I Criteri di gruppo sono una funzionalità di amministrazione di Windows che consente ai team IT di distribuire impostazioni, script, regole di sicurezza e modifiche software a molti computer da un punto centrale. Vengono comunemente gestiti tramite Active Directory e sono utilizzati per mantenere gli endpoint coerenti, protetti e più facili da amministrare su larga scala.
Nella sicurezza informatica, i Criteri di gruppo sono importanti perché sono potenti: chiunque li controlli può modificare password, disabilitare le difese, distribuire script di accesso, mappare unità o alterare le impostazioni del firewall e di audit su un intero dominio. Gli attaccanti che ottengono l'accesso a livello di dominio possono abusare dei Criteri di gruppo per mantenere la persistenza, diffondere malware, indebolire la registrazione degli eventi o eseguire comandi dannosi su molte macchine contemporaneamente. I difensori li monitorano da vicino per rilevare modifiche non autorizzate, limitano chi può modificare le policy e generano avvisi su aggiornamenti insoliti delle policy. Un forte controllo degli accessi, la revisione delle modifiche e la registrazione degli eventi sono essenziali perché una singola policy malevola può influire rapidamente su centinaia o migliaia di endpoint.