Gestire un'enorme infrastruttura IT garantendo al contempo sicurezza, produttività e un'esperienza utente uniforme è una sfida, per le organizzazioni. Con Group Policy, gli amministratori di rete dispongono di uno strumento integrato per specificare le configurazioni gestite per gli utenti e i computer di Active Directory (AD). Alcune modifiche alle impostazioni dei Criteri di gruppo possono aiutarti a regolare l'ambiente di lavoro di un utente e a gestire in maniera fluida i sistemi operativi e le applicazioni.
Gli utenti possono apportare modifiche estese alle impostazioni di sistema utilizzando il pannello di controllo e queste modifiche possono portare a problemi di sicurezza. Per un ambiente aziendale più sicuro, limita l'accesso al pannello di controllo solo agli utenti privilegiati. L'accesso al pannello di controllo può essere limitato abilitando il criterio Proibisci l'accesso al Pannello di controllo e alle impostazioni del PC.
Configurazione utente > Modelli amministrativi > Pannello di controlloIl prompt dei comandi, in Windows, viene utilizzato per dare comandi che eseguono funzioni amministrative avanzate. Tuttavia, nelle mani di utenti malintenzionati, il prompt dei comandi può essere utilizzato per compromettere l'integrità del sistema. Per evitare danni alla rete, limita l'accesso al prompt dei comandi utilizzando il criterio Impedisci l'accesso al prompt dei comandi.
Configurazione utente > Modelli amministrativi > SistemaI dispositivi rimovibili sono suscettibili a virus e malware e consentire agli utenti di collegarli ai propri computer può infettare l'intera rete. I dispositivi rimovibili consentono inoltre ai malintenzionati di rimuovere grandi quantità di dati in breve tempo. È possibile vietare l'uso di dispositivi rimovibili abilitando le classi All Removable Storage classes: Deny all access policy.
Configurazione utente > Modelli amministrativi > Sistema > Accesso agli archivi rimovibiliQuando gli utenti installano un software indesiderato sui propri sistemi, per gli amministratori IT questo comporta una pulizia e un complicato processo di manutenzione. Per impedire agli utenti di installare software, abilita il criterio Prohibit User Install.
Configurazione computer > Modelli amministrativi > Componenti di Windows > Windows InstallerL'account guest integrato consente agli utenti di accedere a un sistema Windows senza richiedere una password per l'autenticazione. Ciò consente ai malintenzionati di accedere ai tuoi server e ai controller di dominio come ospiti per accedere alle tue risorse. Anche se gli account guest sono disattivati per impostazione predefinita, gli hacker possono facilmente sovrascrivere le impostazioni predefinite per distruggere la rete. Configurazione degli account: Il criterio sullo stato dell'account ospite garantisce il blocco dei tentativi dei malintenzionati.
Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezzaWindows memorizza gli hash delle password di LAN Manager (LM) nel database locale Security Accounts Manager (SAM). Questi hash LM sono deboli e sono facilmente decifrabili dagli aggressori, che possono scoprirne il formato di testo in chiaro. Per evitarlo, impedisci a Windows di archiviare gli hash LM abilitando la sicurezza di rete: Non memorizzare il valore hash di LAN Manager nel prossimo criterio di modifica della password.
Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezzaI riavvii forzati del sistema possono essere un problema, durante gli aggiornamenti di Windows. I riavvii interrompono il lavoro e possono causare la perdita di elementi non salvati. Abilita il criterio Nessun riavvio automatico con utenti connessi per le installazioni di aggiornamenti automatici pianificati per impedire il riavvio automatico di Windows.
Configurazione computer > Modelli amministrativi > Componenti di Windows > Windows UpdateLe impostazioni dell'oggetto Criteri di gruppo devono essere accessibili solo agli amministratori IT. Qualsiasi modifica non autorizzata a queste impostazioni indica una violazione della sicurezza. Il monitoraggio di tutte le modifiche alle impostazioni dell'oggetto Criteri di gruppo definendo i criteri Audit Directory Service Access e Audit Directory Service Changes si traduce in una rete più sicura.
Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Configurazione avanzata dei criteri di controllo > Criteri controllo/Accesso DSLa configurazione delle impostazioni dei Criteri di gruppo consente di mantenere il controllo sulla rete; tenere sotto controllo le modifiche ai criteri e le impostazioni critiche è essenziale per la sicurezza della rete. ADAudit Plus di ManageEngine, una soluzione di controllo AD basata sull'analisi del comportamento degli utenti (UBA), fornisce report di controllo dettagliati sulle impostazioni dei criteri di gruppo. Questi report mostrano in pochi clic quali impostazioni degli oggetti Criteri di gruppo sono state modificate, quando, dove e da chi.
Scarica la versione di prova gratuita di 30 giorni.