Windows Server 2019: File Auditing

In questo articolo verrà mostrato come implementare un controllo per individuare i file creati/cancellati da un utente all'interno di una cartella. Nello specifico andremo ad impostare l'audit sul contenuto della Cartella condivisa, creata nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa, per gli utenti che appartengono alla UO Direzione. In questo modo tutte le operazioni effettuate sui file presenti all'interno della Cartella condivisa (come la creazione/eliminazione/modifica) da tali utenti, verranno registrare.

Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.

FIG 1 - Server Manager

Espandere il dominio mycompany.local e cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione. Dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.... 

FIG 2 - Crea un oggetto Criteri di gruppo

Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_File_Auditing_PF e cliccare su OK. 

FIG 3 - Nuovo oggetto Criteri di gruppo

Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica. 

FIG 4 - Modifica GPO

Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo e cliccare due volte su Controlla accesso agli oggetti.

FIG 5 - Controlla accesso agli oggetti

Selezionare la casella Definisci le impostazioni relative ai criteri quindi selezionare anche le caselle Operazioni riuscite e Operazioni non riuscite e confermare cliccando su OK.

FIG 6 - Proprietà Controlla accesso agli oggetti

Lo stesso criterio di gruppo deve essere applicato anche al container Domain Controllers. Da Gestione Criteri di gruppo, cliccare su Domain Controllers con il tasto destro del mouse e dal menu contestuale selezionare Collega oggetto Criteri di gruppo esistente.

FIG 7 - Collega oggetto Criteri di gruppo esistente

Selezionare il criterio di gruppo GPO_File_Auditing_PF creato in precedenza e cliccare su OK.

FIG 8 - Seleziona oggetto Criteri di gruppo

Il prossimo passo consiste nello specificare il target di questo Audit. Da Esplora file posizionarsi sulla cartella c:\Cartella condivisa, cliccarci su con il tasto destro del mouse e selezionare Proprietà.

FIG 8 - Visualizzazione proprietà Cartella condivisa

Nella scheda Sicurezza cliccare sul pulsante Avanzate.

FIG 9 - Proprietà Cartella condivisa

Selezionare la scheda Controllo e cliccare sul pulsante Aggiungi.

FIG 10 - Impostazioni avanzate di sicurezza

Cliccare sul link Seleziona un'entità.

FIG 11 - Voci di controllo per Cartella condivisa

Negli articoli precedenti abbiamo creato il gruppo GRP_Direzione contenente tutti gli utenti dell'unità organizzativa Direzione. In questo passaggio utilizzeremo proprio tale gruppo per fare in modo di applicare il controllo a tutti gli utenti che appartengono all'unità organizzativa. Nel campo Immettere il nome dell'oggetto da selezionare digitare GRP_Direzione e cliccare sul pulsante Controlla nomi quindi su OK.

FIG 12 - Seleziona Utente, Computer, Account servizio o Gruppo

All'interno della casella Tipo selezionare Tutto quindi cliccare sul link Mostra autorizzazioni avanzate.

FIG 13 - Voci di controllo per Cartella condivisa

Selezionare le caselle Elimina, Creazione file/Scrittura dati e Creazione cartelle/Aggiunta dati e cliccare su OK.

FIG 14 - Voci di controllo per Cartella condivisa, Autorizzazioni avanzate

Nella finestra Impostazioni avanzate di sicurezza per Cartella condivisa cliccare su OK per chiudere la finestra. Fare lo stesso per la finestra Proprietà - Cartella condivisa.

Verificare il funzionamento del Audit

Non ci resta che testare il funzionamento del nostro audit. 

• Su una workstation del dominio loggarsi con un utenza appartenente alla UO Direzione. Accedere alla cartella condivisa (\\Server1DC\Cartella condivisa) e creare/cancellare qualche file.
• Ritornare sul server e avviare il Visualizzatore Eventi (premere la combinazione WIN+R e digitare eventvwr seguito da invio).
• Posizionarsi su Registri di Windows -> Sicurezza e cliccare su Trova.
  

  

  FIG 15 - Visualizzatore eventi

  
  
• Possiamo effettuare la nostra ricerca immettendo il nome dell'utente che intendiamo verificare (Ad es. giovanni.lubrano) oppure il nome del file che è stato cancellato dalla Cartella condivisa ( ad es test1.txt). Cliccando su Trova successivo verrà ricercato ed eventualmente visualizzato l'evento di proprio interesse. Come visibile da FIG 17 la ricerca degli eventi relativi al file test1.txt presente all'interno di Cartella condivisa ha dato i suoi frutti: il file risulta essere stato cancellato dall'utente Giovanni.Lubrano alle ore 22:37 del giorno 03/09/2020.
  

  

  FIG 16 - Visualizzatore eventi, Trova

  
  

  

  FIG 17 - Informazioni Audit

  
  

Windows Server 2019: Forzare l'applicazione delle Group Policy tramite Gestione Criteri di gruppo

Una volta creato/modificato un oggetto criterio di gruppo all'interno di un'unità organizzativa è possibile forzarne l'applicazione agendo tramite lo strumento Gestione Criteri di gruppo.

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 1 - Server Manager

• Cliccare, con il tasto destro del mouse, sull'unità organizzativa contenente l'oggetto criteri di gruppo da forzare (ad es. Direzione) e selezionare, dal menu contestuale, Aggiornamento Criteri di gruppo.
  

  

  FIG 2 - Aggiornamento Criteri di gruppo

• Nella finestra di dialogo Forza aggiornamento Criteri di gruppo viene indicato che l'aggiornamento verrà forzato per l'unità organizzativa selezionata e per tutti i contenitori sottostanti, inoltre viene indicato il numero di computer coinvolti nell'operazione. Cliccare su Sì per forzare l'aggiornamento.
  

  

  FIG 3 - Forza aggiornamento Criteri di gruppo

• Una finestra ci informa sull'esito dell'aggiornamento.
  

  

  FIG 4 - Risultati dell'aggiornamento di Criteri di gruppo remoto

L'operazione avrà lo stesso effetto dell'esecuzione di gpupdate /force o  Invoke-GPUpdate.

PowerShell: Individuare GPO che non sono collegate ad alcuna unità organizzativa

Negli articolo relativi a Windows Server 2019 abbiamo visto come i Criteri di gruppo (GPO) sono utili per applicare restrizioni/impostazioni su un numero elevato di utenti e dispositivi all'interno di un dominio. Con il passare del tempo e della complessità del dominio, ci si può ritrovare con centinaia o addirittura migliaia di Criteri di gruppo da gestire e questo può rappresentare un problema soprattutto se si vuole mantenere in ordine Active Directory ed evitare l'accumularsi di GPO che non vengono più utilizzate. Anche tramite l'utilizzo di Gestione Criteri di gruppo, individuare i criteri di gruppo non più utilizzati e non dotati di alcun collegamento abilitato non è un operazione semplice. In questi casi ci viene in aiuto PowerShell. Tramite il seguente script PowerShell otteniamo l'elenco dei Criteri di gruppo non collegati:

$criteri = Get-Gpo -All

foreach ($gpo in $criteri) {

    [xml]$report = Get-GPOReport -Guid $gpo.ID -ReportType xml

    if (-not $report.GPO.LinksTo) {

        $gpo.DisplayName

    }

}

La prima operazione che effettua lo script è quella di raccogliere tutti i criteri di gruppo attraverso l'utilizzo del cmdlet Get-GPO con il parametro -All e assegnarli alla varibile $criteri. A questo punto è possibile analizzare ciascun criterio di gruppo contenuto in $criteri tramite il ciclo foreach. Gli oggetti forniti in output dal cmdlet Get-GPO non dispongono di alcuna proprietà che ci consenta di determinare se il criterio di gruppo è collegato o meno pertanto, all'interno del ciclo foreach, siamo costretti ad utilizzare allo scopo il cmdlet Get-GPOReport. Al cmdlet, tramite il parametro -Guid, viene passato l'ID del criterio di gruppo che si sta verificando. Il parametro -ReportType, invece, ci consente di specificare il formato del report. Il formato XML ci agevolerà nel recupero delle proprietà dalla variabile $report. Nell'istruzione IF successiva verifichiamo se la proprietà GPO.LinksTo è nulla; in questo caso il criterio di gruppo che stiamo analizzando non dispone di alcun collegamento abilitato quindi visualizziamo in output il suo nome (DisplayName).

Dal seguente link è possibile scaricare il file PS1 contenente lo script PowerShell

DOWNLOAD

FIG 1 - Elenca GPO non collegate

Windows Server 2019: Installare software tramite GPO in base alla versione del Sistema operativo e all'architettura

Nell'articolo Windows Server 2019: Installare software tramite i Criteri di gruppo (GPO) abbiamo visto come installare Google Chrome sulle workstation appartenenti al domino. Nell'effettuare l'operazione abbiamo considerato che tutti i computer del dominio avessero la stessa versione a 64bit del sistema operativo e la stessa architettura. Questo è uno scenario ideale (per non dire utopistico) ma nella realtà in un azienda  ci troviamo con computer e dispositivi con sistemi operativi e architetture diverse. In questo articolo, prendendo come esempio l'installazione di Google Chrome, vedremo come selezionare la versione del software da installare tramite GPO in base all'architettura del sistema operativo (a 32 o a 64 bit). 

Predisposizione file di installazione del software

• Scaricare la versione a 32 bit di Chrome per le aziende dal link https://cloud.google.com/chrome-enterprise/browser/download.  
  

  

  FIG 1 - Google Chrome per le aziende

• Copiare il file nella stessa cartella condivisa contenente la versione a 64bit di Chrome (\\SERVER1DC\Cartella condivisa).
• Scompattare il file zip scaricato all'interno della cartella (cliccarci su con il tasto destro del mouse e selezionare estrai tutto e successivamente sul pulsante Estrai).
  

  

  FIG 2 - Estrazione cartelle compresse

Creazione Filtri WMI

Prima di creare il criterio di gruppo andremo a creare un filtro WMI (Windows Management Instrumentation). I filtri WMI consentono di rilevare dinamicamente l'ambito degli oggetti Group Policy (GPO) in base agli attributi del computer target. In questo modo è possibile garantire che un criterio di gruppo venga applicato solo ai dispositivi che eseguono la versione corretta di Windows. In teoria sarebbe possibile creare un gruppo di appartenenza separato per ogni GPO contenente computer con le medesime caratteristiche ma ciò comporterebbe un maggior lavoro di gestione dei gruppi. Meglio lasciare che i filtri WMI assicurino automaticamente l'applicazione del criterio di gruppo corretto ad ogni dispositivo. I filtri WMI vengono creati tramite l'utilizzo del linguaggio SQL (Structured Query Language): un linguaggio standardizzato per database basati sul modello relazionale (RDBMS).

Ad esempio per filtrare i computer con sistema operativo Windows 10 il filtro sarà il seguente

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0%" AND ProductType="1"

I valori di ProductType possono essere i seguenti

1 = Windows per PC/Workstation

2 = Windows Server (Domain Controller)

3 = Windows Server (Non Domain Controller)

I valori di Version possono essere

5.1    = Windows XP

5.2    = Windows Server 2003

5.2.3 = Windows Server 2003 R2

6.0    = Windows Vista e Windows Server 2008

6.1    = Windows 7 e Windows Server 2008 R2

6.2    = Windows 8 e Windows Server 2012

6.3    = Windows 8.1 e Windows Server 2012 R2

10.0  = Windows 10 e Windows Server 2016 E 2019

Dal seguente link è possibile scaricare un elenco di filtri WMI

DOWNLOAD

I filtri che andremo a creare saranno utilizzati per verificare se l'architettura del sistema operativo target è a 32 o a 64 bit.

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 3 - Server Manager
  

• Per creare un filtro che andrà a selezionare solo i computer dotati di sistema operativo a 64 bit, cliccare, con il tasto destro del mouse, su Filtri WMI e selezionare Nuovo.
  

  

  FIG 4 - Nuovo filtro WMI

• Nel campo Nome inserire il nome da assegnare al filtro (ad es. Windows 64 bit) e cliccare sul pulsante Aggiungi.
  

  

  FIG 5 - Nuovo filtro WMI, Nome

• Nella casella Query digitare 
  select * from Win32_OperatingSystem WHERE OSArchitecture = "64-bit" AND ProductType="1"
  quindi cliccare su OK.
  

  

  FIG 6 - Query WMI

• Cliccare su Salva.
  

  

  FIG 7 - Nuovo filtro WMI, Salva

• Procediamo allo stesso modo per creare un nuovo filtro WMI per selezionare i computer con sistema operativo a 32 bit. Cliccare con il tasto destro del mouse su Filtri WMI e selezionare Nuovo.
• Nel campo Nome inserire Windows 32 bit e cliccare sul pulsante Aggiungi.
  
• Nella casella Query digitare 
  select * from Win32_OperatingSystem WHERE OSArchitecture = "32-bit" AND ProductType="1"
  cliccare su OK quindi su Salva.
  

  

  FIG 8 - Filtri WMI

Adesso possiamo procedere alla creazione del criterio di gruppo.

Creazione Criterio di gruppo per l'installazione di Google Chrome su sistemi a 32bit

•  In Gestione Criteri di gruppo cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento. 

• 

  FIG 9 - Crea un oggetto Criteri di gruppo

• Assegnare il nome al nuovo criterio di gruppo (ad es. GPO_ChromeSetup32) e cliccare su OK.
  

  

  FIG 10 - Nome nuovo oggetto criteri di gruppo

• Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica.
  

  

  FIG 11 - Modifica criterio di gruppo

• Posizionarsi su Configurazione computer->Criteri->Impostazioni del software->Installazione software. Sul lato destro della finestra cliccare con il tasto destro in uno spazio vuoto. Dal menu contestuale selezionare Nuovo quindi Pacchetto.
  

  

  FIG 12 - Criterio di gruppo, Installazione software, Nuovo pacchetto

• Digitare il percorso della cartella condivisa \\SERVER1DC\Cartella condivisa\GoogleChromeEnterpriseBundle\Installers quindi il selezionare il file MSI da installare GoogleChromeStandaloneEnterprise e cliccare su Apri.
  

  

  FIG 13 - File di setup di Google Chrome 32 bit

• Nella schermata successiva selezionare l'opzione Assegnata per distribuire l'applicazione senza alcuna modifica e cliccare su OK.
  

  

  FIG 14 - Distribuisci applicazione

• Chiudere la finestra Editor Gestione Criteri di gruppo. Selezionare nuovamente il criterio di gruppo appena creato. Nella sezione Filtri di sicurezza cliccare sul pulsante Aggiungi.
  
• Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
  

  

  FIG 15 - Selezione Utente, Computer o Gruppo

• Nella sezione Filtri WMI selezionare il filtro che abbiamo chiamato Windows 32 bit.
  

  

  FIG 16 - Selezione Filtro WMI

• Nella finestra di dialogo successiva cliccare su Si.
  

  

  FIG 17 - Conferma applicazione filtro WMI

Modifica Criterio di gruppo per l'installazione di Google Chrome su sistemi a 64 bit

Nell'articolo precedente abbiamo creato il criterio di gruppo GPO_ChromeSetup per l'installazione di Google Chrome a 64 bit. Dato che anche tale criterio agisce su tutti i computer del domino dobbiamo modificarlo e aggiungere il filtro WMI.

• Da Gestione Criteri di gruppo selezionare il criterio GPO_ChromeSetup. Nella sezione Filtri Wmi selezionare il filtro Windows 64 bit.
  

  

  FIG 18 - Selezione Filtro WMI per Windows a 64 bit

• Cliccare su Sì alla finestra di dialogo relativa alla conferma di modifica filtro.

I criteri di gruppo creati, insieme ai filtri WMI, consentiranno l'installazione della versione corretta di Google Chrome in base all'architettura di Windows presente sul computer.

Windows Server 2019: Verificare che i Criteri di gruppo siano applicati correttamente

Negli articoli precedenti è stato mostrato come creare diversi Criteri di gruppo per gli account utente/computer del dominio.

Per verificare se le policy sono state applicate  possiamo aiutarci con uno strumento incluso all'interno di Windows e utilizzato per il troubleshooting delle group policy: gpresult.exe. 

Tramite gpresult è possibile recuperare le seguenti informazioni RSoP (Resultant set of Group Policy):

- Il domain controller da cui la workstation ha ottenuto i criteri di gruppo;

- Quando i criteri di gruppo sono stati applicati;

- Quali criteri di gruppo sono stati applicati

- Quali criteri di gruppo sono stati esclusi da filtri;

- Gruppi di appartenenza;

- Informazioni sulle abilitazioni.

Per verificare quali criteri di gruppo sono stati applicati agli account utente, dal prompt dei comandi di un computer del dominio eseguire il comando 

gpresult /SCOPE user /V

Il fatto che un criterio di gruppo risulti applicato non significa che funzioni correttamente. Ad es. il criterio di gruppo che mappa in automatico una cartella condivisa risulterebbe comunque applicato anche se fa riferimento ad una cartella non più esistente o residente su una workstation/server non raggiungibile. 

Tramite i parametri /S e /USER è possibile recuperare le informazioni di un account utente loggato su un computer remoto. Ad esempio, supponiamo di voler recuperare le informazioni dell'utente giovanni.lubrano loggato sul computer PCDIR001. Il comando sarà il seguente:

gpresult /S PCDIR001 /USER giovanni.lubrano /SCOPE user /V

FIG 1 - GPRESULT criteri utente

Per verificare i criteri di gruppo applicati al computer, invece,  eseguire il comando

gpresult /SCOPE computer /V

dal prompt dei comandi eseguito come amministratore. Il parametro /V fornisce un output dettagliato, se vogliamo informazioni ancora più dettagliate possiamo utilizzare il parametro /Z.

Anche in questo caso è possibile interrogare un computer remoto con il comando

gpresult  /S PCDIR001 /SCOPE computer /V

FIG 2 - GPRESULT criteri computer

Windows Server 2019: Installare software tramite i Criteri di gruppo (GPO)

Supponiamo di dover installare un software come il browser Google Chrome su tutti i computer appartenenti al dominio. In aziende con un numero medio/alto di computer l'installazione manuale è da escludere. In questo articolo verrà mostrato come procedere con l'installazione servendosi dei Criteri di gruppo.

Per l'installazione di un software tramite GPO bisogna predisporre il file di installazione in formato MSI (Microsoft Installer). Non tutti i software sono disponibili in tale formato e non tutti gli MSI supportano l'installazione tramite GPO. 

Predisposizione file di installazione del software

• Scaricare la versione di Chrome per le aziende dal link https://cloud.google.com/chrome-enterprise/browser/download . Tale versione supporta l'installazione tramite Criteri di gruppo. Disponendo di computer con sistema operativo a 64 bit scaricare Chrome per Windows a 64 bit.
  

  

  FIG 1 - Google Chrome per le aziende

• Copiare il file in una cartella condivisa. Ad es. all'interno della cartella \\SERVER1DC\Cartella condivisa creata nell'articolo Windows Server 2019: Introduzione alle Group Policy (GPO) e mapping cartella condivisa. 
• Cliccare, con il tasto destro del mouse, sulla cartella condivisa e selezionare Proprietà dal menu contestuale. Selezionare la scheda Condivisione quindi cliccare sul pulsante Condivisione avanzata.
  

  

  FIG 2 - Cartella condivisa, Condivisione avanzata

• Cliccare sul pulsante Autorizzazioni.
  

  

  FIG 3 - Cartella condivisa, Autorizzazioni

• Selezionare il gruppo Domain Users e assicurarsi che sia impostato il controllo completo quindi cliccare sul pulsante Aggiungi.
  

  

  FIG 4 - Aggiungi autorizzazioni per cartella condivisa

• Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
  

  

  FIG 5 - Seleziona Utenti, Computer, Account servizio o Gruppi

• Selezionare il gruppo Computer del dominio e fornire anche a tale gruppo il controllo completo ponendo il flag sulla relativa casella. Cliccare su OK quindi nuovamente su OK nelle finestra Condivisione avanzata e in fine su Chiudi.
  

  

  FIG 6 - Computer del dominio, controllo completo su cartella condivisa

• Scompattare il file zip scaricato precedentemente e contenente i file di installazione di Chrome all'interno della cartella (cliccarci su con il tasto destro del mouse e selezionare estrai tutto e successivamente sul pulsante Estrai). 
  

  

  FIG 7 - Estrai file ZIP

Creazione Criterio di gruppo per l'installazione di Google Chrome

• Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
  

  

  FIG 8 - Server Manager

• Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento. 
  

  

  FIG 9 - Crea un oggetto Criteri di gruppo

• Assegnare il nome al nuovo criterio di gruppo (ad es. GPO_ChromeSetup) e cliccare su OK.
  

  

  FIG 10 - Nome nuovo oggetto di Criteri di gruppo

• Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica.
• Posizionarsi su Configurazione computer->Criteri->Impostazioni del software->Installazione software. Sul lato destro della finestra cliccare con il tasto destro in uno spazio vuoto. Dal menu contestuale selezionare Nuovo quindi Pacchetto.
  

  

  FIG 11 - GPO Installazione software, Nuovo Pacchetto

• Digitare il percorso della cartella condivisa \\SERVER1DC\Cartella condivisa\GoogleChromeEnterpriseBundle64\Installers quindi il selezionare il file MSI da installare GoogleChromeStandaloneEnterprise64 e cliccare su Apri.
  

  

  FIG 12 - Selezione file MSI

• Nella schermata successiva selezionare l'opzione Assegnata per distribuire l'applicazione senza alcuna modifica e cliccare su OK.
  

  

  FIG 13 - Distribuisci applicazione

• Chiudere la finestra Editor Gestione Criteri di gruppo. Selezionare nuovamente il criterio di gruppo appena creato. Nella sezione Filtri di sicurezza cliccare sul pulsante Aggiungi.
  

  

  FIG 14 - GPO Filtri di sicurezza

• Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
  

  

  FIG 15 - Filtri di sicurezza, Computer del dominio

Eseguiamo il logon su una postazione del dominio e noteremo che Google Chrome è stato installato.

FIG 16 - Chrome installato mediante Criteri di gruppo

In questo articolo è stato preso in considerazione uno scenario ideale in cui tutte le postazioni del dominio dispongono della stessa versione di Windows a 64 bit. In un ambiente reale raramente ci troveremo in questa situazione, piuttosto avremo computer con diverse configurazioni hardware e software pertanto è sempre opportuno effettuare una verifica sulla compatibilità del software prima di installarlo tramite GPO. In un prossimo articolo verrà mostrato come eseguire diverse installazioni in base al sistema operativo presente sul computer e all'architettura.