Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBuone pratiche
Migliori pratiche di Group Policy: Una guida completa per gli amministratori

Migliori pratiche di Group Policy: Una guida completa per gli amministratori

Group Policy consente alle organizzazioni di controllare una vasta gamma di attività in tutto l'ambiente IT. Ad esempio, puoi utilizzare Group Policy per impedire l'uso di unità USB, eseguire uno script specifico all'avvio o allo spegnimento del sistema, distribuire software o forzare l'apertura di una particolare home page per ogni utente di Active Directory nella rete.

Questa guida fornisce sia le migliori pratiche generali per Group Policy sia raccomandazioni per impostazioni specifiche. Offre inoltre orientamenti per la risoluzione dei problemi relativi agli oggetti Group Policy (GPOs).

Migliori pratiche generali per Group Policy

Stabilire unità organizzative separate (OU) per utenti e computer

Avere una buona struttura di OU rende più semplice applicare e risolvere i problemi delle Group Policy. In particolare, mettere gli utenti e i computer di Active Directory in OU separate facilita l'applicazione delle policy per computer a tutti i computer e delle policy per utenti a tutti gli utenti.

Si noti che le cartelle radice Users e Computers in Active Directory non sono OU. Se un nuovo oggetto utente o computer appare in queste cartelle, spostarlo immediatamente nell'OU appropriata.

Utilizza unità organizzative nidificate per un controllo granulare

Per delegare i permessi a specifici utenti o gruppi, inserisci tali oggetti in una OU nidificata appropriata (sub OU) e collega il GPO ad essa. Ad esempio, all'interno della OU Utenti, potresti creare una sub OU per ogni dipartimento e collegare i GPO a quelle sub OU.

Applica una chiara politica di denominazione

Essere in grado di determinare cosa fa un GPO semplicemente guardando il nome renderà molto più semplice l'amministrazione dei Group Policy. Ad esempio, potresti utilizzare i seguenti prefissi:

  • U for GPOs related to users, such as U_SoftwareRestrictionPolicy
  • C for GPOs related to computer accounts, such as C_DesktopSettings

Aggiungi commenti ai tuoi GPO

Aggiungi un commento a ogni GPO spiegandone lo scopo e le impostazioni. Questo renderà la tua Group Policy più trasparente e facile da mantenere.

Comprendere la precedenza dei GPO

Diversi GPO possono essere applicati allo stesso oggetto di Active Directory contemporaneamente. Vengono applicati in un ordine specifico e le nuove impostazioni sostituiscono quelle impostate dai GPO applicati precedentemente. Questo ordine è LSDOU, che sta per:

  • Locale: Le impostazioni dei Criteri di gruppo applicate a livello di computer locale hanno la minore precedenza.
  • Sito: Le impostazioni per i siti di Active Directory vengono applicate successivamente.
  • Dominio: Di seguito sono riportate le impostazioni dei Criteri di gruppo che influenzano tutte le OU nel dominio.
  • OU: Le ultime impostazioni GPO applicate sono a livello di OU.

Crea GPO più piccoli per casi d'uso specifici

Allinea ogni GPO a uno scopo specifico, così sarà più facile gestirli e comprendere l'ereditarietà. Ecco alcuni esempi di GPO fortemente focalizzati:

  • Impostazioni del browser
  • Impostazioni di sicurezza
  • Impostazioni di Installazione del Software
  • Impostazioni di AppLocker
  • Impostazioni di rete
  • Mappature delle unità

Tuttavia, tenete presente che caricare molti piccoli GPO può richiedere più tempo e elaborazione all'accesso rispetto ad avere pochi GPO che hanno ciascuno più impostazioni.

Imposta i GPO a livello di OU piuttosto che a livello di dominio

Qualsiasi GPO impostato a livello di dominio verrà applicato a tutti gli oggetti di Active Directory nel dominio, il che potrebbe portare all'applicazione di alcune impostazioni a utenti e computer non appropriati. L'unico GPO che dovrebbe essere impostato a livello di dominio è la Default Domain Policy.

Invece, applica i GPO a livello di OU. Una OU secondaria eredita le politiche applicate alla OU principale; non è necessario collegare la politica a ogni OU secondaria. Se hai utenti o computer che non vuoi facciano ereditare una impostazione, mettili nella loro OU dedicata.

Evitate di bloccare l'ereditarietà delle policy e l'applicazione delle policy

Bloccare l'ereditarietà delle policy e l'applicazione delle policy rende la gestione e la risoluzione dei problemi dei GPO molto più complicata. Invece, si dovrebbe puntare a una struttura OU ben progettata che renda queste impostazioni non necessarie.

Invece di disabilitare un GPO, elimina il suo collegamento

Disabilitare un GPO lo impedirà di essere applicato a qualsiasi OU nel dominio, il che potrebbe causare problemi. Pertanto, se un GPO è collegato a una particolare OU dove non si desidera che sia applicato, eliminare il collegamento invece di disabilitare il GPO. Eliminare il collegamento non cancellerà il GPO.

Evitare di utilizzare il permesso 'deny' in Group Policy

Gli amministratori possono negare esplicitamente a un utente o gruppo la possibilità di essere esclusi da uno specifico GPO. Sebbene questa funzionalità possa essere utile in certi scenari, può facilmente portare a conseguenze non intenzionali perché non sarà chiaro che un GPO non viene applicato a certi oggetti. Per scoprire quali utenti o gruppi sono stati bloccati, gli amministratori dovrebbero esaminare ogni GPO separatamente.

Implementare la gestione dei cambiamenti e l'audit dei cambiamenti per Group Policy

Le modifiche ai GPO possono avere effetti profondi sulla sicurezza, produttività, conformità e altro. Pertanto, tutte le modifiche dovrebbero essere pianificate e completamente documentate. Inoltre, dovresti monitorare tutte le modifiche alla Group Policy e ricevere notifiche per le modifiche critiche. Sfortunatamente, entrambi questi obiettivi sono difficili con gli strumenti nativi: i log di sicurezza non forniscono un resoconto esatto di quali impostazioni sono state modificate e ottenere notifiche richiede la scrittura di script PowerShell. Per un approccio più completo e conveniente, investi in una soluzione di terze parti come Netwrix Auditor for Active Directory.

Per saperne di più su come tracciare le modifiche alla Group Policy, consulta la Group Policy Auditing Quick Reference Guide.

Velocizza l'elaborazione dei GPO disabilitando le configurazioni inutilizzate di computer e utente

Se hai un GPO che ha impostazioni del computer ma non impostazioni utente, dovresti disabilitare la Configurazione utente per quel GPO per velocizzare il tempo di elaborazione del GPO.

Inoltre, tieni presente i seguenti fattori aggiuntivi che possono causare lentezza nell'avvio e nel tempo di accesso:

  • Script di accesso che scaricano file di grandi dimensioni
  • Script di avvio che scaricano file di grandi dimensioni
  • Mappatura delle unità home che si trovano lontano
  • Distribuire driver di stampanti di grandi dimensioni tramite le preferenze di Group Policy
  • Uso eccessivo del filtraggio dei Criteri di gruppo in base all'appartenenza a gruppi di Active Directory
  • Cartelle personali dell'utente applicate tramite GPO
  • Utilizzo dei filtri di Windows Management Instrumentation (WMI) (vedi la sezione successiva)

Evitare di usare molti filtri WMI

WMI contiene un enorme numero di classi con cui è possibile descrivere quasi tutte le impostazioni di utenti e computer. Tuttavia, l'utilizzo di numerosi filtri WMI rallenterà l'accesso degli utenti e porterà a una cattiva esperienza utente. Quando possibile, utilizzare invece i filtri di sicurezza perché richiedono meno risorse.

Utilizzare l'elaborazione loopback per casi d'uso specifici

Il processing loopback limita le impostazioni utente al computer al quale il GPO è applicato. Un uso comune del processing loopback si verifica quando sono necessarie determinate impostazioni quando gli utenti accedono solo a particolari server terminal. È necessario creare un GPO, abilitare il processing loopback e applicare il GPO all'OU che contiene i server.

Utilizza Advanced Group Policy Management (AGPM)

AGPM fornisce la modifica dei GPO con versioning e tracciamento delle modifiche. Fa parte del Microsoft Desktop Optimization Pack (MDOP) per Software Assurance.

Eseguire il backup dei propri GPO

Come parte delle migliori pratiche avanzate di gpo, assicurati sempre che i tuoi GPO siano controllati in versione e ripristinabili.

Configurate il backup giornaliero o settimanale delle policy utilizzando script Power Shell o una soluzione di terze parti in modo da poterle sempre ripristinare a uno stato noto e sicuro.

Migliori pratiche GPO per la gestione delle impostazioni

Le seguenti migliori pratiche ti aiuteranno a configurare i tuoi GPO per garantire una forte sicurezza e produttività.

Non modificare la Default Domain Policy o la Default Domain Controller Policy

La Default Domain Policy influisce su tutti gli utenti e i computer nel dominio, quindi dovrebbe essere utilizzata solo per le impostazioni delle policy di account, blocco account, password e Kerberos.

Utilizzare la Default Domain Controller Policy solo per la User Rights Assignment Policy e la Audit Policy.

Tuttavia, è ancora meglio utilizzare GPO separati anche per le politiche elencate sopra.

Limitare l'accesso al Pannello di Controllo

È importante limitare l'accesso al Pannello di Controllo sui computer Windows. Puoi bloccare completamente l'accesso al Pannello di Controllo, oppure permettere un accesso limitato a utenti specifici utilizzando le seguenti politiche:

  • Nascondi gli elementi specificati del Pannello di Controllo
  • Vieta l'accesso al Pannello di Controllo e alle impostazioni del PC
  • Mostra solo gli elementi specificati del Pannello di controllo

Non consentire supporti rimovibili

I supporti rimovibili possono essere pericolosi. Se qualcuno collega un'unità infetta al tuo sistema, può scatenare malware nella rete. Inoltre, questi dispositivi rappresentano una via per l'esfiltrazione dei dati.

È possibile disabilitare l'uso di dispositivi rimovibili utilizzando la policy “Prevent installation of removable devices”. È anche possibile disabilitare l'uso di DVD, CD e persino floppy disk se si desidera, anche se presentano un rischio minore.

Disabilitare gli aggiornamenti automatici dei driver sul sistema

Gli aggiornamenti dei driver possono causare seri problemi agli utenti Windows: Possono causare errori di Windows, cali di prestazioni o persino la temuta schermata blu della morte (BSOD). Gli utenti regolari non possono disattivare gli aggiornamenti poiché è una funzionalità automatizzata.

Come amministratore, puoi disabilitare gli aggiornamenti automatici dei driver utilizzando la Group Policy “Turn off Windows Update device driver searching”. Avrai bisogno degli ID hardware dei dispositivi, che puoi trovare in Device Manager.

Limita l'accesso al prompt dei comandi

Il prompt dei comandi è molto utile per gli amministratori di sistema, ma consentire agli utenti di eseguire comandi potrebbe danneggiare la tua rete. Pertanto, è meglio disabilitarlo per gli utenti regolari. Puoi farlo utilizzando la politica “Prevent access to the command prompt”.

Disattiva i riavvii forzati

Se un utente non spegne il computer quando lascia il lavoro e il suo dispositivo viene riavviato forzatamente da Windows Update, può perdere i file non salvati. Puoi utilizzare Group Policy per disabilitare questi riavvii forzati.

Impedisci agli utenti di installare software

Impedire agli utenti di installare software sui loro dispositivi aiuta a prevenire una serie di problemi. È possibile impedire l'installazione di software modificando le impostazioni di AppLocker e Software Restriction e disabilitando l'esecuzione di estensioni come “.exe”.

Disabilita l'autenticazione NTLM

Il protocollo di autenticazione NTLM presenta numerose vulnerabilità, tra cui una crittografia debole, quindi è molto esposto agli attacchi. Utilizzando Group Policy, puoi disabilitare l'autenticazione NTLM nella tua rete e utilizzare solo il moderno protocollo Kerberos. Tuttavia, assicurati prima di verificare che nessuna applicazione richieda l'autenticazione NTLM.

Blocca PowerShell localmente

Di solito gli utenti aziendali non hanno bisogno di PowerShell e impedirne l'uso può aiutare a prevenire l'esecuzione di script dannosi. Utilizzando Group Policy, è possibile bloccare l'uso di PowerShell sui computer uniti al dominio.

Gli amministratori che necessitano di utilizzare PowerShell possono essere esclusi dalla politica. In alternativa, è possibile richiedere loro di eseguire script PowerShell solo su una macchina designata per una maggiore sicurezza.

Disabilita gli account ospite sui computer di dominio

Gli account ospiti di solito hanno accesso e funzionalità limitati rispetto agli account utente regolari, ma rappresentano comunque importanti rischi per la sicurezza. Disabilitarli tramite Group Policy aiuta a prevenire che utenti malintenzionati ottengano accesso al tuo ambiente.

Limitare l'appartenenza al gruppo degli Amministratori locali

I membri del gruppo degli Amministratori Locali possono installare software, eliminare file di sistema, modificare le impostazioni di sicurezza e molto altro. Questo accesso elevato aumenta il rischio di infezioni da malware, perdita accidentale di dati e sottrazione intenzionale di dati, nonché instabilità del sistema e problemi di prestazione.

Utilizzando Group Policy, puoi rimuovere gli account non necessari dal gruppo degli Amministratori locali su tutti i computer.

Rinomina l'account dell'Amministratore locale

L'account Amministratore Locale è un obiettivo principale per gli attaccanti perché offre accesso privilegiato sulla macchina. Per ridurre il rischio, è una buona prassi rinominare l'account Amministratore Locale. Inoltre, utilizzare l'account solo quando assolutamente necessario; per compiti di routine, usare altri account amministrativi con privilegi limitati.

Limitare l'accesso anonimo ai named pipes e alle condivisioni di rete

Per impostazione predefinita, le pipe denominate e le condivisioni possono essere accessibili in modo anonimo, il che può consentire agli attori malevoli di accedere a dati sensibili, come file confidenziali, informazioni di sistema e impostazioni di sicurezza della rete. Di conseguenza, è una buona prassi utilizzare Criteri di gruppo per imporre restrizioni all'accesso anonimo a pipe denominate e condivisioni in tutta la rete.

Applica le migliori pratiche attuali per le password

Gli enti di normazione come NIST offrono linee guida per le impostazioni delle policy delle password che riducono il rischio di attacchi basati su password e riutilizzo delle credenziali. Puoi utilizzare Group Policy per applicare queste raccomandazioni nel tuo ambiente.

Tenete presente che, sebbene requisiti rigorosi come la lunghezza della password, la complessità e l'età della password aumentino teoricamente la sicurezza, non funziona sempre così nella pratica. Invece, tali politiche possono portare gli utenti ad adottare soluzioni di compromesso insicure come scrivere le password per evitare il fastidio dei blocchi degli account.

Per ottenere il pieno vantaggio di politiche di password robuste, prendi in considerazione l'adozione di uno strumento come Netwrix Password Secure, che creerà, memorizzerà e inserirà automaticamente le credenziali per gli utenti. In questo modo, puoi migliorare la sicurezza richiedendo che le password siano lunghe, includano caratteri speciali, vengano cambiate frequentemente e così via.

Disabilita l'enumerazione degli SID anonimi

Quando l'enumerazione SID anonima è abilitata, gli avversari possono raccogliere informazioni sugli account utente e sui gruppi che sono preziose nella pianificazione e nell'esecuzione di attacchi informatici. Puoi disabilitare l'enumerazione SID anonima modificando questa impostazione del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Assicurati di eseguire il backup del registro prima di apportare modifiche e procedere con cautela quando modifichi le impostazioni del registro. Le modifiche dovrebbero essere eseguite solo da personale autorizzato e competente.

Impedisci agli utenti di disattivare Windows Defender

Dovresti assicurarti che la protezione antivirus e antimalware integrata rimanga attiva su tutti i sistemi Windows. Vai al seguente percorso nell'Editor dei Criteri di Gruppo:

Configurazione del computer > Modelli amministrativi > Componenti di Windows > Windows Defender Antivirus

Configura l'impostazione dei Criteri di Gruppo "Disattiva Windows Defender Antivirus" come Disabilitato.

Come Netwrix Endpoint Policy Manager può aiutare

Group Policy è uno strumento efficace per la gestione dettagliata delle impostazioni all'interno di un ambiente Windows. Tuttavia, sfide come la proliferazione di Group Policy Object (GPO), cambiamenti organizzativi dovuti a fusioni, acquisizioni, disinvestimenti, livelli di personale fluttuanti e la formazione di nuove entità hanno reso la sua gestione sempre più complessa. Netwrix Endpoint Policy Manager affronta queste sfide riducendo la proliferazione dei GPO e semplificando il processo di gestione unendo più GPO in meno entità. Questa consolidazione porta a tempi di accesso migliorati, sicurezza potenziata, affidabilità del sistema incrementata e riduzione degli errori di configurazione. Netwrix Endpoint Policy Manager consente inoltre agli amministratori di distribuire quasi il 100% delle impostazioni di Group Policy a Microsoft Intune senza la complessità aggiuntiva di OMA-URI.

Suggerimenti per la risoluzione dei problemi di Group Policy

I seguenti consigli per la risoluzione dei problemi ti aiuteranno a indagare su problemi relativi a Group Policy.

  • In Windows 10 e Windows Server 2016, utilizzare il comando gpresult per visualizzare le informazioni di Group Policy per un utente e un computer remoti, inclusa la durata dell'elaborazione del GPO.
  • Controlla il Visualizzatore eventi per eventuali errori o avvisi relativi ai Criteri di gruppo.
  • Utilizza lo strumento Group Policy Results per vedere quali policy vengono applicate a un utente o computer specifico e quali non lo sono.
  • Utilizza lo strumento di modellazione dei Criteri di gruppo per simulare l'applicazione dei Criteri di gruppo per un utente o computer specifico e identificare eventuali problemi.
  • Verifica che l'utente o il computer interessato si trovi nella OU corretta in Active Directory e che il Group Policy sia collegato alla OU corretta.
  • Verifica la presenza di eventuali GPO in conflitto che potrebbero sovrascrivere le impostazioni desiderate utilizzando lo strumento Resultant Set of Policy (RSoP).
  • Utilizza la Console di Gestione Criteri di Gruppo per verificare se l'utente o il computer ha i permessi necessari per applicare le impostazioni del GPO.
  • Verifica la presenza di eventuali problemi di connettività di rete che potrebbero impedire all'utente o al computer di ricevere le impostazioni dei Criteri di gruppo.
  • Verifica se le impostazioni dei Group Policy sono configurate correttamente.
  • Per problemi con le impostazioni delle Group Policy Preferences, utilizzare l'estensione di risoluzione dei problemi delle Group Policy Preferences.
  • Se tutto il resto fallisce, prendi in considerazione il ripristino delle impostazioni di Group Policy per l'utente o il computer interessato eseguendo il comando "gpupdate /force" o utilizzando l'opzione "Reset Group Policy Settings" nella Group Policy Management Console.

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management