Policy

Qualche appunto su come gestire in modo comodo le policy su windows (sicuramente 10 e 11, ma probabilmente anche altre versioni)

Mi è capitato più di una volta di chiedermi "ma ci sono delle policy impostato su questo PC?" Quando parlo di policy impostate intendo ovviamente tutto quello che non è a default. Se uso gpedit.msc mi fa vedere tutte le policy, che sono un miliardo. Non posso certo spulciarle tutte. Ecco che vengono utili due strumenti: uno grafico e uno testuale.

Lo strumento grafico è rsop.msc che mostra una schermata in stile gpedit ma dove sono popolate solo le policy che non sono a default, ma non esattamente perché Microsoft è Microsoft e non possiamo avere quello che vorremmo, un poco dobbiamo soffrire. Rsop.msc infatti mostra sempre tutte le policy sotto "Impostazioni di sicurezza" anche se sono a default. Sotto gli altri alberi invece mostra solo quelle attive. Notare anche che in questo strumento possiamo guardare ma non modificare nulla, quindi se vogliamo modificare dobbiamo usare gpedit.msc comunque.

Lo strumento testuale è gpresult.exe che ci mostra davvero SOLO le policy che sono modificate rispetto al default. Per usarlo dobbiamo lanciarlo da un command prompt come amministratore altrimenti non va.

• Per vedere le policy utente, usiamo gpresult /scope user /v
• Per vedere le policy del computer, usiamo gpresult /scope computer /v

Vale la pena di notare che usando gpresult avremo un output molto dettagliato che non è esattamente "in linea" con quello che vediamo in rsop.msc o in gpedit.msc. Mi spiego meglio: ci sono policy (ad esempio quelle per windows update) che in gpedit.msc si impostano in un solo oggetto (ovvero, noi impostiamo UNA SOLA policy) e in gpresult vengono mostrate come 5 o 6 righe di output diverse. Suppongo che il motivo sia che quella singola policy in gpedit in realtà imposti enne righe nel registry, e che gpresult ci mostri di fatto tutte quelle enne righe separatamente.

Per finire, e rendere più o meno inutile tutto quanto scritto sopra, mi sono reso conto che se aprio gpedit.msc e poi aprio il menù "Modelli Amministrativi" e vado in fondo su "Tutte le impostazioni", ottengo un elenco di tutte le policy presenti sotto l' albero "Modelli Amministrativi". Se ora le metto in ordine di "Stato" avrò in cima quelle configurate e sotto le altre. A questo punto diventa facile vedere cosa c'è di impostato e cosa invece è a default. Vale la pena di notare che comunque questo sistema si applica ai Modelli Amministrativi (sia per il computer che per l'utente) ma non si applica alle "Impostazioni di sicurezza", per le quali non esiste la voce "Tutte le impostazioni".

Quando si vuole automatizzare l'applicazione di una policy locale (non parlo di dominio) credo che il sistema più comodo sia applicarla con un file di registro, perché non ho trovato un modo per manipolare gli oggetti "policy" da command line. (forse il motivo è che non so niente di Windows e dovrei restare su Linux che su quello sono capace). In ogni caso da bravo ignorante testardo mi sono trovato un modo per identificare le modifiche al registro applicate da una policy.

• Applicare le policy che ti interessano usando gpedit.msc
• Eseguire (da amministratore) gpresult /v come indicato in precedenza
• Guardando l'output di gpresult, quello che vediamo sono fondamentalmente percorsi nel registry, e quando vediamo indicata una voce "Valore: xxxxx" questo sembra denotare un valore effettivamente salvato nel registry
• Prendiamo quindi regedit.exe e andiamo a inseguire questi percorsi e a vedere cosa contengono, ed eventualmente esportiamo il pezzo che ci interessa in un file, o costruiamo il nostro file .reg con i valori che ci interessano.

Vale la pena di notare che non è detto che questi valori siano uguali a cavallo delle diverse versioni di windows.