Group Policy, queste sconosciute..

giugno 28, 2010

Le Group Policy ( o criteri di gruppo per chi è abituato a gestire sitemi non di lingua inglese [ e di conseguenza sistemi non server ...ma non necessariamente  ;-) ] ) sono uno strumento davvero potente: implementare una group policy vuol dire decidere di far si, per esempio che tutte le macchine coinvolte in questo cambiamento si comportino ad una determinata maniera…che loggino determinati eventi…che abbiano tutte una determinata stampante…ma ( e c’è sempre un “Ma” quando si parla di strumenti a così alto potenziale )…cosa succede se si decide di implementare questa tipologia di tecnologia senza avere bene in mente cosa veramente si voglia fare e soprattutto senza averne calcolato tutti i rischi e, magari , senza aver nemmeno implementato suddette funzioni e funzionalità in un ambiente di laboratorio appositamente isolato dall’ambiente di produzione e che riproduca anche in minima parte l’ambiente di produzione?

Risposta: Disastri!

E la riprova purtroppo l’ho avuta questa mattina in ufficio dove, senza copo ferire e soprattutto senza avvisare nessuno è stata una policy che andava ad incrementare le attività da monitorare su tutti i computer. Lo scenario è stato abbastanza inquietante, l’allarme è scattato alla seconda chiamata per eccessivo ed inaspettato quanto ingiustificato rllentamento di client e serve definiti ad alte prestazioni…log di sicurezza pieni con una frequenza di circa 40 eventi loggati al secondo ed evento di tipo 5447.

5447 A Windows Filtering Platform filter has been changed.

 

Ma come vanno affrontate situazioni del genere? Innanzitutto sempre con calma e sangue freddo ( perchè tanto il panico è deicsamente inutile e dannoso per la Nostra concentrazione che comunque deve essere massima ) poi, cerchiamo di andare per gradi:

- Cercare il nostro errore su internet nelle maniera più dettagliata possibile cercando anche di restringere l campo d’azione dei vari motori di  ricerca ( ad esempio Google )

es:

“security event 5447 windows 7 site:microsoft.com” 

Questa tipologia di dicitura restringerà il campo delle ricerche ai siti Microsoft.com ed ai suoi derivati nonchè ci darà la possibilità di accedere in maniera più rapida agli articoli tecnici che ci spiegheranno probabilmente come risolvere il nostro problema. Nel caso specifico la nostra ricerca ci porta dritti ad un articolo tecnico che sembra fare al caso nostro:

http://support.microsoft.com/kb/977519/en-us - Description of security events in Windows 7 and in Windows Server 2008 R2

dal quale si interpreta che..

“This article describes various security-related and auditing-related events in Windows 7 and in Windows Server 2008 R2. This article also provides information about how to interpret these events. All these events appear in the Security log and are logged with a source of Security-Auditing. This article also describes how to retrieve more descriptive data about individual events.”

..ossia , parlando di Security Auditing , è facilmente deducibile che l’incremento di logging è sicuramente dovuto all’implementazione di policy di sicurezza e ,nello specifico nella sottocategoria “Subcategory: Other Policy Change Events”sia nella categoria “Category: Policy Change”.

Non ci resta quindi da individuare dove, cosa e soprattutto come è stato attivato questo criterio. Indivinduando un Domain Controller avente installato Windows Server 2008 R2 è possibile procedere come segue lanciando la console delle policy del domain controller e verificare i nostri sospetti; nello specifico la policy “incriminata ” è la “audit policy change” che si trova in “Local Policy”->”Audit Policy”.

Potrete notare che a questa policy è associata la possibilità di loggare eventi sia di casistiche positive che di casistiche negative  ossia, nel caso in cui si decidesse di attivare entrambe le voci, di creare un gran macello ( i dischi sono a rischio di rapida saturazione nonchè di essere a rischio stress elevato e quindi di rapido collasso di tutta la struttura ).

Nel caso specifico il problema si è risolto a monte ovvero, essendo le policy state propagate e quindi non più gestibili localmente si è proceduto a verificare con le sicurezze informatiche le motivazioni che hanno portato a questo cambiamento senza nessua interpellanza.

Ricordatevi quindi che come prima regola per evitare pasticci similari è buona norma avere un ambiente virtuale parallelo di test debitamente separato dalla produzione ma che ne rispecchi almeno in minima parte la realtà infrastrutturale dove poter provare le Vostre migliorie e poterne misurare gli effetti prima che questi siano causa di discreti disatri per la Vostra posizione lavorativa

Ossia, prevenire è meglio che curare!

Il Vostro Riccio

2 Commenti a “Group Policy, queste sconosciute..”

  1. parole sante! con il consiglio di usare sistemi in lingua inglese. Almeno si trova prima e con piu’ dettagli la natura del problema! =P

Clicca qui per registrarti

... oppure lascia un commento con il tuo account Facebook