group-policy-editor

Avatar utente

Topic Author
openresource
Administrator
Administrator
Connesso: No
User theme: Light
Messaggi: 309
Iscritto il: mar gen 28, 2020 9:52 pm
Località: varese

Admin

group-policy-editor

Messaggio da openresource »

L'editor Criteri di gruppo è uno strumento di amministrazione di Windows che consente agli utenti di configurare molte impostazioni importanti sui propri computer o reti. Gli amministratori possono configurare requisiti di password, programmi di avvio e definire quali applicazioni o impostazioni possono essere modificate da altri utenti. Questo blog tratterà principalmente della versione di Windows 10 dell'Editor criteri di gruppo (gpedit), ma puoi trovarlo in Windows 7, 8 e Windows Server 2003 e versioni successive.
5 modi per accedere all'editor dei criteri di gruppo locale
Esistono molti modi diversi per accedere all'editor dei criteri di gruppo locale. Puoi trovarne uno con cui ti senti più a tuo agio.

Apri l'Editor criteri di gruppo locali in esecuzione

  • Apri Cerca nella barra degli strumenti e digita Esegui oppure seleziona Esegui dal menu Start.

  • Digita "gpedit.msc" nel comando Esegui e fai clic su OK.

Apri l'Editor criteri di gruppo locali in Cerca

  • Apri Cerca sulla barra degli strumenti

  • Digita "gpedit" e fai clic su "Modifica criteri di gruppo".

Aprire l'Editor criteri di gruppo locali nel prompt dei comandi

  • Dal prompt dei comandi, digita "gpedit.msc" e premi "Invio".

Apri l'Editor criteri di gruppo locali in PowerShell

  • In PowerShell , digita "gpedit" e poi "Invio".

Se preferisci, puoi anche utilizzare PowerShell per apportare modifiche agli oggetti Criteri di gruppo locali senza l'interfaccia utente.
Apri l'Editor criteri di gruppo locali nel Pannello di controllo del menu Start

  • Apri il Pannello di controllo nel menu Start.

  • Fai clic sull'icona di Windows sulla barra degli strumenti, quindi fai clic sull'icona del widget per Impostazioni.

  • Inizia a digitare "criteri di gruppo" o "gpedit" e fai clic sull'opzione "Modifica criteri di gruppo".

Immagine
Componenti dell'editor Criteri di gruppo locali
Ora che sei pronto e funzionante, ci sono alcuni dettagli importanti da sapere prima di iniziare ad apportare modifiche. Le politiche di gruppo sono gerarchiche, il che significa che una politica di gruppo di livello superiore, come una politica di gruppo a livello di dominio, può ignorare le politiche locali.
I criteri di gruppo vengono elaborati nello stesso ordine per ogni accesso: prima i criteri locali, quindi il livello del sito, quindi il dominio, quindi l' unità organizzativa (OU). Le politiche OU avranno la precedenza su tutte le altre e così via lungo la catena.
Esistono due principali categorie di criteri di gruppo - Computer e Utente - che si trovano nel riquadro sinistro della finestra di gpedit.
Configurazione computer: questi criteri si applicano al computer locale e non cambiano per utente.
Configurazione utente: questi criteri si applicano agli utenti sul computer locale e si applicheranno a tutti i nuovi utenti in futuro, su questo computer locale.
Queste due categorie principali sono ulteriormente suddivise in sottocategorie:
Impostazioni software: le impostazioni del software contengono criteri di gruppo specifici del software: questa impostazione è vuota per impostazione predefinita.
Immagine
Impostazioni finestra: le impostazioni di Windows contengono impostazioni di sicurezza locali. È inoltre possibile impostare script di accesso o amministrativi per eseguire modifiche in questa categoria.
Immagine
Modelli amministrativi: i modelli amministrativi possono controllare il comportamento del computer locale in molti modi. Questi criteri possono cambiare l'aspetto del Pannello di controllo, quali stampanti sono accessibili, quali opzioni sono disponibili nel menu Start e molto altro.
Immagine
Cosa puoi fare con l'Editor criteri di gruppo
Una domanda migliore sarebbe cosa  non  puoi fare con Gpedit! Puoi fare qualsiasi cosa da impostare uno sfondo del desktop per disabilitare i servizi e rimuovere Explorer dal menu di avvio predefinito. I criteri di gruppo controllano quale versione dei protocolli di rete sono disponibili e applicano le regole per le password. Un team di sicurezza IT aziendale trarrà grandi benefici dall'impostazione e dal mantenimento di una severa politica di gruppo. Ecco alcuni esempi di buone politiche per i gruppi di sicurezza IT:

  • Disabilita i dispositivi rimovibili come le unità USB.

  • Disabilitare TLS 1.0 per imporre l'utilizzo di protocolli più sicuri.

  • Limitare le impostazioni che un utente può modificare tramite il Pannello di controllo. Consenti loro di modificare la risoluzione dello schermo, ma non le impostazioni VPN.

  • Specificare una carta da parati sanzionata per una buona compagnia e disattivare la possibilità dell'utente di modificarla.

  • Impedisci agli utenti di accedere a gpedit per modificare una qualsiasi delle impostazioni di cui sopra.

Questi sono solo alcuni esempi di come un team di sicurezza IT potrebbe utilizzare i Criteri di gruppo. Se il team IT imposta tali criteri a livello di unità organizzativa o di dominio, gli utenti non saranno in grado di modificarli senza l'approvazione dell'amministratore.
Come configurare un'impostazione dei criteri di sicurezza utilizzando la console dell'editor dei criteri di gruppo locale
Una volta che hai un'idea di cosa vuoi impostare dagli oggetti Criteri di gruppo, usare gpedit per apportare le modifiche è piuttosto semplice.
Diamo un'occhiata a una rapida impostazione della password che possiamo modificare:

  1. In gpedit, fai clic su Impostazioni di Windows, quindi su Impostazioni account, quindi su Password. Immagine2. Selezionare l'opzione per "La password deve soddisfare i requisiti di complessità". Immagine3. Se si dispone dei diritti di amministratore per modificare questa impostazione, è possibile fare clic sul pulsante accanto a "Abilita" e quindi fare clic su Applica. (a cura di Varonis ha una solida politica di sicurezza IT, perché ovviamente )
    Come utilizzare PowerShell per amministrare i criteri di gruppo
    Molti amministratori di sistema stanno passando a PowerShell anziché all'interfaccia utente per gestire i criteri di gruppo. Ecco alcuni dei cmdlet grouppolicy di PowerShell per iniziare.
    Immagine
    • New-GPO: questo cmdlet crea un nuovo oggetto Criteri di gruppo non assegnato. È possibile passare un nome, proprietario, dominio e altri parametri al nuovo oggetto Criteri di gruppo.

    • Get-GPOReport : questo cmdlet restituisce tutto o gli oggetti Criteri di gruppo specificati che esistono in un dominio in un file XML o HTML. Molto utile per la risoluzione dei problemi e la documentazione.

    • Get-GPResultantSetOfPolicy : questo cmdlet restituisce l'intero set di criteri risultante (RsoP) per un utente o computer o entrambi e crea un file XML con i risultati. Questo è un ottimo cmdlet per la ricerca di problemi con gli oggetti Criteri di gruppo. Si potrebbe pensare che un criterio sia impostato su un determinato valore, ma tale criterio potrebbe essere sovrascritto da un altro oggetto Criteri di gruppo e l'unico modo per capirlo è conoscere i valori effettivi applicati a un utente o un computer.

    • Invoke-GPUpdate : questo cmdlet consente di aggiornare gli oggetti Criteri di gruppo su un computer, è lo stesso dell'esecuzione di gpupdate.exe. È possibile pianificare l'aggiornamento in un determinato momento su un computer remoto con il cmdlet, il che significa anche che è possibile scrivere uno script per distribuire molti aggiornamenti in caso di necessità.

[/list]
Esistono molti altri cmdlet nell'oggetto 'grouppolicy' PowerShell, ma questi quattro sono particolarmente utili per rintracciare e risolvere i problemi di ereditarietà con gli oggetti Criteri di gruppo.
PowerShell è uno degli strumenti preferiti di un hacker e uno dei suoi trucchi preferiti è quello di abilitare l'account dell'amministratore locale che hai accuratamente disabilitato per ottenere il controllo di un sistema per ulteriori infiltrazioni o escalation di privilegi .
È importante monitorare Active Directory per eventuali modifiche apportate ai Criteri di gruppo: spesso queste modifiche sono i primi segnali negli attacchi APT , in cui gli hacker intendono rimanere nella rete per un po 'e vogliono rimanere nascosti. Varonis monitora e correla l'attività corrente rispetto a comportamenti normalizzati e modelli avanzati di minacce alla sicurezza dei dati per rilevare attacchi APT, infezioni da malware, attacchi di forza bruta, inclusi tentativi di modifica degli oggetti Criteri di gruppo .



Immagine