As Diretivas de Grupo (GPO’s) atuam como uma camada de segurança em sua infraestrutura. Elas impõem regras, regulam permissões e afetam políticas em toda a rede. Deseja atribuir privilégios adicionais a determinados grupos? Excluir um grupo de segurança? Modificar as políticas de senha na rede? Impedir instalações de software em sistemas críticos? Tudo isso e muito mais pode ser realizado usando GPOs.
O que exatamente são GPOs?
Em vez de adicionar as muitas definições que você pode encontrar on-line para GPOs, vamos os entender usando um exemplo simples: em uma peça de teatro, os personagens da peça são roteirizados e, desde o início, um conjunto de características é associado a cada personagem. Os atores aderem aos traços de caráter definidos no roteiro.
Da mesma forma, em um ambiente AD, cada GPO terá uma coleção de políticas, regras e permissões de acesso definidas. Cada objeto do AD é vinculado a cada um desses GPOs para incorporar as políticas de acesso definidas. O comportamento de um objeto do AD em uma infraestrutura reflete diretamente nos GPOs aos quais eles estão vinculados.
Desafios do GPO ao longo das gerações
Os GPOs existem há muito tempo. As organizações se esforçam para garantir que suas políticas sejam rígidas e intocadas para reforçar a segurança em uma infraestrutura.
Aqui estão algumas perguntas para responder sobre como os GPOs são configurados:
-
Quantos GPOs minha organização tem?
-
Meus objetos do AD estão vinculados aos GPOs corretos?
-
Qual objeto do AD está vinculado a qual GPO?
-
Existem GPOs vazios? O que eu faço com eles?
-
Meus GPOs estão sem permissões?
-
Algum arquivo GPO crucial está faltando?
Vamos descobrir como abordar essas questões.
A lista de GPOs e seus objetos AD vinculados
Para identificar o número de GPOs em sua infraestrutura e os objetos AD vinculados a eles, insira a seguinte consulta do PowerShell:
Import -Module GroupPolicy Get-GPO -All | Onde-Objeto { $_ | Get-GPOReport -ReportType HTML | Selecione-String “<LinksTo>” }.
Com a lista resultante, você pode identificar os objetos AD e seus GPOs vinculados. Isso o ajudaria a determinar se os objetos foram atribuídos corretamente e se foram atribuídos apenas aos privilégios necessários dentro da rede.
A lista de GPOs não utilizados
Para identificar GPOs vazios e não utilizados em sua infraestrutura, insira a seguinte consulta do PowerShell:
Get -GPO -All |Where-Object { $_ | Get-GPOReport -ReportType XML| Select-String -NotMatch “<LinksTo>” } | export-csv -path C:\Usuários\Administrador\Documentos\Scripts\hello1.cs
A lista de GPOs vazios e não utilizados ajudará você a fazer uma limpeza. Deve-se tomar o máximo cuidado ao excluir ou modificar GPOs, pois as alterações feitas serão refletidas em sua infraestrutura em questão de segundos. Você deve controlar os valores novos e antigos dos atributos modificados para garantir que possa revogar quaisquer alterações indesejadas feitas.
GPOs com permissões ausentes
Se alguns GPOs em seu ambiente não tiverem determinadas permissões essenciais configuradas, isso pode levar a vulnerabilidades de segurança. Para identificar GPOs com permissões ausentes, você pode usar o seguinte comando:
$MissingPermissions = Get-WinADGPOMissingPermissions -Mode Either
Este comando verifica todas as florestas e domínios e retorna os GPOs com permissões quebradas.
Arquivos de Diretivas de Grupo (GPO) ausentes em diretórios cruciais
Alguns arquivos GPO que devem residir no diretório SYSVOL para operações de rede integradas podem estar ausentes. Esses arquivos devem estar presentes no diretório. Por exemplo, se os arquivos de política de domínio padrão ou política de controlador de domínio estiverem ausentes e você também tiver perdido seus backups, o comando dcgpofix pode ser usado para restaurar ambas as políticas para suas configurações.
Verificar regularmente as configurações para eliminar vulnerabilidades é essencial para impedir ataques baseados em GPO.
Se você estiver interessado em aprender sobre configurações incorretas que podem deixar sua organização vulnerável a ataques, assista a este webinar exclusivo sobre 7 configurações incorretas de GPO para corrigir em menos de 30 minutos para manter os ataques de GPO sob controle.
Traduzido do original: 4 things to identify and fix in your GPOs