Come eseguire l'audit delle modifiche ai Group Policy utilizzando il Security Event Log

Netwrix Auditor per Active Directory

1. Esegui Netwrix Auditor → Vai alla sezione “Reports” → Espandi la sezione “Active Directory” → Vai a “Group Policy Changes” → Seleziona “All Group Policy Changes” → Clicca su “View”.
2. Se vuoi ricevere regolarmente questo rapporto via email, scegli semplicemente l'opzione "Iscriviti" e definisci il programma e i destinatari.

Scopri di più su Netwrix Auditor for Active Directory

Auditing nativo

1. Per effettuare l'audit delle modifiche alla Group Policy, devi prima abilitare l'audit: Esegui gpedit.msc con l'account amministratore → Crea un nuovo oggetto Group Policy (GPO) → Modificalo → Vai a "Configurazione computer" | Criteri | Impostazioni Windows | Impostazioni di sicurezza | Configurazione avanzata criteri di audit | Criteri di audit/Accesso DS → Clicca su “Audit Directory Service Changes” → Clicca su “Definisci” → Scegli “Successo”.
2. Collega il nuovo GPO a un'OU: Vai su "Gestione Criteri di Gruppo" → Clicca con il tasto destro sull'OU → Scegli "Collega un GPO esistente" → Scegli il GPO che hai creato.
3. Applica la tua modifica forzando un aggiornamento della Group Policy: Vai su "Group Policy Management" → Clicca con il tasto destro sull'OU → Clicca su "Group Policy Update".
4. Apri ADSI Edit → Connettiti al contesto di denominazione predefinito → Naviga fino a CN=Policies,CN=System,DC=dominio → Apri le “Proprietà dell'oggetto Policies” → Vai alla scheda Sicurezza → Clicca sul pulsante Avanzate → Vai alla scheda Controllo → Aggiungi il Principale "Everyone" → Scegli il Tipo "Successo" → Per Applica a, clicca su "Questo oggetto e oggetti discendenti" → Sotto Permessi, seleziona le seguenti caselle: “Crea oggetti groupPolicyContainer”, “Elimina”, “Modifica Permessi” e “Scrivi versionNumber” → Clicca su "OK".
5. Per rivedere le modifiche alla Group Policy, apri il Visualizzatore eventi e cerca nel registro Sicurezza l'ID evento 5136 (la categoria Modifiche al servizio di directory).

Audita i cambiamenti dei GPO per tracciare attività anomale

Gli eventi relativi ai Criteri di gruppo vengono registrati nel registro di sicurezza sul controller di dominio Microsoft Windows Server. Esaminando questi log, gli amministratori IT possono verificare le modifiche ai Criteri di gruppo. Tuttavia, sebbene gli strumenti di auditing nativi indichino quando e dove è avvenuta ogni modifica, non forniscono dettagli critici, come il nome del Criteri di gruppo che è stato modificato e il tipo di azione che è stata eseguita. Per assicurarti che nessuna attività anomala sfugga al tuo controllo, hai bisogno di un software aggiuntivo che offra maggiori informazioni sulle modifiche alle impostazioni dei tuoi Criteri di gruppo.

Netwrix Auditor for Active Directory offre una visibilità completa su ciò che accade nel vostro Active Directory, inclusi rapporti di audit dettagliati riguardo le modifiche alla Group Policy. L'applicazione fornisce non solo le informazioni di base disponibili utilizzando gli strumenti di auditing nativi, ma anche dettagli critici come il nome della Group Policy che è stata modificata, il tipo di modifica effettuata, quale utente ha fatto la modifica e i valori prima e dopo. Avere queste informazioni permette agli amministratori IT di comprendere appieno le modifiche alla Group Policy in modo da poter mitigare il rischio di uso improprio di dati sensibili e garantire la conformità.