Come tenere traccia delle modifiche ai criteri di gruppo

È importante che gli amministratori IT controllino tutte le modifiche ai Criteri di gruppo, poiché controllano l'ambiente di lavoro di tutti gli oggetti di Active Directory (AD), inclusi utenti e computer. I criteri di gruppo definiscono il modo in cui diversi sistemi, utenti e altri oggetti AD interagiscono tra loro. Una raccolta di configurazioni di criteri di gruppo impostate da un amministratore IT è nota come oggetto Criteri di gruppo (GPO).

Gli aggressori che cercano di compromettere un ambiente AD possono tentare di mirare agli oggetti Criteri di gruppo per apportare modifiche dannose. Il controllo delle modifiche agli oggetti Criteri di gruppo consentirà all'amministratore di sapere esattamente quale modifica è stata apportata, quando è stata apportata, chi l'ha apportata e dove. Ciò rafforzerà la sicurezza dell'ambiente AD e consentirà all'amministratore di annullare eventuali modifiche non autorizzate.

Per verificare le modifiche ai Criteri di gruppo, gli amministratori IT devono prima abilitare il controllo degli oggetti DS, degli oggetti contenitore dei criteri di gruppo e della cartella SYSVOL.

• Come abilitare il controllo degli oggetti DS

• Avvia Server Manager nel tuo sistema operativo Windows Server.

• Vai a Strumenti -> Gestione Criteri di gruppo.

• Vai a Domini -> Controller di dominio.

• Fai una di queste due cose:

  1. Fai clic con il pulsante destro del mouse su Defaut Domain Controllers Policy, quindi fai clic su Modifica per avviare l'Editor Gestione Criteri di gruppo, oppure
  2. Crea un nuovo oggetto Criteri di gruppo.

• Passa a Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Configurazione avanzata dei criteri di controllo -> Criteri controllo -> Accesso DS.

• Abilita il controllo sia per "Operazioni riuscite" che per "Operazioni non riuscite" per ogni Audit Detailed Directory Service Replication, Audit Directory Service Access, Audit Directory Service Changes e Audit Directory Service Replication.

• Ora vai su Configurazione avanzata dei criteri di controllo -> Criteri controllo -> Accesso agli oggetti.

• Abilita il controllo su "Operazioni riuscite" e "Operazioni non riuscite" per tutte le 14 sottocategorie di tipi di eventi.

• Come abilitare il controllo degli oggetti Group Policy Container

• Accedi a Server Manager -> Strumenti -> ADSI Edit.

• Fai clic con il pulsante destro del mouse su ADSI Edit nel riquadro di sinistra e seleziona "Connect to" per aprire le Impostazioni di connessione. Noterai che il percorso punta al tuo controller di dominio.

  

• Premi OK per connetterti.

• Apri Default Naming Context.

• Accedi a DC = Domain -> DC = com -> CN=System -> CN=Policies.

• Fai clic con il pulsante destro del mouse su CN=Policies e vai su Proprietà.

• Vai su Sicurezza -> Avanzate -> Controllo -> Aggiungi.

• Nella procedura guidata Auditing Entry for Policies, scegli Everyone come Principal.

  

• Il tipo deve essere "Success" e Si applica a deve essere "This object and all descendant objects".

• In Permissions, scegli tutte le voci per le quali verranno controllate le azioni. Potresti dover controllare almeno "Create GroupPolicy Container Objects", "Delete", "Modify Permissions", e "Write VersionNumber".

• Fai clic su OK.

• Come abilitare il controllo della cartella SYSVOL

• Vai alla tua cartella SYSVOL, che di solito si trova in C:\Windows\SYSVOL.

• Fai clic con il pulsante destro del mouse sulla cartella SYSVOL e vai su Proprietà.

• Vai su Sicurezza -> Avanzate e apri le impostazioni di sicurezza avanzate per la cartella SYSVOL.

• Fai clic sulla scheda Auditing, quindi su Add.

• In Principal, scegli "Everyone" per abilitare il controllo delle modifiche apportate da tutti nel tuo AD.

  

• Scegli le tue voci di controllo.

• Premi OK.

Esistono due modi per controllare gli oggetti Criteri di gruppo:

1) Usare strumenti nativi come il Visualizzatore eventi e 2) Usare una soluzione di controllo AD completa come ADAudit Plus. In questo articolo, confronteremo i due metodi.

• Utilizzo di strumenti di controllo nativi (Visualizzatore eventi)

• Vai al menu Start -> Pannello di controllo -> Strumenti di amministrazione -> Visualizzatore eventi.

• Filtra gli eventi per l'ID evento 5136, poiché fornisce l'elenco delle modifiche ai criteri di gruppo, alle modifiche ai valori e alle modifiche ai collegamenti all'oggetto Criteri di gruppo.

Di seguito, uno screenshot di esempio della ricerca dell'ID evento 5136:

• 

L'utilizzo del Visualizzatore eventi per controllare le modifiche agli oggetti Criteri di gruppo presenta diversi svantaggi:

• Non è facile da usare, poiché i dati esistono in vari registri. L'amministratore deve quindi visualizzare diversi registri, per avere un quadro completo di ciò che è accaduto.

• Nel Visualizzatore eventi, non ci sono report o grafici tabulari che l'amministratore IT possa utilizzare. Ciò rende difficile la visualizzazione dei dati.

• L'amministratore deve setacciare manualmente i log, prendere appunti e dedicare notevoli sforzi per analizzare quale oggetto Criteri di gruppo è stato modificato, chi lo ha modificato, quando lo ha modificato e dove lo ha modificato.

Per controllare tutte le modifiche all'oggetto Criteri di gruppo, è comunque meglio affidarsi a una soluzione di controllo AD completa come ADAudit Plus. Ciò contribuirà notevolmente a proteggere l'AD della tua organizzazione.