Condividi tramite

Impostazioni dei criteri di sicurezza

  • Articolo

Questo argomento di riferimento descrive scenari comuni, architettura e processi per le impostazioni di sicurezza.

Le impostazioni dei criteri di sicurezza sono regole che gli amministratori configurano in uno o più dispositivi allo scopo di proteggere le risorse presenti in un dispositivo o in rete. L'estensione Impostazioni sicurezza dello snap-in Editor Criteri di gruppo locali consente di definire le configurazioni di sicurezza nell'ambito di un oggetto Criteri di gruppo. Gli oggetti Criteri di gruppo sono collegati a contenitori Active Directory, come siti, domini o unità organizzative, e permettono di gestire le impostazioni di sicurezza per più dispositivi da qualsiasi dispositivo appartenente al dominio. I criteri delle impostazioni sicurezza vengono usati come parte dell'implementazione globale della sicurezza per proteggere controller di dominio, server, client e altre risorse all'interno dell'organizzazione.

Le impostazioni di sicurezza possono controllare:

  • Autenticazione degli utenti in una rete o un dispositivo.

  • Risorse a cui gli utenti possono accedere.

  • Eventuale registrazione delle azioni di un utente o di un gruppo nel registro eventi.

  • Appartenenza a un gruppo.

Per gestire le configurazioni di sicurezza per più dispositivi, puoi usare una delle opzioni seguenti:

  • Modificare le impostazioni di sicurezza specifiche in un oggetto Criteri di gruppo.

  • Usare lo snap-in Modelli di sicurezza per creare un modello di sicurezza contenente i criteri di sicurezza da applicare e quindi importare il modello di sicurezza in un oggetto Criteri di gruppo. Un modello di sicurezza è un file che rappresenta una configurazione della sicurezza e può essere importato in un oggetto Criteri di gruppo, applicato a un dispositivo locale oppure usato per analizzare la sicurezza.

Per altre informazioni sulla gestione delle configurazioni della sicurezza, vedi Amministrare le impostazioni dei criteri di sicurezza.

L'estensione Impostazioni sicurezza dell'Editor Criteri di gruppo locali include i tipi seguenti di criteri di sicurezza:

  • Criteri account. Questi criteri sono definiti nei dispositivi e influiscono sulle modalità di interazione degli account utente con il computer o il dominio. I criteri account includono i tipi di criteri seguenti:

    • Criteri password. Questi criteri determinano le impostazioni delle password, ad esempio per quanto riguarda imposizione e durata. I criteri password vengono usati per gli account di dominio.

    • Criterio di blocco account. Questi criteri determinano le condizioni e la durata del blocco di un account nel sistema. I criteri di blocco account vengono usati per account utente locali o di dominio.

    • Criterio Kerberos. Questi criteri vengono usati per account utente di dominio e determinano le impostazioni relative a Kerberos, come l'imposizione e la durata dei ticket.

  • Criteri locali. Questi criteri si applicano a un computer e includono i tipi seguenti di impostazioni dei criteri:

    • Criteri di controllo. Specificano le impostazioni di sicurezza che controllano la registrazione degli eventi di sicurezza nel registro di protezione del computer e specificano i tipi di eventi di sicurezza da registrare (esito positivo, errore o entrambi).

      Nota  

      Per i dispositivi che eseguono Windows 7 e versioni successive, è consigliabile usare le impostazioni in Configurazione avanzata dei criteri di controllo piuttosto che le impostazioni dei criteri di controllo in Criteri locali.

       

    • Assegnazione diritti utente. Specifica gli utenti o i gruppi che hanno privilegi o diritti di accesso in un dispositivo.

    • Opzioni di sicurezza. Specifica le impostazioni di sicurezza per il computer, ad esempio i nomi degli account Administrator e Guest, l'accesso alle unità disco floppy e CD-ROM, l'installazione di driver, i prompt di accesso e così via.

  • Windows Firewall con protezione avanzata. Specifica le impostazioni per proteggere il dispositivo della rete usando un firewall con stato che consente di determinare il traffico di rete di cui è consentito il passaggio tra il dispositivo e la rete.

  • Criteri Gestione elenco reti. Specificano impostazioni che puoi usare per configurare vari aspetti di come sono elencate e visualizzate le reti in uno o più dispositivi.

  • Criteri chiave pubblica. Specificano le impostazioni per controllare EFS (Encrypting File System), Protezione dati e Crittografia unità BitLocker, oltre a determinate impostazioni di servizi e percorsi dei certificati.

  • Criteri restrizione software. Specificano le impostazioni per identificare il software e controllarne la possibilità di esecuzione nel dispositivo locale, nell'unità organizzativa, nel dominio o nel sito.

  • Criteri di controllo delle applicazioni. Specificano le impostazioni per controllare gli utenti o i gruppi che possono eseguire applicazioni specifiche nell'organizzazione in base a identità univoche dei file.

  • Criteri di sicurezza IP nel computer locale. Specificano le impostazioni per garantire comunicazioni private sicure nelle reti IP attraverso l'uso di servizi di sicurezza di crittografia. IPsec stabilisce attendibilità e sicurezza da un indirizzo IP di origine a un indirizzo IP di destinazione.

  • Configurazione avanzata dei criteri di controllo. Specifica le impostazioni che controllano la registrazione degli eventi di sicurezza nel registro di protezione del dispositivo. Le impostazioni in Configurazione avanzata dei criteri di controllo forniscono un controllo più preciso delle attività da monitorare rispetto alle impostazioni dei criteri di controllo in Criteri locali.

Gestione di Impostazioni sicurezza basata sui criteri

L'estensione Impostazioni sicurezza di Criteri di gruppo fornisce un'infrastruttura di gestione integrata basata sui criteri per aiutarti a gestire e applicare i criteri di sicurezza.

Puoi definire criteri delle impostazioni di sicurezza e applicarli a utenti, gruppi e server e client di rete tramite Criteri di gruppo e Servizi di dominio Active Directory. Puoi creare un gruppo di server con le stesse funzionalità, ad esempio un server Web Microsoft (IIS), e quindi usare oggetti Criteri di gruppo per applicare le impostazioni di sicurezza comuni al gruppo. Se in seguito vengono aggiunti altri server a questo gruppo, molte delle impostazioni di sicurezza comuni vengono applicate automaticamente, riducendo le attività di distribuzione e il lavoro amministrativo.

Scenari comuni di uso dei criteri di Impostazioni sicurezza

I criteri di Impostazioni sicurezza consentono di gestire gli aspetti seguenti della sicurezza: criteri account, criteri locali, assegnazione dei diritti utente, valori del Registro di sistema, elenchi di controllo di accesso per file e Registro di sistema, modalità di avvio e molto altro.

Nell'ambito della strategia di sicurezza, puoi creare oggetti Criteri di gruppo con criteri delle impostazioni di sicurezza configurati in modo specifico per i diversi ruoli nell'organizzazione, ad esempio controller di dominio, file server, server membri, client e così via.

Puoi creare una struttura di unità organizzative che raggruppi i dispositivi in base ai loro ruoli. L'uso di unità organizzative è il metodo migliore per separare requisiti di sicurezza specifici per i diversi ruoli nella rete. Questo approccio consente anche di applicare modelli di sicurezza personalizzati per ogni classe di server o computer. Dopo aver creato i modelli di sicurezza, puoi creare un nuovo oggetto Criteri di gruppo per ogni unità organizzativa e quindi importare il modello di sicurezza (file INF) nel nuovo oggetto Criteri di gruppo.

L'importazione di un modello di sicurezza in un oggetto Criteri di gruppo garantisce che tutti gli account a cui l'oggetto viene applicato ricevano automaticamente le impostazioni di sicurezza del modello quando vengono aggiornate le impostazioni di Criteri di gruppo. In un server o una workstation le impostazioni di sicurezza vengono aggiornate a intervalli regolari (con un offset casuale di massimo 30 minuti) e, in un controller di dominio, questo processo si verifica ogni pochi minuti se sono state apportate modifiche applicabili a una qualsiasi delle impostazioni degli oggetti Criteri di gruppo. Le impostazioni vengono inoltre aggiornate ogni 16 ore, indipendentemente dal fatto che siano state apportate modifiche.

Nota  

Queste impostazioni di aggiornamento variano in base alle versioni del sistema operativo e possono essere configurate.

 

Usando configurazioni della sicurezza basate su Criteri di gruppo in combinazione con la delega dell'amministrazione, puoi garantire che comportamento, diritti e impostazioni di sicurezza specifici vengano applicati a tutti i server e i computer inclusi in un'unità organizzativa. Questo approccio consente di aggiornare in modo semplice un numero elevato di server con modifiche aggiuntive necessarie in futuro.

Dipendenze da altre tecnologie del sistema operativo

Per i dispositivi membro di un dominio Windows Server 2008 o versioni successive, i criteri di Impostazioni sicurezza dipendono dalle tecnologie seguenti:

  • Servizi di dominio Active Directory

    Servizi di dominio Active Directory è un servizio di directory basato su Windows che archivia le informazioni sugli oggetti in una rete e le rende disponibili ad amministratori e utenti. Usando Servizi di dominio Active Directory, puoi visualizzare e gestire oggetti di rete da un'unica posizione e gli utenti possono accedere alle risorse di rete consentite usando un unico accesso.

  • Criteri di gruppo

    Infrastruttura di Servizi di dominio Active Directory che consente la gestione della configurazione basata su directory per le impostazioni di utenti e computer nei dispositivi che eseguono Windows Server. Usando Criteri di gruppo, puoi definire le configurazioni per gruppi di utenti e computer, tra cui impostazioni dei criteri, criteri basati sul Registro di sistema, installazione di software, script, reindirizzamento cartelle, Servizi di installazione remota, manutenzione di Internet Explorer e sicurezza.

  • Domain Name System (DNS)

    Sistema di denominazione gerarchico usato per individuare i nomi di dominio in Internet e nelle reti TCP/IP private. DNS fornisce un servizio per il mapping dei nomi di dominio DNS agli indirizzi IP e degli indirizzi IP ai nomi di dominio. Ciò consente a utenti, computer e applicazioni di eseguire query su DNS per specificare sistemi remoti tramite nomi di dominio completi invece di indirizzi IP.

  • Winlogon

    Parte del sistema operativo Windows che fornisce supporto per l'accesso interattivo. Winlogon è progettato attorno a un modello di accesso interattivo costituito da tre componenti: il file eseguibile Winlogon, un provider di credenziali e un numero qualsiasi di provider di rete.

  • Installazione

    La configurazione della sicurezza interagisce con il processo di installazione del sistema operativo durante un'installazione pulita o un aggiornamento dalle versioni precedenti di Windows Server.

  • Sistema di gestione degli account di sicurezza (SAM, Security Accounts Manager)

    Servizio di Windows usato durante il processo di accesso. SAM mantiene le informazioni sugli account utente, inclusi i gruppi a cui appartiene un utente.

  • Autorità di protezione locale (LSA, Local Security Authority)

    Sottosistema protetto che esegue l'autenticazione degli utenti e ne consente l'accesso al sistema locale. LSA mantiene anche le informazioni su tutti gli aspetti della sicurezza locale in un sistema, noti collettivamente come Criteri di sicurezza locali del sistema.

  • Strumentazione gestione Windows (WMI, Windows Management Instrumentation)

    Funzionalità del sistema operativo Microsoft Windows, WMI è l'implementazione Microsoft di WBEM (Web-Based Enterprise Management), un'iniziativa del settore per sviluppare una tecnologia standard per l'accesso alle informazioni di gestione in un ambiente aziendale. WMI offre accesso a informazioni sugli oggetti in un ambiente gestito. Tramite WMI e l'API (Application Programming Interface) WMI, le applicazioni possono eseguire query e apportare modifiche alle informazioni statiche nel repository CIM (Common Information Model) e alle informazioni dinamiche gestite dai vari tipi di provider.

  • Gruppo di criteri risultante (RSoP, Resultant Set of Policy)

    Infrastruttura avanzata di Criteri di gruppo che usa WMI per semplificare la pianificazione e il debug delle impostazioni dei criteri. RSoP fornisce metodi pubblici che espongono ciò che farebbe un'estensione di Criteri di gruppo in una situazione ipotetica e ciò che ha fatto l'estensione in una situazione reale. Questo consente agli amministratori di determinare in modo semplice la combinazione di impostazioni dei criteri che si applicano, o si applicheranno, a un utente o a un dispositivo.

  • Gestione controllo servizi (SCM, Service Control Manager)

    Funzionalità usata per configurare la sicurezza e le modalità di avvio dei servizi.

  • Registro di sistema

    Usato per configurare la sicurezza e i valori del Registro di sistema.

  • File system

    Usato per configurare la sicurezza.

  • Conversioni del file system

    La sicurezza viene impostata quando un amministratore converte un file system da FAT a NTFS.

  • Microsoft Management Console (MMC)

    L'interfaccia utente dello strumento Impostazioni sicurezza è un'estensione dello snap-in di MMC Editor Criteri di gruppo locali.

Criteri di Impostazioni sicurezza e Criteri di gruppo

L'estensione Impostazioni sicurezza dell'Editor Criteri di gruppo locali fa parte del set di strumenti di gestione della configurazione della sicurezza. I componenti seguenti sono associati all'estensione Impostazioni sicurezza: un motore di configurazione, un motore di analisi, un livello di interfaccia di database e modello, la logica di integrazione dell'installazione e lo strumento da riga di comando secedit.exe. Il motore di configurazione della sicurezza è responsabile della gestione delle richieste di sicurezza correlate all'editor di configurazione della sicurezza per il sistema in cui è in esecuzione. Il motore di analisi analizza la sicurezza del sistema per una determinata configurazione e salva il risultato. Il livello di interfaccia di database e modello gestisce le richieste di lettura e scrittura da e verso il modello o il database (per l'archiviazione interna). L'estensione Impostazioni sicurezza dell'Editor Criteri di gruppo locali gestisce Criteri di gruppo da un dispositivo locale o basato su dominio. La logica di configurazione della sicurezza si integra con l'installazione e gestisce la sicurezza del sistema per un'installazione pulita o un aggiornamento a un sistema operativo Windows più recente. Le informazioni sulla sicurezza sono archiviate in modelli (file INF) o nel database Secedit.sdb.

Il diagramma seguente mostra le impostazioni di sicurezza e le funzionalità correlate.

Criteri di Impostazioni sicurezza e funzionalità correlate

Componenti correlati ai criteri di sicurezza

  • Scesrv.dll

    Fornisce le funzionalità principali del motore di sicurezza.

  • Scecli.dll

    Fornisce le interfacce sul lato client per il motore di configurazione della sicurezza e fornisce i dati al Gruppo di criteri risultante (RSoP).

  • Wsecedit.dll

    Estensione Impostazioni sicurezza dell'Editor Criteri di gruppo locali. Scecli.dll viene caricato in wsecedit.dll per supportare l'interfaccia utente di Impostazioni sicurezza.

  • Gpedit.dll

    Snap-in di MMC Editor Criteri di gruppo locali.

Architettura dell'estensione Impostazioni sicurezza

L'estensione Impostazioni sicurezza dell'Editor Criteri di gruppo locali fa parte degli strumenti di gestione della configurazione della sicurezza, come illustrato nel diagramma seguente.

Architettura di Impostazioni sicurezza

Architettura delle impostazioni dei criteri di sicurezza

Gli strumenti di analisi e configurazione delle impostazioni di sicurezza includono un motore di configurazione della sicurezza, che fornisce analisi e configurazione dei criteri delle impostazioni di sicurezza basate su Criteri di gruppo e per il computer locale (non membro di dominio). Il motore di configurazione della sicurezza supporta anche la creazione di file dei criteri di sicurezza. Le funzionalità principali del motore di configurazione della sicurezza sono scecli.dll e scesrv.dll.

L'elenco seguente descrive le funzionalità principali del motore di configurazione della sicurezza e altre funzionalità correlate a Impostazioni sicurezza.

  • Scesrv.dll

    Questa DLL è ospitata in services.exe e viene eseguita nel contesto di sistema locale. Scesrv.dll fornisce le funzionalità principali di gestione della configurazione della sicurezza, come importazione, configurazione, analisi e propagazione dei criteri.

    Scesrv.dll esegue configurazione e analisi di diversi parametri di sistema correlati alla sicurezza chiamando le API di sistema corrispondenti, tra cui LSA, SAM e il Registro di sistema.

    Scesrv.dll espone API come quelle per l'importazione, l'esportazione, la configurazione e l'analisi. Verifica che la richiesta venga effettuata tramite LRPC (Windows XP) e in caso contrario genera un errore di chiamata.

    La comunicazione tra le parti dell'estensione Impostazioni sicurezza avviene usando i metodi seguenti:

    • Chiamate COM (Component Object Model)

    • LRPC (Local Remote Procedure Call)

    • LDAP (Lightweight Directory Access Protocol)

    • ADSI (Active Directory Service Interfaces)

    • SMB (Server Message Block)

    • API Win32

    • Chiamate a Strumentazione gestione Windows (WMI)

    Nei controller di dominio, scesrv.dll riceve le notifiche delle modifiche apportate a SAM e LSA che devono essere sincronizzate tra i controller di dominio. Scesrv.dll incorpora tali modifiche nell'oggetto Criteri di gruppo Criterio controller di dominio predefinito mediante le API di modifica del modello scecli.dll in-process.

    Scesrv.dll esegue anche operazioni di analisi e configurazione.

  • Scecli.dll

    Interfaccia sul lato client o wrapper per scesrv.dll. Scecli.dll viene caricato in Wsecedit.dll per supportare gli snap-in di MMC. Viene usato dal programma di installazione per configurare la sicurezza di sistema predefinita e la sicurezza di file, chiavi del Registro di sistema e servizi installati dai file INF dell'API di installazione.

    La versione della riga di comando delle interfacce utente di analisi e configurazione della sicurezza, secedit.exe, usa scecli.dll.

    Scecli.dll implementa l'estensione sul lato client di Criteri di gruppo.

    Scesrv.dll usa scecli.dll per scaricare i file di Criteri di gruppo applicabili da SYSVOL, per applicare le impostazioni di sicurezza di Criteri di gruppo al dispositivo locale.

    Scecli.dll registra l'applicazione dei criteri di sicurezza in WMI (RSoP).

    Il filtro criteri scesrv.dll usa scecli.dll per aggiornare l'oggetto Criteri di gruppo Criterio controller di dominio predefinito quando vengono apportate modifiche a SAM e LSA.

  • Wsecedit.dll

    Estensione Impostazioni sicurezza dello snap-in Editor oggetti Criteri di gruppo. Puoi usare questo strumento per configurare le impostazioni di sicurezza in un oggetto Criteri di gruppo per un sito, un dominio o un'unità organizzativa. Puoi anche usare Impostazioni sicurezza per importare i modelli di sicurezza in un oggetto Criteri di gruppo.

  • Secedit.sdb

    Database di sistema permanente usato per la propagazione dei criteri, che include una tabella di impostazioni permanenti per il ripristino dello stato precedente.

  • Database utente

    Un database utente è qualsiasi database diverso dal database di sistema creato dagli amministratori a scopo di configurazione o analisi della sicurezza.

  • Modelli con estensione inf

    File di testo contenenti impostazioni di sicurezza dichiarative. Vengono caricati in un database prima della configurazione o dell'analisi. I criteri di sicurezza di Criteri di gruppo vengono archiviati in file INF nella cartella SYSVOL dei controller di dominio, dove vengono scaricati (tramite la copia dei file) e uniti nel database di sistema durante la propagazione dei criteri.

Processi e interazioni dei criteri di Impostazioni sicurezza

Per un dispositivo aggiunto a un dominio, in cui gli oggetti Criteri di gruppo sono amministrati, le impostazioni di sicurezza vengono elaborate in combinazione con Criteri di gruppo. Non tutte le impostazioni sono configurabile.

Elaborazione di Criteri di gruppo

Quando un computer viene avviato e un utente accede, i criteri utente e computer vengono applicati in base alla sequenza seguente:

  1. La rete viene avviata. Il servizio RPCSS (Remote Procedure Call System Service) e il provider MUP (Multiple Universal Naming Convention Provider) vengono avviati.

  2. Viene ottenuto un elenco ordinato di oggetti Criteri di gruppo per il dispositivo. L'elenco può dipendere dai fattori seguenti:

    • Appartenenza del dispositivo a un dominio e, di conseguenza, applicabilità di Criteri di gruppo tramite Active Directory.

    • Posizione del dispositivo in Active Directory.

    • Presenza di modifiche all'elenco di oggetti Criteri di gruppo. Se l'elenco di oggetti Criteri di gruppo non è stato modificato, non viene eseguita alcuna elaborazione.

  3. I criteri computer vengono applicati. Si tratta delle impostazioni in Configurazione computer nell'elenco ottenuto. Questo processo è di tipo sincrono per impostazione predefinita e viene eseguito nell'ordine seguente: locale, sito, dominio, unità organizzativa, unità organizzativa figlio e così via. Durante l'elaborazione dei criteri computer non viene visualizzata alcuna interfaccia utente.

  4. Gli script di avvio vengono eseguiti. Questo processo è nascosto e sincrono per impostazione predefinita. Ogni script deve venire completato oppure deve verificarsi un timeout prima dell'avvio dello script successivo. Il timeout predefinito è di 600 secondi. Puoi usare diverse impostazioni dei criteri per modificare questo comportamento.

  5. L'utente preme CTRL+ALT+CANC per accedere.

  6. Dopo la convalida dell'utente, viene caricato il profilo utente, governato dalle impostazioni dei criteri attive.

  7. Viene ottenuto un elenco ordinato di oggetti Criteri di gruppo per l'utente. L'elenco può dipendere dai fattori seguenti:

    • Appartenenza dell'utente a un dominio e, di conseguenza, applicabilità di Criteri di gruppo tramite Active Directory.

    • Abilitazione dell'elaborazione dei criteri loopback e, in caso affermativo, stato (unione o sostituzione) dell'impostazione dei criteri loopback.

    • Posizione dell'utente in Active Directory.

    • Presenza di modifiche all'elenco di oggetti Criteri di gruppo. Se l'elenco di oggetti Criteri di gruppo non è stato modificato, non viene eseguita alcuna elaborazione.

  8. I criteri utente vengono applicati. Si tratta delle impostazioni in Configurazione utente nell'elenco ottenuto. Il processo è di tipo sincrono per impostazione predefinita e viene eseguito nell'ordine seguente: locale, sito, dominio, unità organizzativa, unità organizzativa figlio e così via. Durante l'elaborazione dei criteri utente non viene visualizzata alcuna interfaccia utente.

  9. Gli script di accesso vengono eseguiti. Gli script di accesso basati su Criteri di gruppo sono nascosti e asincroni per impostazione predefinita. Lo script dell'oggetto utente viene eseguito per ultimo.

  10. Viene visualizzata l'interfaccia utente del sistema operativo stabilita da Criteri di gruppo.

Archiviazione degli oggetti Criteri di gruppo

Un oggetto Criteri di gruppo è un oggetto virtuale identificato da un identificatore univoco globale (GUID) e archiviato a livello di dominio. Le informazioni sulle impostazioni dei criteri di un oggetto Criteri di gruppo vengono archiviate nelle due posizioni seguenti:

  • Contenitori Criteri di gruppo in Active Directory.

    Il contenitore Criteri di gruppo è un contenitore Active Directory che contiene le proprietà dell'oggetto Criteri di gruppo, ad esempio informazioni sulla versione, stato dell'oggetto Criteri di gruppo e un elenco di altre impostazioni dei componenti.

  • Modelli Criteri di gruppo nella cartella del volume di sistema di un dominio (SYSVOL).

    Il modello Criteri di gruppo è una cartella del file system che include dati dei criteri specificati dai file ADMX, impostazioni di sicurezza, file script e informazioni sulle applicazioni disponibili per l'installazione. Il modello Criteri di gruppo si trova nella cartella SYSVOL nella sottocartella domain\Policies.

La struttura di GROUP_POLICY_OBJECT fornisce informazioni su un oggetto Criteri di gruppo in un elenco, inclusi il numero di versione dell'oggetto Criteri di gruppo, un puntatore a una stringa che indica la parte di Active Directory dell'oggetto Criteri di gruppo e un puntatore a una stringa che specifica il percorso della parte del file system dell'oggetto Criteri di gruppo.

Ordine di elaborazione di Criteri di gruppo

Le impostazioni di Criteri di gruppo vengono elaborate nell'ordine seguente:

  1. Oggetto Criteri di gruppo locale.

    Ogni dispositivo che esegue un sistema operativo Windows a partire da Windows XP ha esattamente un oggetto Criteri di gruppo archiviato localmente.

  2. Sito.

    Successivamente, vengono elaborati gli oggetti Criteri di gruppo collegati al sito. L'elaborazione avviene in modo sincrono e nell'ordine specificato dall'amministratore.

  3. Dominio.

    L'elaborazione di più oggetti Criteri di gruppo collegati al dominio avviene in modo sincrono e nell'ordine specificato.

  4. Unità organizzative.

    Gli oggetti Criteri di gruppo collegati all'unità organizzativa di livello più elevato nella gerarchia di Active Directory vengono elaborati per primi, quindi vengono elaborati gli oggetti Criteri di gruppo collegati all'unità organizzativa figlio della prima e così via. Infine, vengono elaborati gli oggetti Criteri di gruppo collegati all'unità organizzativa contenente l'utente o il dispositivo.

A livello di ogni unità organizzativa nella gerarchia di Active Directory possono essere collegati uno o più oggetti Criteri di gruppo oppure nessun oggetto. Se a un'unità organizzativa sono collegati diversi oggetti Criteri di gruppo, la loro elaborazione avviene in modo sincrono e nell'ordine specificato.

Quest'ordine significa che l'oggetto Criteri di gruppo locale viene elaborato per primo, mentre gli oggetti Criteri di gruppo collegati all'unità organizzativa di cui il computer o l'utente è un membro diretto vengono elaborati per ultimi, sovrascrivendo gli oggetti Criteri di gruppo precedenti.

Questo è l'ordine di elaborazione predefinito e gli amministratori possono specificare eccezioni a questo ordine. Un oggetto Criteri di gruppo collegato a un sito, un dominio o un'unità organizzativa (non un oggetto Criteri di gruppo locale) può essere impostato su Imposto relativamente a tale sito, dominio o unità organizzativa, in modo che nessuna delle relative impostazioni dei criteri possa essere sovrascritta. In qualsiasi sito, dominio o unità organizzativa, puoi contrassegnare l'ereditarietà di Criteri di gruppo in modo selettivo come Blocca eredità. I collegamenti a oggetti Criteri di gruppo impostati su Imposto vengono tuttavia sempre applicati e non possono essere bloccati.

Elaborazione dei criteri di Impostazioni sicurezza

Nel contesto dell'elaborazione di Criteri di gruppo, i criteri di Impostazioni sicurezza vengono elaborati nell'ordine seguente.

  1. Durante l'elaborazione di Criteri di gruppo, il motore Criteri di gruppo determina i criteri di Impostazioni sicurezza da applicare.

  2. Se sono presenti criteri di Impostazioni sicurezza in un oggetto Criteri di gruppo, viene richiamata l'estensione Impostazioni sicurezza sul lato client.

  3. L'estensione Impostazioni sicurezza scarica i criteri dalla posizione appropriata, ad esempio un controller di dominio specifico.

  4. L'estensione Impostazioni sicurezza unisce tutti i criteri delle impostazioni di sicurezza in base alle regole di precedenza. L'elaborazione avviene in base all'ordine di elaborazione di Criteri di gruppo, ovvero locale, sito, dominio e unità organizzativa, come descritto in precedenza nella sezione "Ordine di elaborazione di Criteri di gruppo". Se per un determinato dispositivo sono attivi più oggetti Criteri di gruppo e non ci sono criteri in conflitto, i criteri sono cumulativi e vengono uniti.

    Questo esempio usa la struttura di Active Directory mostrata nella figura seguente. Un determinato computer è membro dell'unità organizzativa OU2, a cui è collegato l'oggetto Criteri di gruppo GroupMembershipPolGPO. Il computer è soggetto anche all'oggetto Criteri di gruppo UserRightsPolGPO, che è collegato all'unità organizzativa OU1, più in alto nella gerarchia. In questo caso, non ci sono criteri in conflitto e quindi il dispositivo riceve tutti i criteri contenuti in entrambi gli oggetti Criteri di gruppo UserRightsPolGPO e GroupMembershipPolGPO.

    Oggetti Criteri di gruppo multipli e unione dei criteri di sicurezza

    Oggetti Criteri di gruppo multipli e unione dei criteri di sicurezza

  5. I criteri di sicurezza risultanti vengono archiviati in secedit.sdb, il database delle impostazioni di sicurezza. Il motore di sicurezza ottiene i file del modello di sicurezza e li importa in secedit.sdb.

  6. I criteri delle impostazioni di sicurezza vengono applicati ai dispositivi.

La figura seguente illustra l'elaborazione dei criteri delle impostazioni di sicurezza.

Elaborazione dei criteri di Impostazioni sicurezza

Processo e interazioni delle impostazioni dei criteri di sicurezza

Unione dei criteri di sicurezza nei controller di dominio

I criteri password, Kerberos e alcune opzioni di protezione vengono uniti solo da oggetti Criteri di gruppo collegati al livello radice nel dominio. Questa operazione viene eseguita per mantenere le impostazioni sincronizzate in tutti i controller nel dominio. Vengono unite le opzioni di sicurezza seguenti:

  • Sicurezza di rete: imponi disconnessione al termine dell'orario di accesso

  • Account: stato account Administrator

  • Account: stato account Guest

  • Account: rinomina account amministratore

  • Account: rinomina account guest

È presente un altro meccanismo che consente di unire le modifiche ai criteri di sicurezza eseguite dagli amministratori con account di rete nell'oggetto Criteri di gruppo Criterio dominio predefinito. Le modifiche dei diritti utente effettuate usando le API dell'autorità di protezione locale (LSA, Local Security Authority) vengono filtrate nell'oggetto Criteri di gruppo Criterio controller di dominio predefinito.

Considerazioni speciali per i controller di dominio

Se un'applicazione è installata in un controller di dominio primario (PDC) con ruolo di master operazioni, noto anche come ruolo FSMO (Flexible Single Master Operations) e l'applicazione apporta modifiche ai diritti utente o ai criteri password, queste modifiche devono essere comunicate per garantire la sincronizzazione tra i controller di dominio. Scesrv.dll riceve una notifica di tutte le modifiche apportate al sistema di gestione degli account di sicurezza (SAM) e a LSA che devono essere sincronizzate tra i controller di dominio e quindi incorpora le modifiche nell'oggetto Criteri di gruppo Criterio controller di dominio predefinito usando le API di modifica del modello scecli.dll.

Tempistica di applicazione delle impostazioni di sicurezza

Una volta modificati i criteri delle impostazioni di sicurezza, le impostazioni vengono aggiornate nei computer dell'unità organizzativa collegata all'oggetto Criteri di gruppo nei casi seguenti:

  • Quando un dispositivo viene riavviato.

  • Ogni 90 minuti in una workstation o in un server e ogni 5 minuti in un controller di dominio. L'intervallo di aggiornamento è configurabile.

  • Per impostazione predefinita, le impostazioni dei criteri di sicurezza fornite da Criteri di gruppo vengono inoltre applicate ogni 16 ore (960 minuti) anche se non sono state apportate modifiche a un oggetto Criteri di gruppo.

Persistenza dei criteri di Impostazioni sicurezza

L'estensione Impostazioni sicurezza può essere persistente anche se un'impostazione non è più definita nel criterio dal quale è stata applicata in origine.

La persistenza dei criteri di Impostazione sicurezza può verificarsi nei casi seguenti:

  • L'impostazione non è stata precedentemente definita per il dispositivo.

  • L'impostazione è destinata a un oggetto di sicurezza del Registro di sistema.

  • Le impostazioni sono destinate a un oggetto di sicurezza del file system.

Tutte le impostazioni applicate tramite criteri locali o tramite un oggetto Criteri di gruppo sono archiviate in un database locale nel computer. Ogni volta che un'impostazione di sicurezza viene modificata, il computer salva il valore dell'impostazione di sicurezza nel database locale, che mantiene una cronologia di tutte le impostazioni applicate al computer. Se un criterio definisce un'impostazione di sicurezza e quindi non la definisce più, l'impostazione usa il valore precedente salvato nel database. Se non esiste alcun valore precedente nel database, l'impostazione non cambia più e resta definita in base allo stesso valore. Questo comportamento viene a volte detto "tattooing" in inglese.

Le impostazioni di sicurezza dei file e del Registro di sistema mantengono i valori applicati tramite Criteri di gruppo finché non vengono impostati altri valori.

Autorizzazioni richieste per l'applicazione dei criteri

Per applicare le impostazioni di un oggetto Criteri di gruppo a utenti o gruppi e computer sono necessarie entrambe le autorizzazioni Applica Criteri di gruppo e Lettura.

Filtro dei criteri di sicurezza

Per impostazione predefinita, tutti gli oggetti Criteri di gruppo hanno le autorizzazioni Applica Criteri di gruppo e Lettura impostate come consentite per il gruppo Authenticated Users. Il gruppo Authenticated Users include sia utenti sia computer. I criteri delle impostazioni di sicurezza sono basati su computer. Per specificare a quali computer client verrà o meno applicato un oggetto Criteri di gruppo, è possibile negare l'autorizzazione Applica Criteri di gruppo o Lettura nell'oggetto Criteri di gruppo in questione. La modifica di queste autorizzazioni ti consente di limitare l'ambito dell'oggetto Criteri di gruppo a un set specifico di computer in un sito, un dominio o un'unità organizzativa.

Nota  

Non usare il filtro dei criteri di sicurezza in un controller di dominio, perché questa operazione impedirebbe l'applicazione dei criteri di sicurezza.

 

Migrazione di oggetti Criteri di gruppo contenenti impostazioni di sicurezza

In alcune situazioni, potresti voler eseguire la migrazione di oggetti Criteri di gruppo da un ambiente di dominio a un altro ambiente. I due scenari più comuni sono la migrazione da ambiente di test ad ambiente di produzione e la migrazione tra due ambienti di produzione. Il processo di copia degli oggetti Criteri di gruppo prevede alcune implicazioni per determinati tipi di impostazioni di sicurezza.

I dati per un singolo oggetto Criteri di gruppo vengono archiviati in diverse posizioni e in diversi formati. Alcuni dati sono inclusi in Active Directory e altri sono archiviati nella condivisione SYSVOL nei controller di dominio. Alcuni dati dei criteri potrebbero essere validi in un dominio ma non in quello in cui viene copiato l'oggetto Criteri di gruppo. Ad esempio, gli ID di sicurezza (SID) archiviati nelle impostazioni dei criteri di sicurezza sono spesso specifici del dominio. La copia di oggetti Criteri di gruppo pertanto non è un'operazione semplice come la copia di una cartella da un dispositivo a un altro.

I criteri di sicurezza seguenti possono contenere entità di sicurezza e potrebbero richiedere operazioni aggiuntive per il corretto spostamento da un dominio a un altro.

  • Assegnazione diritti utente

  • Gruppi con restrizioni

  • Servizi

  • File system

  • Registro di sistema

  • DACL oggetti Criteri di gruppo, se scegli di mantenerlo durante un'operazione di copia

Per garantire che i dati vengano copiati correttamente, puoi usare Console Gestione Criteri di gruppo. Quando viene eseguita la migrazione di un oggetto Criteri di gruppo da un dominio a un altro, Console Gestione Criteri di gruppo garantisce che tutti i dati rilevanti vengano copiati correttamente. Console Gestione Criteri di gruppo offre inoltre tabelle di migrazione, che possono essere usate per aggiornare i dati specifici dei domini ai nuovi valori nell'ambito del processo di migrazione. Console Gestione Criteri di gruppo evita molte delle complessità che caratterizzano le operazioni di migrazione di oggetti Criteri di gruppo e fornisce meccanismi semplici e affidabili per eseguire operazioni come copia e backup di oggetti Criteri di gruppo.

Contenuto della sezione

Argomento Descrizione

Amministrare le impostazioni dei criteri di sicurezza

In questo articolo vengono presentati diversi metodi per amministrare le impostazioni dei criteri di sicurezza in un dispositivo locale o all'interno di un'organizzazione di piccole o medie dimensioni.

Configurare le impostazioni dei criteri di sicurezza

Vengono illustrate le procedure per configurare un'impostazione dei criteri di sicurezza nel dispositivo locale, in un dispositivo appartenente a un dominio e in un controller di dominio.

Informazioni di riferimento sulle impostazioni dei criteri di sicurezza

Questo argomento di riferimento sulle impostazioni di sicurezza fornisce informazioni su come implementare e gestire i criteri di sicurezza, nonché informazioni sulle opzioni per le impostazioni e considerazioni sulla sicurezza.