L’Editor Criteri di gruppo è uno strumento di amministrazione di Windows che consente agli utenti di configurare molte impostazioni importanti sui loro computer o reti. Gli amministratori possono configurare i requisiti di password, i programmi di avvio e definire quali applicazioni o impostazioni possono essere modificate da altri utenti. Questo blog si occuperà principalmente della versione di Windows 10 di Group Policy Editor (gpedit), ma è possibile trovarlo in Windows 7, 8 e Windows Server 2003 e versioni successive.,

5 Modi per accedere all’editor di criteri di gruppo locale

Ci sono molti modi diversi per accedere all’editor di criteri di gruppo locale. È possibile trovare uno che si sta più bene con.

Apri l’editor Criteri di gruppo locale in Esegui

• Apri Cerca nella barra degli strumenti e digita Esegui, oppure seleziona Esegui dal menu Start.
• Digitare ‘ gpedit.,msc ‘ nel comando Esegui e fare clic su OK.

Apri l’editor Criteri di gruppo locale nella Ricerca

• Apri la ricerca sulla barra degli strumenti
• Digita ‘gpedit’ e fai clic su ‘Modifica criteri di gruppo.‘

Apri Editor criteri di gruppo locale nel prompt dei comandi

• Dal prompt dei comandi, digitare ‘ gpedit.msc ‘e premere’ Invio.‘

Apri l’editor criteri di gruppo locale in PowerShell

• In PowerShell, digita’ gpedit ‘e poi ‘ Invio.’

Se preferisci puoi anche usare PowerShell per apportare modifiche ai GPO locali senza l’interfaccia utente.,

Apri l’editor Criteri di gruppo locale nel menu Start Pannello di controllo

• Apri il Pannello di controllo nel menu Start.
• Fare clic sull’icona di Windows sulla barra degli strumenti, quindi fare clic sull’icona del widget per le Impostazioni.
• Inizia a digitare ‘criteri di gruppo’ o ‘gpedit ‘e fai clic sull’opzione’ Modifica criteri di gruppo.

Componenti dell’editor criteri di gruppo locale

Ora che gpedit è attivo e funzionante, ci sono alcuni dettagli importanti da conoscere prima di iniziare a apportare modifiche., I criteri di gruppo sono gerarchici, il che significa che un criterio di gruppo di livello superiore, come un criterio di gruppo a livello di dominio, può sovrascrivere i criteri locali.

I criteri di gruppo vengono elaborati nello stesso ordine per ogni accesso: prima i criteri locali, poi a livello di sito, quindi di dominio, quindi Unità organizzativa (OU). OU politiche sovrascriverà tutti gli altri, e così via lungo la catena.

Ci sono due categorie principali di criteri di gruppo – Computer e Utente – che si trovano nel riquadro di sinistra della finestra gpedit.

Configurazione computer: questi criteri si applicano al computer locale e non cambiano per utente.,

Configurazione utente: questi criteri si applicano agli utenti sul computer locale e si applicheranno a tutti i nuovi utenti in futuro, su questo computer locale.

Queste due categorie principali sono ulteriormente suddivise in sottocategorie:

Impostazioni software: Le impostazioni software contengono criteri di gruppo specifici del software: questa impostazione è vuota per impostazione predefinita.

Impostazioni finestra: le impostazioni di Windows contengono impostazioni di sicurezza locali. È inoltre possibile impostare script di login o amministrativi per eseguire le modifiche in questa categoria.,

Modelli amministrativi: i modelli amministrativi possono controllare il comportamento del computer locale in molti modi. Questi criteri possono cambiare l’aspetto del Pannello di controllo, quali stampanti sono accessibili, quali opzioni sono disponibili nel menu start e molto altro.

Cosa puoi fare con Group Policy Editor

Una domanda migliore sarebbe cosa non puoi fare con gpedit! Si può fare qualsiasi cosa, da impostare uno sfondo del desktop per disabilitare i servizi e rimuovere Explorer dal menu start predefinito., I criteri di gruppo controllano la versione dei protocolli di rete disponibili e applicano le regole relative alle password. Un team di sicurezza IT aziendale beneficia notevolmente impostando e mantenendo una politica di gruppo rigorosa. Ecco alcuni esempi di buone politiche di gruppo di sicurezza IT:

• Disabilitare i dispositivi rimovibili come unità USB.
• Disabilita TLS 1.0 per applicare l’utilizzo di protocolli più sicuri.
• Limita le impostazioni che un utente può modificare utilizzando il Pannello di controllo. Lascia che cambino la risoluzione dello schermo, ma non le impostazioni VPN.,
• Specificare una buona azienda sanzionato carta da parati, e disattivare la possibilità dell’utente di cambiarlo.
• Impedire agli utenti di accedere a gpedit per modificare le impostazioni di cui sopra.

Questo è solo alcuni esempi di come un team di sicurezza IT potrebbe utilizzare Criteri di gruppo. Se il team IT imposta tali criteri a livello di OU o dominio, gli utenti non saranno in grado di modificarli senza l’approvazione dell’amministratore.,

Come configurare un’impostazione dei criteri di sicurezza Utilizzando la console di editor criteri di gruppo locale

Una volta che hai un’idea di cosa vuoi impostare GPO, usare gpedit per apportare le modifiche è piuttosto semplice.

Diamo un’occhiata a una rapida impostazione della password che possiamo cambiare:

1. In gpedit, fare clic su Impostazioni di Windows, quindi Impostazioni account, quindi Criteri password. 2. Selezionare l’opzione “Password deve soddisfare i requisiti di complessità.” 3., Se si dispone dei diritti amministrativi per modificare questa impostazione, è possibile fare clic sul pulsante accanto a “Abilita” e quindi fare clic su Applica. (ed. Varonis ha una politica di sicurezza IT molto solida, perché ovviamente)

Come usare PowerShell per amministrare i criteri di gruppo

Molti amministratori di sistema si stanno spostando su PowerShell invece dell’interfaccia utente per gestire i criteri di gruppo. Ecco alcuni dei cmdlet di PowerShell grouppolicy per iniziare.

• New-GPO: Questo cmdlet crea un nuovo GPO non assegnato. È possibile passare un nome, un proprietario, un dominio e altri parametri al nuovo GPO.,
• Get-GPOReport: Questo cmdlet restituisce tutti o i GPO specificati che esistono in un dominio in un file XML o HTML. Molto utile per la risoluzione dei problemi e la documentazione.
• Get-GPResultantSetOfPolicy: Questo cmdlet restituisce l’intero set risultante di criteri (RsoP) per un utente o un computer o entrambi e crea un file XML con i risultati. Questo è un ottimo cmdlet per ricercare problemi con GPO., Si potrebbe pensare che un criterio sia impostato su un determinato valore, ma tale criterio potrebbe essere sovrascritto da un altro GPO e l’unico modo per capirlo è conoscere i valori effettivi applicati a un utente o computer.
• Invoke-GPUpdate: Questo cmdlet consente di aggiornare i GPO su un computer, è lo stesso di eseguire gpupdate.exe. È possibile pianificare l’aggiornamento in un determinato momento su un computer remoto con il cmdlet, il che significa anche che è possibile scrivere uno script per spingere fuori molti aggiornamenti in caso di necessità.,

Ci sono molti più cmdlet nell’oggetto PowerShell ‘grouppolicy’, ma questi quattro sono particolarmente utili per rintracciare e risolvere i problemi di ereditarietà con GPO.

PowerShell è uno degli strumenti preferiti di un hacker, e uno dei loro trucchi preferiti è quello di abilitare l’account amministratore locale che è stato accuratamente disattivato per ottenere il controllo di un sistema per più infiltrazione o privilege escalation lavoro.,

È importante monitorare Active Directory per eventuali modifiche apportate ai criteri di gruppo – spesso queste modifiche sono i primi segnali negli attacchi APT, in cui gli hacker intendono rimanere nella rete per un po ‘ e vogliono rimanere nascosti. Varonis monitora e mette in correlazione l’attività corrente con il comportamento normalizzato e i modelli avanzati di minacce alla sicurezza dei dati per rilevare attacchi APT, infezioni da malware, attacchi a forza bruta, inclusi i tentativi di modificare i GPO.

Dai un’occhiata a questo corso PowerShell di Adam Bertram per ulteriori suggerimenti e trucchi PowerShell! Vale la pena 3 crediti CPE!