarea obiectelor care conțin datele informatice sau datele referitoare la traficul informațional solicitate de o autoritate străină competentă;
   c) execută sau facilitează executarea, potrivit legii, a comisiilor rogatorii solicitate în cauze privind combaterea criminalității informatice, cooperând cu toate autoritățile române competente.
   Art. 63. – (1) în cadrul cooperării internaționale, autoritățile străine competente pot solicita Serviciului de combatere a criminalității informatice conservarea imediată a datelor informatice ori a datelor referitoare la traficul informațional, existente într-un sistem informatic de pe teritoriul României, cu privire la care autoritatea străină urmează să formuleze o cerere de asistență judiciară internațională în materie penală.
   (2) Cererea de conservare imediată prevăzută la alin. (1) cuprinde următoarele:
   a) autoritatea care solicită conservarea;
   b) o scurtă prezentare a faptelor care fac obiectul urmăririi penale și încadrarea juridică a acestora;
   c) datele informatice care se solicită a fi conservate;
   d) orice informație disponibilă, necesară pentru identificarea deținătorului de date informatice și a localizării sistemului informatic;
   e) utilitatea datelor informatice și necesitatea conservării lor;
   f) intenția autorității străine de a formula o cerere de asistență judiciară internațională în materie penală.
   (3) Cererea de conservare se execută potrivit art. 54 pentru o perioadă care nu poate fi mai mică de 60 de zile și este valabilă până la luarea unei decizii de către autoritățile române competente cu privire la cererea de asistență judiciară internațională în materie penală.
   Art. 64. – Dacă în executarea cererii formulate potrivit art. 63 alin. (1) se constată că un furnizor de servicii al altui stat este în posesia unor date referitoare la traficul informațional, Serviciul de combatere a criminalității informatice va informa de îndată despre aceasta autoritatea străină solicitantă, comunicând totodată informațiile necesare identificării respectivului furnizor de servicii.
   Art. 65. – (1) O autoritate străină competentă poate avea acces la sursele publice române de date informatice publice, fără a fi necesară formularea unei solicitări în acest sens către autoritățile române.
   (2) O autoritate străină competentă poate avea acces sau poate primi, prin intermediul unui sistem informatic existent pe teritoriul său, date informatice stocate în România, dacă are aprobarea persoanei autorizate, potrivit legii, să le pună la dispoziție prin intermediul acelui sistem informatic, fără a fi necesară formularea unei solicitări în acest sens către autoritățile române.
   Art. 66. – Autoritățile române competente pot transmite, din oficiu, autorităților străine competente, cu respectarea prevederilor legale privind protecția datelor cu caracter personal, informațiile și datele deținute, necesare pentru descoperirea infracțiunilor săvârșite prin intermediul sistemelor informatice sau pentru soluționarea de către autoritățile străine competente a cauzelor referitoare la aceste infracțiuni.
   Art. 67. – Art. 29 din Legea nr. 365/2002 privind comerțul electronic, publicată în Monitorul Oficial al României, Partea I, nr. 483 din 5 iulie 2002, se abrogă. (V)

8. Bibliografie

Adrian Munteanu, Valerică Greavu-Șerban, Gabriel Cristescu – Rețele Windows. Servere si clienți. Exemple practice – Editura Polirom, 2004

Thomas, Tom – Primii pași în securitatea rețelelor – Editura Corint, 2005

Active Directory – online la adresa http://ro.wikipedia.org/wiki/Active_Directory (ultima accesare 9 iunie 2014)

Guide to Securing Microsoft Windows 2000 Group Policy – online la adresa http://www.nsa.gov/ia/_files/os/win2k/w2k_group_policy_ref.pdf (ultima accesare 10 iunie 2014)

Legea 161/ 19 aprilie 2003 – online la adresa http://legi-internet.ro/legislatie-itc/criminalitate-informatica (ultima accesare 10 iunie 2014)

Bibliografie

Adrian Munteanu, Valerică Greavu-Șerban, Gabriel Cristescu – Rețele Windows. Servere si clienți. Exemple practice – Editura Polirom, 2004

Thomas, Tom – Primii pași în securitatea rețelelor – Editura Corint, 2005

Active Directory – online la adresa http://ro.wikipedia.org/wiki/Active_Directory (ultima accesare 9 iunie 2014)

Guide to Securing Microsoft Windows 2000 Group Policy – online la adresa http://www.nsa.gov/ia/_files/os/win2k/w2k_group_policy_ref.pdf (ultima accesare 10 iunie 2014)

Legea 161/ 19 aprilie 2003 – online la adresa http://legi-internet.ro/legislatie-itc/criminalitate-informatica (ultima accesare 10 iunie 2014)