All'interno di SharePoint Protezione avanzata di SharePoint

Pav Cherny

Contenuto

Dipendenze di protezione in un ambiente di SharePoint
Abilitazione di protezione accesso alla rete
Definizione di isolamento del dominio
Isolamento di implementazione di server (e workstation)
Conclusione

Protezione avanzata di protezione di SharePoint richiede un approccio end-to-end che risolve la gamma completa delle dipendenze di protezione e i rischi all'interno e tra più server farm. In particolare, recenti innovazioni e tecnologie disponibili all'esterno della casella con Windows Server 2008, ad esempio accesso alla rete (NAP) con l'imposizione di Internet Protocol Security (IPsec), possono contribuire a migliorare la protezione di SharePoint. Ancora dettagliate consigli di Microsoft per la protezione avanzata di protezione di SharePoint in un ambiente Windows Server 2008 sono difficili da individuare. Il Windows Server 2008 Resource Center per prodotti e tecnologie SharePointnon include una Guida sulla protezione. Inoltre, il rafforzamento di protezione Guide per Windows SharePoint Services (WSS) 3.0e Microsoft Office SharePoint Server (MOSS) 2007ancora basate su Microsoft patterns e procedure che sono datate giugno 2003 e solo parzialmente sono state aggiornate in gennaio 2006, che era ancora lungo prima del rilascio di Windows Server 2008 e Internet Information Services (IIS) 7.0, in ogni caso.

Ovviamente, riviste le linee guida sono altamente scadute e non solo perché abbiamo tempo poiché spostato da Windows 2000, SQL Server 2000, IIS 5.0 e Microsoft .NET Framework 1.1, ma anche perché le modalità precedente di gestione protezione avanzata della protezione hanno dimostrato insufficiente e volta nuovamente. Questo è semplicemente non sufficiente per proteggere una farm SharePoint come un'isola di isolamento di server, come se farm SharePoint presenti in un depressione. La realtà è che non un singolo passaggio security-hardening in una farm SharePoint è importante se l'insieme di strutture di Active Directory è protetto, se all'ambiente intranet è infested con spyware e rootkit o se gli utenti inavvertitamente o intenzionalmente violano i criteri di protezione, ad esempio, scaricare e installare software di condivisione di file da origini sospetto.

È possibile affrontare questi problemi utilizzando la tecnologia Windows Server 2008. È la chiave per raggiungere un elevato livello di protezione in un ambiente SharePoint, end-to-end, dai computer client completamente fino a server di database.

In questo articolo è illustrati gli aspetti di protezione di SharePoint in un ambiente intranet basato su Windows Server 2008. Questa discussione comporta l'analisi generale delle dipendenze di protezione di SharePoint oltre i limiti di una farm singolo e quindi distribuire NAP con l'imposizione IPsec con regole di protezione e isolamento corrispondente per ridurre i rischi. Per gli amministratori di SharePoint, un vantaggio evidente di protezione accesso alla rete consiste nella che è possibile interrompere il client non gestito, l'accesso alle risorse di SharePoint e di scaricare i documenti. Un altro, ad esempio meno ovvio, vantaggio è che è possibile suddividere la rete intranet in reti logiche distinte tramite l'isolamento del dominio e server. In questo modo, è possibile la comunicazione in ingresso e in uscita da client a server e da server a server e anche limitare il traffico ai server front-end desiderato. Supponendo che fino a 30 % dei siti di SharePoint di una società risiedono nelle farm reparto inaffidabili, inadequately protetto e all'esterno del controllo del reparto IT, i vantaggi della limitazione del traffico client non possono essere sottovalutati. Come sempre, il materiale di accompagnamento include fogli di lavoro con istruzioni dettagliate per la seguente le spiegazioni in un ambiente di prova.

Dipendenze di protezione in un ambiente di SharePoint

Considerando la complessità delle soluzioni basate su SharePoint, il volume elevato di dati memorizzati in siti di SharePoint e protezione spesso contraddittorie e requisiti di produttività in un'azienda, può essere difficile determinare come e dove per iniziare con protezione avanzata di protezione di SharePoint. Il primo passaggio è probabilmente ritirare la nozione di mantenuti a lungo che l'Intranet sono ambienti descrittivi, sufficientemente protetti attraverso i firewall perimetrali e programmi antivirus. I firewall e scanner la non bloccano un utente malintenzionato di allegare un keylogger hardware PS2 o USB a un computer client, non i driver necessari. Sono inoltre non verranno conservati un rootkit zero-day da trasformare i computer portatili in programmi zombie connessi a un ambiente protetto inadequately a casa, in hotel o gli aeroporti o presso il cliente. Possa sembrare nuda, ma la classificazione dell'ambiente interno come ostile consente i termini di riconoscere le dipendenze di protezione critici all'interno e tra farm di SharePoint.

Vediamo quali problemi critici che è possibile individuare in un laboratorio di prova semplice, ad esempio quello illustrate nella Figura 1 e indicate nel foglio di lavoro correlata "Distribuzione di un ambiente di test con SharePoint più farm e un server criteri di rete". Questo ambiente SharePoint non è protetto. Infatti, il foglio di lavoro distribuzione viola consigliate per la protezione più e Ignora dipendenze importante. In genere, viene visualizzato immediatamente, presupponendo che non siano presenti alcun requisito di protezione nei laboratori di prova. Ovviamente, potrebbe avere peggio eseguita tramite l'installazione di SharePoint su un controller di dominio o tramite la concessione di protezione account autorizzazioni amministrative, ma questi errori di configurazione intenzionali non sono necessari. Dal punto di vista della protezione, l'ambiente di test è già sufficientemente non valido.

Figura 1 un ambiente di test non protetti con SharePoint più farm

Per i principianti, utilizzare l'account di amministratore di dominio per accedere a tutti i server e le workstation e installare tutti i sistemi mentre fossero connessi a Internet. Questo è rischioso. È preferibile evitare l'accesso a un computer non protetto utilizzando un account di amministratore di dominio. Allo stesso modo, è consigliabile installare e il computer in un ambiente dell'area di gestione temporanea separato e protetto prior to distribuzione della patch. Windows Automated Installation Kit (AIK) e servizi di distribuzione Windows (WDS) offrono una buona soluzione, ma non sfruttare queste tecnologie in mio laboratorio di test per motivi di complessità. Perché tasti di scelta rapida, potrebbe già essere compromessa l'ambiente Active Directory e con tutte le la farm di SharePoint. Il gioco è posizionato prima avviato anche! Una farm SharePoint non può essere più sicura rispetto l'ambiente Active Directory.

Gli account di amministratore di dominio sono effettivamente account molto sensibili. Sarà anche in un'area sensibile quando si accede a risorse di SharePoint, ad esempio il sito di amministrazione centrale SharePoint 3.0 e il raccolte di siti di SharePoint. Accedere a un sito SharePoint implica l'esecuzione del codice ASP.NET in base all'identità dell'utente corrente sul server front-end. Se l'utente corrente è un amministratore di dominio, il codice viene eseguito con privilegi amministrativi. Perché è possibile sfruttare i privilegi elevati, quali ad esempio l'estrazione di account di protezione e le password, come illustrato nella colonna gennaio 2009, si dovrebbe negare gli amministratori di dominio e di accesso agli amministratori di server locale le applicazioni SharePoint Web. Se un utente malintenzionato può ingannare un amministratore di SharePoint distribuzione di un componente dannoso o attivazione di codice ASP.NET in linea, il pirata informatico potrebbe anche riuscire di determinare le password di account di protezione e successivamente di accedere a tutti i siti in tutte le farm che utilizzano tali account.

In mio laboratorio di test è ignorata queste dipendenze di account di protezione e amministrativi dei rischi, configurati nella farm WSS e la farm di risorse UMANE con gli stessi account di protezione e account amministratore di dominio per utilizzare Amministrazione centrale di SharePoint 3.0 in entrambi farm. Condivisione di account di protezione tra farm è una buona idea, in particolare se dispongono di requisiti di protezione diversi. Una farm che condivide i relativi account dipende da altre farm per la protezione e pertanto non può mai raggiungere un livello di protezione superiore a quella della farm di altri.

Utilizzando account di protezione distinti è un'importante procedura consigliata, ma una farm compromessa consentono comunque un accesso per gli attacchi su altre farm nello stesso ambiente di Active Directory. Ad esempio, non richiedere lavoro per trasformare un server SharePoint compromesso in una piattaforma di phishing interno. Un utente malintenzionato potrebbe attivare l'autenticazione di base o inserire un componente dannoso in una farm SharePoint stabilita invia un'intestazione "WWW-Authenticate" agli utenti che intercetta le credenziali in testo normale, restituite come illustrato nella Figura 2 . Poiché gli utenti considerano attendibili i siti di SharePoint interni, è probabile che verrà immettere le credenziali richieste senza immediatamente, e l'attacco ha esito positivo.

Nella figura 2 un compromesso farm di SharePoint che consentono attacchi su altre farm.

Naturalmente, difficile compromettere un server SharePoint gestito correttamente, ma che non il punto. Il punto di impedisce a violazioni della protezione nei sistemi che non gestiti correttamente di distribuzione per i sistemi riservati con protezione di livello superiore. Pertanto, almeno per le risorse SharePoint riservate, ad esempio una farm di HR con le informazioni che consentono l'identificazione personale dell'utente, è necessario considerare le dipendenze di accesso, in sostanza implicano che una farm SharePoint può essere solo altrettanto sicura quanto i siti protetto a meno che l'amministratori di farm, gli amministratori della raccolta siti e gli utenti del sito possono accedere con i propri account utente.

Non dimenticare di includere i computer client nell'analisi delle dipendenze di accesso e utilizzo. Anche in questo caso, l'ambiente di test imposta un esempio di scarsa perché qualsiasi utente può utilizzare qualsiasi workstation accedere alle risorse e il computer non dotati di programmi antivirus o le patch di protezione più recenti. Immaginiamo solo un utente con i diritti di accedere localmente a un computer client infested da spyware o a un computer in un ufficio non bloccato, in cui un utente malintenzionato keylogger un hardware facilmente possibile allegare un amministratore di farm o la raccolta siti. Farm e raccolte siti vengono compromesse, non appena l'utente malintenzionato riesce ad accedere un account di amministratore e una password in qualsiasi computer in qualsiasi posizione. Software di condivisione di file sul computer client comporta anche i rischi di protezione, come i computer client tendono a memorizzare il contenuto da siti di SharePoint localmente, manualmente o automaticamente le informazioni in file temporanei di download. Di conseguenza, una farm SharePoint non può essere più sicura rispetto i computer di client che gli utenti utilizzano per accedere alle risorse della farm.

Naturalmente, vi sono ulteriori punti deboli in mio ambiente di prova. Invito consentono di esaminare le sezioni importanti nelle guide alla protezione avanzata di protezione di SharePoint e continuare la revisione autonomamente. Si deve riconoscere almeno un gruppo di altri problemi, ad esempio che i siti di amministrazione centrale SharePoint 3.0 e i ruoli di ricerca presenti direttamente in un server front-end che contenuto del sito, che non c'è nessuna soluzione antivirus sui server del servizio, che la farm WSS e la farm HR condividono un server di database non protetto e comuni, che tutti i computer nell'ambiente di test hanno accesso diretto al server di database, e che la comunicazione di rete avviene in formato non crittografato. Ciò non è consigliabile, in modo da così Affrontiamo alcuni di questi problemi di protezione.

Abilitazione di protezione accesso alla rete

Sono disponibili molte procedure per aumentare la protezione in un ambiente di SharePoint, ad esempio il controllo dell'accesso fisico ai computer e gli elenchi di rete, configurare controllo vLANs e l'accesso (ACL) su router e server infrastruttura di protezione (DNS Server, DHCP Server, i controller di dominio e così via) tramite la distribuzione di Microsoft Forefront Security per SharePoint e Active Directory Rights Management Services (AD RMS). I controlli di accesso fisico e le configurazioni di rete e il router di base TCP/IP sono oltre l'ambito di questa colonna e AD RMS è stato trattato negli articoli precedenti, in modo che lascia noi con protezione accesso alla rete, IPsec HTTP su SSL (Secure Sockets Layer) e Forefront Security come gli argomenti logici. In questa colonna è incentrata sulla protezione accesso alla rete e IPsec. HTTP su SSL e Forefront Security verrà risolto nelle future colonne.

Protezione accesso alla rete con IPsec offre almeno tre vantaggi chiave per un ambiente SharePoint interno:

• È possibile applicare criteri di integrità del sistema e risolvere automaticamente problemi di compatibilità su computer client che eseguono Windows XP Service Pack 3 e Windows Vista;
• È possibile implementare un ulteriore livello di protezione della rete tramite IPsec e Windows Firewall attraverso un'intera foresta di Active Directory;
• È possibile stabilire canali di comunicazione crittografato tramite ESP (Encapsulating Security Payload) all'interno di una farm SharePoint e tra server e client.

Un premio è la possibilità di gestire la comunicazione di rete centralmente tramite Criteri di gruppo e controllo accesso alla rete. In breve, NAP con IPsec è un attivatore importante di una strategia di protezione end-to-end efficace per SharePoint.

Alla base, protezione accesso alla rete con IPsec si basa su un meccanismo di distribuzione intelligenti per i certificati x.509. Sul computer client, gli agenti di integrità del sistema (SHAs) informano l'agente protezione accesso alla rete lo stato di conformità nei documenti di istruzione di integrità (rapporto), che consente di consolidare l'agente protezione accesso alla rete in un'istruzione sistema di integrità (SSoH). Passa il SSoH per il client di imposizione Protezione accesso alla rete (NAP EC) di IPsec sul computer client, che a sua volta passa il SSoH al server di imposizione Protezione accesso alla rete (NAP ES). Questo è l'integrità registrazione autorità (integrità) che ottiene i certificati di integrità del sistema da un'autorità di certificazione (CA) per i computer compatibili con. la figura 3 illustra come un client di protezione accesso alla rete ottiene un certificato di integrità.

Nella figura 3 comunicazioni client/server Protezione accesso alla rete per informazioni di stato di Exchange e certificati

Per determinare che il computer richiedente è compatibile con, il ES NAP passa il SSoH in un messaggio RADIUS NPS (Network Policy Server). NPS passa nuovamente la SSoH il server di amministrazione di protezione accesso alla rete, che a sua volta estrae il SoHs singoli dal SSoH e inoltra la convalida di integrità sistema (SHV) corrispondente. La SHV analizzare le informazioni di rapporto e restituire una risposta di istruzione dello stato (SoHR), che consente di consolidare NPS in una risposta sistema istruzione di integrità (risposta al rapporto di integrità del sistema) che il sistema di protezione accesso alla rete passa quindi al SHAs sul computer client. Tramite rapporto e SoHRs, SHV di comunicare con controparti SHA corrispondente. Ad esempio, il SoHR da un antivirus SHV possibile impostare il corrispondente SHA antivirus per scaricare la versione più recente del file di firma da un server delle contromisure per riportare il computer client in conformità.

Sul lato server Protezione accesso alla rete anche confronta il SoHRs i criteri di rete e lo stato configurato ed emette un certificato di stato del sistema se il computer client non è compatibile. Il client alla riceve il certificato da ES la protezione accesso alla rete e di archiviarla nel proprio archivio certificati di computer. Il certificato è ora disponibile per la negoziazione IKE (Internet Key Exchange) stabilire associazioni protezione di IPsec con i partner di comunicazione attendibile. Il client alla Rinnova il certificato di integrità del sistema ogni volta che sta per scadere o quando un SHA indica una modifica di stato per l'agente protezione accesso alla rete. La conclusione è che compatibile con computer ricevono un certificato di integrità e non i computer non conformi. Per ulteriori informazioni tecniche approfondite, consiglia il white paper" Architettura della piattaforma Protezione accesso rete." Foglio di lavoro correlata "Configurazione di protezione di accesso di rete" viene descritta la procedura per distribuire un'infrastruttura di protezione accesso alla rete di base in un laboratorio di prova.

Definizione di isolamento del dominio

Anche in mio modesto piccolo laboratorio con ruoli NPS e Autorità registrazione integrità in un singolo server, è possibile notare immediatamente i vantaggi di protezione accesso alla rete. Non appena si attiva Protezione accesso alla rete nei computer client tramite le impostazioni Criteri di gruppo, NAP consiglia di installare le patch di protezione più recenti e un programma antivirus. Il client alla informa di componenti di protezione mancanti e lo stato della rete include una notifica che informa che accesso alla rete potrebbe essere limitato finché il computer non soddisfa i requisiti di integrità. A questo punto, tuttavia, i computer non conformi comunque avere accesso a tutti i server della rete perché è non ancora configurato i criteri IPsec. Senza criteri IPsec che richiedono o richiedere l'autenticazione per connessioni in ingresso e in uscita, l'infrastruttura di protezione accesso alla rete non effettivamente molto più di un meccanismo di distribuzione del certificato di integrità. È necessario implementare l'isolamento del dominio per NAP essere efficace.

Isolamento del dominio implementazione significa suddividere la rete interna in segmenti di con restrizioni, limite e reti protette mediante criteri di imposizione IPsec. L'obiettivo è impedire che i computer non conformi l'accesso a qualsiasi server nella rete interna, ad eccezione di questi server che il computer non conformi devono essere in grado di accedere diventano compatibile e ottenere un certificato di integrità. Nella Figura 4 , questo riguarda server NPS01 protezione accesso alla rete. La differenza tra il segmento di bordo e il segmento protetto è che il criterio IPsec per il segmento di bordo richiede l'autenticazione per le connessioni in ingresso e in uscita e consente pertanto di fallback per le comunicazioni non crittografate con computer non conformi, mentre il segmento protetto richiede l'autenticazione per le connessioni in ingresso, che impedisce il fallback in testo normale e impedisce ai computer non conformi. È possibile utilizzare foglio di lavoro correlata "il Configurazione dei criteri di integrità imposizione IPsec" per implementare la segmentazione.

Nella figura 4 con restrizioni, limite e reti protette per NAPNAP

Il controller di dominio nella Figura 4 è un caso speciale. È possibile richiedere o richiedere protetto da IPsec di comunicazioni tra i membri del dominio e controller di dominio se i computer eseguono in Windows Vista o Windows Server 2008 (vedere il foglio di lavoro correlata "IPSec di configurazione per domain controller di comunicazione"), ma questa configurazione non è supportata per Windows Server 2003 e Windows XP. Se si decide di non utilizzare IPsec per comunicazioni dei controller di dominio, DC01 diventa parte di rete con restrizioni, che richiedono che IPSec consente di spostare il controller di dominio nel segmento di bordo e che richiedono che IPSec viene trasformato il controller di dominio un membro del segmento di protezione. La configurazione dipende dalla situazione specifica e alle esigenze. Se possibile, si consiglia di utilizzare IPsec.

Isolamento di implementazione di server (e workstation)

Stabilire protezione accesso alla rete con isolamento applicazione e del dominio IPsec funge da cardine significativo prima verso la protezione avanzata della protezione. Tutti i computer client necessario ora requisiti integrità ragionevole prima di poter accedere le risorse di SharePoint interne. Successivamente, è possibile concentrarsi sulla segmentazione dell'ambiente di SharePoint in più livelli per ottenere un livello di fine del controllo della comunicazione, end-to-end, inclusi la comunicazione di computer client. la figura 5 illustra una strategia di segmentazione possibile basata sul ruolo di ogni singolo computer nella rete interna.

Nella figura 5 un ambiente di test migliorata con più farm di SharePoint

Come è possibile notare nella Figura 5 , l'ambiente di test include altri sistemi. Tra le altre cose, È modificata la configurazione di farm WSS e risorse UMANE e specificati account di protezione separate, spostato la configurazione di risorse UMANE e il database del contenuto in un diverso server SQL e distribuire computer distinti per amministrazione centrale SharePoint 3.0 e il ruolo di ricerca di SharePoint in entrambi farm. Consente di estrarre i fogli di vari lavoro nel materiale di accompagnamento, cui viene illustrato come eseguire la procedura descritta di seguito.

La comunicazione tra i livelli di protezione è ora un processo semplice, grazie al nostro NAP con attività di preparazione di IPsec. Tramite Criteri di gruppo, è possibile gestire centralmente tutte le regole per Windows Firewall con protezione avanzata per bloccare in ingresso e in uscita comunicazione sui client e server per i livelli più restrittivi. Si consiglia di disattivare la regola l'unione in Criteri di gruppo per impedire che gli amministratori locali applicazione firewall in conflitto e regole di protezione di connessione in qualsiasi membro di dominio. Ad esempio, è possibile bloccare la porta TCP e UDP 1434 sui server di database, aprire una porta TCP personalizzata per l'istanza di SQL Server predefinita, crittografare il traffico, aprire solo le porte TCP le applicazioni Web utilizzano sui server front-end e bloccare tutti i computer non di HR di accedere a qualsiasi server o computer client del reparto risorse UMANE.

Riferimenti

	Sito Web Protezione accesso di rete go.microsoft.com/fwlink/?LinkId=69752
	Sito Web di tecnologie e prodotti di SharePoint Microsoft.com/SharePoint
	TechCenter di Windows SharePoint Services TechNet.microsoft.com/WindowsServer/SharePoint
	Centro per sviluppatori Windows SharePoint Services msdn2.microsoft.com/SharePoint
	Blog del team di tecnologie Microsoft SharePoint prodotti e blogs.msdn.com/SharePoint

Una domanda interessante è che se è necessario bloccare anche l'accesso a computer nonsensitive computer riservati, ad esempio, è necessario mantenere HR client di accedere a server diversi da HR SharePoint nella farm WSS. Questo è un esempio in cui i requisiti di protezione e la produttività entri in conflitto. Per motivi di produttività, Ritengo che è Impossibile negare l'accesso ai siti di SharePoint a livello aziendale ad esempio siti la farm WSS, che implica che la farm WSS necessario conforme agli stessi standard di protezione come farm HR persone HR. Pertanto in entrambi farm, ho dovuto spostare i siti di amministrazione centrale SharePoint 3.0, ricerca ruoli per un computer distinto e applicare regole di protezione di firewall e di connessione. Naturalmente, è inoltre deve designare account dedicato, senza privilegi di amministrazione di SharePoint in entrambi farm e applicare ulteriori passaggi di protezione avanzata di protezione. Joel Oleson è registrato un elenco di riepilogo grande di passaggi di protezione avanzata di protezione nel suo Blog di territorio di SharePoint. Consiglio vivamente di consigli di Joel seguenti in un'infrastruttura IPsec attivato che fornisce una base rock a tinta unita per la protezione avanzata di protezione di SharePoint end-to-end.

Conclusione

Farm di SharePoint non esiste in un depressione. Presenti in un ambiente che include i computer client, server infrastruttura e apparecchiature di rete. Ciò significa che è necessario partecipare a questi componenti se si desidera ottenere una migliore protezione tramite protezione SharePoint protezione avanzata. È Impossibile proteggere una farm SharePoint in un ambiente Active Directory non protetto. È possibile proteggere una farm SharePoint se i computer client sono infested spyware. È possibile proteggere una farm SharePoint se un utente malintenzionato può highjack account utente, account di amministratore o account di protezione in un punto qualsiasi.

Tecnologia di Windows Server 2008 fornisce la base per impostare un'ampia protezione net su una foresta Active Directory mediante protezione accesso alla rete con imposizione IPSec, Windows Firewall con protezione avanzata e gestione di criteri di gruppo. Sfruttare queste tecnologie in un ambiente SharePoint è certamente pena. È possibile controllare e proteggere la comunicazione tra i controller di dominio, server e workstation; è possibile applicare gli standard di integrità del sistema; si può implementare l'isolamento del dominio; ed è possibile applicare livelli separati nell'ambiente SharePoint interno. Tramite l'appartenenza a gruppi di protezione o unità organizzative, Active Directory determina automaticamente le impostazioni di criteri che si applicano a ogni membro del dominio, inclusi i computer client, server di database, server front-end e server di livello intermedio per amministrazione e altri scopi. È possibile stabilire i criteri generali per ciascun livello e i criteri specifici per ogni ruolo server e il tipo di computer. Per impedire agli utenti di ospitare SharePoint nei computer client bloccando tutte le connessioni in ingresso ed è possibile impedire ai reparti di ospitare la farm di SharePoint non approvati e non protetti che potrebbero fornire vie per attacchi su altre farm nella rete interna.

Ma non overboard con restrizioni. Tenere presente che numerosi processi aziendali reparto si basano su SharePoint distribuzioni all'esterno del centro dati. Dopo tutto, SharePoint è una piattaforma di collaborazione aziendali di importanza strategica dell'organizzazione.

Pav Cherny è un esperto IT e un autore specializzato in tecnologie Microsoft per la collaborazione e le comunicazioni unificate. Le pubblicazioni includono white paper, manuali di prodotti e libri con particolare attenzione su operazioni IT e amministrazione del sistema. Pav è presidente di Biblioso Corporation, una società specializzata in servizi di localizzazione e documentazione gestita.