Come rilevare chi ha eliminato un Oggetto Criterio di Gruppo

Netwrix Auditor for Active Directory

1. Esegui Netwrix Auditor → Clicca su “Reports” → Vai a Active Directory → Scegli “Group Policy Changes” → Seleziona il rapporto "All Group Policy Changes" → Clicca su “View”.
2. Per salvare il file, clicca sul pulsante "Esporta" → Seleziona il formato Excel → Salva con nome → Scegli una destinazione per salvarlo.

Esempio di rapporto:

Auditing nativo

1. Esegui gpedit.msc → Crea un nuovo GPO → Modificalo andando in "Configurazione del computer" → Criteri → Impostazioni Windows → Impostazioni di sicurezza:
   • Configurazione avanzata delle policy di audit → Policy di audit → Accesso agli oggetti → Audit del file system > Definisci → Successi e fallimenti
   • Configurazione avanzata delle policy di audit → Policy di audit → Accesso agli oggetti → Audit della manipolazione dei handle → Definisci → Successi e fallimenti
   • Criteri locali → Criteri di controllo → Accesso al servizio di directory di controllo → Definire → Successi e fallimenti.Registro eventi → Definire → Dimensione massima del registro di sicurezza a 4gb e Metodo di conservazione del registro di sicurezza su "Sovrascrivi eventi secondo necessità".
2. Collega il nuovo GPO all'OU accedendo a "Group Policy Management" → Clicca con il tasto destro sull'OU definito → Scegli "Link an Existing GPO" → Scegli il GPO che hai creato.
3. Forza l'aggiornamento della policy di gruppo in "Group Policy Management" cliccando con il tasto destro sull'OU definita → Clicca su "Group Policy Update".
4. Apri ADSI Edit → Connettiti al contesto di denominazione predefinito → Espandi "DC=nome dominio"→ Espandi "CN=System" → Fai clic destro su "CN=Policies" → Scegli Proprietà → Sicurezza (Scheda) → Avanzate → Controllo (Scheda) → Clicca su "Aggiungi" → Scegli le seguenti impostazioni: Principale: «Tutti»; Tipo: «Successo»; Si applica a: «Questo oggetto e tutti gli oggetti discendenti»; Permessi: «Elimina oggetti groupPolicyContainer» → Clicca su "OK".
5. Naviga fino a \\domainname\sysvol\domainfqdn → clicca con il tasto destro sulla cartella "Policies" e seleziona "Proprietà".
6. Seleziona la scheda "Sicurezza" → pulsante "Avanzate" → scheda "Controllo" → Clicca su "Aggiungi" e imposta i seguenti parametri: Principali: "Tutti"; Tipo: “Tutti”; Si applica a: “Questa cartella, sottocartelle e file”; Permessi avanzati: “Scrivi attributi; Scrivi attributi estesi; Elimina; Elimina sottocartelle e file”; Clicca "OK" tre volte.
7. Per definire quale Group Policy è stata eliminata, filtra il Security Event Log per l'Event ID 4663 (Categoria di attività - "File System" o "Removable Storage") e cerca la stringa "Object Name:", dove puoi trovare il percorso e il GUID della policy eliminata.
   Il campo "Account name" mostra chi ha eliminato un oggetto Group Policy.

Esempio di rapporto:

Scopri di più su Netwrix Auditor for Active Directory

Indaga le eliminazioni di Group Policy Object e facilita il processo di recupero

Gli oggetti Criteri di gruppo (GPO) possono fornire configurazioni per l'accesso a risorse e dispositivi condivisi, abilitare funzionalità critiche o stabilire ambienti sicuri. Se alcuni dei GPO vengono eliminati, gli utenti potrebbero non essere in grado di accedere a Internet, modificare i propri dati, utilizzare periferiche o persino accedere ai loro sistemi. Eliminare GPO che si occupano di controllo degli accessi, autenticazione e altre politiche di sicurezza può aumentare la vulnerabilità dei sistemi e permettere accessi non autorizzati.