Una panoramica sul mondo della Sicurezza Informatica, del Networking, della Virtualizzazione e non solo. Blog particolarmente indicato per i reparti IT che comunque alterna articoli scritti per specialisti con articoli formulati con linguaggio semplice e comprensibile a tutti.

Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

sabato 13 luglio 2013

Active Directory Group Policy: potenzialità spesso poco valorizzate

Chi ha scelto di affidarsi alle tecnologie Microsoft Active Directory per il proprio controller di dominio, ha scelto sicuramente un prodotto affidabile, estremamente collaudato e performante che, ad oggi, ha obiettivamente poche alternative (soprattutto se si parla di GPO). Active Directory è un "must" anche per un attento osservatore delle tecnologie open source e del mondo Linux come il sottoscritto (confidando in un futuro in cui Samba possa colmare il divario su questo specifico settore). 

Siamo sicuri, però, di utilizzare a fondo tutte le potenzialità di Active Directory?
La risposta è molto probabilmente "no". Perchè le possibilità delle Group Policy sono infinite e, quando vengono usate, ci si limita spesso a qualche tuning della Default Domain Policy o a qualche impostazione per una UO specifica.

Active Directory, quindi, non è solo un LDAP che consente l'autenticazione centrale degli utenti, la possibilità di realizzare profili erranti e trasferire ad un File Server informazioni utili al realizzare criteri di accesso alle directory. Mediante lo strumento delle Group Policy, che si applicano alle Unità Organizzative o a interi Domini, è possibile trasferire impostazioni tutt'altro che banali.

Qualche esempio di impostazioni distribuite su tutte le macchine/tutti gli utenti della rete:
  • Gestione del software:
    • E' possibile installare su tutti i client specifici software (ad esempio l'Adobe Reader) al primo login dopo l'applicazione della GPO e a patto che si disponga del file .msi (superati i 200 host diventa quasi obbligatorio installare software tramite GPO.. salvo non volersi fare un giro di tutte le macchine.. ma a quel punto è una scelta più che altro di natura sportiva!)
    • E' possibile vietare l'installazione di determinati software
  • Abilitazione/Disabilitazione opzioni del pannello di controllo
    • E' possibile evitare che gli utenti cambino, ad esempio, lo sfondo del desktop o le impostazioni della lingua
    • Trasferimento di eccezioni di Windows Firewall
    • Gestione centralizzata dei criteri di aggiornamento di Windows Update (anche e meglio se tramite server WSUS interni)
  • Integrazione con Internet Explorer
    • E' possibile evitare che venga cancellata la cronologia
    • E' possibile trasferire e gestire i siti attendibili e quelli bloccati
    • Congelamento dei componenti aggiuntivi evitando nuove installazioni di toolbar e gadget
  • Reti
    • Trasferire automaticamente reti wireless complete di tutte le impostazioni di connessione (SSID, crittografia, password, etc..)
    • Gestione del Quality of Service
    • Gestione e abilitazione sonde SNMP
    • Criteri dei file offline e non in linea
  • Backup e Varie
    • Pianificazione dei backup delle postazioni o dei server
    • Criteri di Autoplay
    • Crittografia tramite BitLocker di tutte le postazioni
    • Gestione dei servizi Desktop Remoto
    • Gestione dei Driver delle periferiche (anche stampanti)

    • Comportamenti
      • E' possibile definire il comportamento di Windows Media Player, Windows Mail, etc..
      • Blocco di periferiche USB e dell'utilizzo di DVD/CD anche in masterizzazione (utile per fare dell'endpoint protection al fine di evitare fuoriuscita di dati e la propagazione di virus mediante le pen drive)
      • E' possibile definire il comportamento di Windows Defender

    Questi sono solo alcuni esempi delle oltre 600 configurazioni che GPO può trasferire a tutte le macchine del dominio Active Directory. Dal togliere da tutti i computer della rete il "Nascondi estensioni per i tipi di file conosciuti" a impedire l'accesso alle impostazioni della scheda di rete anche ad un admin locale del computer. Ne vale la pena dedicare del tempo.



    Alcune GPO meritano un approfondimento:


    Disabilitare NetBios su tutte le macchine del dominio:

    Creare una nuova Group Policy > Computers > Criteri > Windows > Script > Avvio
    Visualizza file > Creare un nuovo file .bat con dentro questa stringa
    wmic nicconfig where (TcpipNetbiosOptions!=Null and TcpipNetbiosOptions!=2) call SetTcpipNetbios 2
    Aggiungi > inserire il file .bat
    Nelle GPO  > Altre azioni > collega oggetto GPO esistente > mettere la nuova GPO


    Bloccare account in seguito a troppi tentativi di accesso sbagliato
    Creare nuova group policy > Computer > Impostazioni di windows > Protezione > Criteri Account > Blocco Account

    Disattivare l’accesso locale (anche in TS) degli utenti su un DC
    Editare la default group policy dei domain controller
    Comp > Criteri > Windows > sicurezza > locali > assegnazione diritti utente > nega accesso locale
    inserisci i gruppi a cui l’accesso locale è negato



    Conclusioni


    Dobbiamo sempre ricordarci che un'operazione banale, non lo è più se per farla devi impiegare un tempo considerevole. Impostazioni semplici, in una rete da 200 host o più, possono portare via anche delle giornate, sottraendo risorse e tempo al reparto IT. Le GPO, in una rete Microsoft con Active Directory, ci aiutano a trasferire rapidamente impostazioni e criteri differenziati e personalizzati anche per singole Unità Organizzative (Amministrazione, Magazzino, Reparto Tecnico e Ospiti sono UO che certo non possono avere gli stessi privilegi; giusto per fare un esempio).
    Il tempo che dedicherete all'approfondimento delle GPO, non sarà certamente tempo perso, ma saprà ripagarsi al primo "giro" su tutte le postazioni risparmiato.


    Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.