Monitoraggio dei segnali di compromissione di Active Directory

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Legge numero cinque: la vigilazione per l'estasi è il prezzo della sicurezza. - -

Un solido sistema di monitoraggio del log eventi è una parte fondamentale di qualsiasi progettazione sicura di Active Directory. Molte compromissione della sicurezza dei computer potrebbero essere individuate nelle prime fasi dell'evento se le vittime hanno attivato il monitoraggio e gli avvisi appropriati del registro eventi. I report indipendenti hanno a lungo supportato questa conclusione. Ad esempio, il report di violazione dei dati di Verizon 2009 indica:

"L'apparente inefficace del monitoraggio degli eventi e dell'analisi dei log continua a essere un po' un enigma. La possibilità di rilevamento è disponibile; I ricercatori hanno fatto presente che il 66% delle vittime aveva prove sufficienti all'interno dei log per scoprire la violazione se fossero state più diligenti nell'analisi di tali risorse."

Questa mancanza di monitoraggio dei log eventi attivi rimane un punto debole coerente nei piani di difesa della sicurezza di molte aziende. Il report 2012 Verizon Data Breach ha rilevato che anche se l'85% delle violazioni ha richiesto diverse settimane per essere notato, l'84% delle vittime ha avuto prove della violazione nei log eventi.

Windows criteri di controllo

Di seguito sono riportati i collegamenti al blog del supporto aziendale ufficiale di Microsoft. Il contenuto di questi blog offre consigli, indicazioni e raccomandazioni sul controllo che saranno utili per migliorare la sicurezza dell'infrastruttura di Active Directory e sono una risorsa utile quando si progettano criteri di controllo.

  • Controllo di accesso agli oggetti globale è Magic: descrive un meccanismo di controllo denominato Configurazione avanzata dei criteri di controllo aggiunto a Windows 7 e Windows Server 2008 R2 che consente di impostare i tipi di dati che si desidera controllare facilmente e non destreggiare script e auditpol.exe.
  • Introduzione alle modifiche di controllo in Windows 2008: introduce le modifiche di controllo apportate in Windows Server 2008.
  • Cool Auditing Tricks in Vista e 2008: illustra interessanti funzionalità di controllo di Windows Vista e Windows Server 2008 che possono essere usate per la risoluzione dei problemi o la visualizzazione di ciò che accade nell'ambiente.
  • One-Stop Shop for Auditing in Windows Server 2008 e Windows Vista: contiene una compilazione di funzionalità di controllo e informazioni contenute in Windows Server 2008 e Windows Vista.

I collegamenti seguenti forniscono informazioni sui miglioramenti al controllo Windows in Windows 8 e Windows Server 2012 e informazioni sul controllo di Servizi di dominio Active Directory in Windows Server 2008.

  • Novità del controllo di sicurezza: offre una panoramica delle nuove funzionalità di controllo della sicurezza in Windows 8 e Windows Server 2012.
  • Guida dettagliata al controllo di Servizi di dominio Active Directory: descrive la nuova funzionalità di controllo di Active Directory Domain Services (AD DS) in Windows Server 2008. Vengono inoltre fornite le procedure per implementare questa nuova funzionalità.

Windows di controllo

Prima di Windows Vista e Windows Server 2008, Windows solo nove categorie di criteri di controllo del log eventi:

  • Eventi di accesso all'account
  • Gestione account
  • Accesso al servizio directory
  • Eventi di accesso
  • Accesso a oggetti
  • Modifica dei criteri
  • Uso dei privilegi
  • Rilevamento dei processi
  • Eventi di sistema

Queste nove categorie di controllo tradizionali comprendono criteri di controllo. Ogni categoria di criteri di controllo può essere abilitata per gli eventi Success, Failure o Success e Failure. Le descrizioni sono incluse nella sezione successiva.

Descrizioni delle categorie dei criteri di controllo

Le categorie di criteri di controllo abilitano i tipi di messaggi del registro eventi seguenti.

Controllare gli eventi di accesso all'account

Segnala ogni istanza di un'entità di sicurezza (ad esempio, utente, computer o account del servizio) che esegue l'accesso o la disconnessione da un computer in cui viene usato un altro computer per convalidare l'account. Gli eventi di accesso dell'account vengono generati quando un account dell'entità di sicurezza di dominio viene autenticato in un controller di dominio. L'autenticazione di un utente locale in un computer locale genera un evento di accesso registrato nel registro di sicurezza locale. Non viene registrato alcun evento di disconnessione dell'account.

Questa categoria genera molto "rumore" perché Windows gli account a cui si accede e si discostono costantemente dai computer locali e remoti durante il normale corso dell'attività. Tuttavia, qualsiasi piano di sicurezza deve includere l'esito positivo e negativo di questa categoria di controllo.

Controllare la gestione degli account

Questa impostazione di controllo determina se tenere traccia della gestione di utenti e gruppi. Ad esempio, gli utenti e i gruppi devono essere monitorati quando un account utente o computer, un gruppo di sicurezza o un gruppo di distribuzione viene creato, modificato o eliminato; quando un account utente o computer viene rinominato, disabilitato o abilitato; o quando viene modificata la password di un utente o di un computer. È possibile generare un evento per utenti o gruppi che vengono aggiunti o rimossi da altri gruppi.

Controlla Accesso al servizio directory

Questa impostazione dei criteri determina se controllare l'accesso dell'entità di sicurezza a un oggetto di Active Directory con il proprio elenco di controllo di accesso di sistema (SACL) specificato. In generale, questa categoria deve essere abilitata solo nei controller di dominio. Se abilitata, questa impostazione genera molto "disturbo".

Controllare gli eventi di accesso

Gli eventi di accesso vengono generati quando un'entità di sicurezza locale viene autenticata in un computer locale. Gli eventi di accesso registrano gli accessi al dominio che si verificano nel computer locale. Gli eventi di disconnessione dell'account non vengono generati. Se abilitati, gli eventi di accesso generano molti "disturbo", ma devono essere abilitati per impostazione predefinita in qualsiasi piano di controllo di sicurezza.

Controllare l'accesso agli oggetti

Accesso agli oggetti può generare eventi quando si accede a oggetti definiti successivamente con il controllo abilitato (ad esempio, Aperto, Letto, Rinominato, Eliminato o Chiuso). Dopo aver abilitato la categoria di controllo principale, l'amministratore deve definire singolarmente quali oggetti avranno il controllo abilitato. Molti Windows di sistema vengono con il controllo abilitato, quindi l'abilitazione di questa categoria inizierà in genere a generare eventi prima che l'amministratore ne abbia definito uno.

Questa categoria è molto "rumorosa" e genererà da cinque a dieci eventi per ogni accesso agli oggetti. Può essere difficile per gli amministratori che non hanno esperienza nel controllo degli oggetti ottenere informazioni utili. Deve essere abilitato solo quando necessario.

Modifica dei criteri di controllo

Questa impostazione dei criteri determina se controllare ogni incidenza di una modifica ai criteri di assegnazione dei diritti utente, Windows criteri firewall, criteri di attendibilità o modifiche ai criteri di controllo. Questa categoria deve essere abilitata in tutti i computer. Genera pochissimo rumore.

Controllare l'uso dei privilegi

Esistono decine di diritti utente e autorizzazioni Windows (ad esempio, Accesso come processo batch e Agire come parte del sistema operativo). Questa impostazione dei criteri determina se controllare ogni istanza di un'entità di sicurezza esercitando un diritto utente o un privilegio. L'abilitazione di questa categoria comporta una grande quantità di "rumore", ma può essere utile per tenere traccia degli account dell'entità di sicurezza usando privilegi elevati.

Rilevamento dei processi di controllo

Questa impostazione dei criteri determina se controllare informazioni dettagliate sul rilevamento dei processi per eventi quali l'attivazione del programma, l'uscita dal processo, la gestione della duplicazione e l'accesso indiretto agli oggetti. È utile per tenere traccia di utenti malintenzionati e dei programmi che usano.

L'abilitazione del rilevamento dei processi di controllo genera un numero elevato di eventi, pertanto in genere è impostato su Nessun controllo. Questa impostazione può tuttavia offrire un grande vantaggio durante una risposta agli eventi imprevisti dal log dettagliato dei processi avviati e dall'ora in cui sono stati avviati. Per i controller di dominio e altri server di infrastruttura a ruolo singolo, questa categoria può essere attivata in modo sicuro in qualsiasi momento. I server con ruolo singolo non generano molto traffico di rilevamento dei processi durante il normale periodo di attività. Di conseguenza, possono essere abilitati per acquisire eventi non autorizzati se si verificano.

Controllo degli eventi di sistema

Eventi di sistema è quasi una categoria catch-all generica, che registra vari eventi che influiscono sul computer, sulla sicurezza del sistema o sul registro di sicurezza. Include eventi per arresti e riavvii del computer, errori di alimentazione, modifiche all'ora di sistema, inizializzazioni del pacchetto di autenticazione, cancellazioni del log di controllo, problemi di rappresentazione e una serie di altri eventi generali. In generale, l'abilitazione di questa categoria di controllo genera molti "disturbo", ma genera un numero sufficiente di eventi molto utili che è difficile consigliare di non abilitarla.

Criteri di controllo avanzati

A partire da Windows Vista e Windows Server 2008, Microsoft ha migliorato il modo in cui è possibile effettuare selezioni di categorie di log eventi creando sottocategorie in ogni categoria di controllo principale. Le sottocategorie consentono di eseguire il controllo in modo molto più granulare di quanto non sia altrimenti possibile usando le categorie principali. Usando le sottocategorie, è possibile abilitare solo parti di una determinata categoria principale e ignorare la generazione di eventi per i quali non si ha alcun uso. Ogni sottocategoria dei criteri di controllo può essere abilitata per eventi di tipo Esito positivo, Esito negativo o Esito positivo e negativo.

Per elencare tutte le sottocategorie di controllo disponibili, esaminare il contenitore Criteri di controllo avanzati in un oggetto Criteri di gruppo oppure digitare quanto segue al prompt dei comandi in qualsiasi computer che esegue Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008, Windows 8, Windows 7 o Windows Vista:

auditpol /list /subcategory:*

Per ottenere un elenco delle sottocategorie di controllo attualmente configurate in un computer che esegue Windows Server 2012, Windows Server 2008 R2 o Windows 2008, digitare quanto segue:

auditpol /get /category:*

Lo screenshot seguente mostra un esempio di auditpol.exe elencare i criteri di controllo correnti.

Screenshot that shows an example of auditpol.exe listing the current audit policy.

Nota

Criteri di gruppo non segnala sempre in modo accurato lo stato di tutti i criteri di controllo abilitati, auditpol.exe lo fa. Per altri dettagli, vedere Getting the Effective Audit Policy in Windows 7 and 2008 R2 (Ottenere i criteri di controllo effettivi in Windows 7 e 2008 R2).

Ogni categoria principale ha più sottocategorie. Di seguito è riportato un elenco di categorie, le relative sottocategorie e una descrizione delle relative funzioni.

Descrizioni delle sottocategorie di controllo

Le sottocategorie dei criteri di controllo abilitano i tipi di messaggi del registro eventi seguenti:

Accesso account

Convalida delle credenziali

Questa sottocategoria riporta i risultati dei test di convalida sulle credenziali inviate per una richiesta di accesso all'account utente. Questi eventi si verificano nel computer autorevole per le credenziali. Per gli account di dominio, il controller di dominio è autorevole, mentre per gli account locali il computer locale è autorevole.

Negli ambienti di dominio la maggior parte degli eventi di accesso dell'account viene registrata nel registro di sicurezza dei controller di dominio autorevoli per gli account di dominio. Tuttavia, questi eventi possono verificarsi in altri computer dell'organizzazione quando vengono usati account locali per l'accesso.

Operazioni sui ticket di servizio Kerberos

Questa sottocategoria segnala gli eventi generati dai processi di richiesta ticket Kerberos nel controller di dominio autorevole per l'account di dominio.

Servizio di autenticazione Kerberos

Questa sottocategoria segnala gli eventi generati dal servizio di autenticazione Kerberos. Questi eventi si verificano nel computer autorevole per le credenziali.

Altri eventi di accesso all'account

Questa sottocategoria segnala gli eventi che si verificano in risposta alle credenziali inviate per una richiesta di accesso all'account utente che non sono correlate alla convalida delle credenziali o ai ticket Kerberos. Questi eventi si verificano nel computer autorevole per le credenziali. Per gli account di dominio, il controller di dominio è autorevole, mentre per gli account locali il computer locale è autorevole.

Negli ambienti di dominio la maggior parte degli eventi di accesso agli account viene registrata nel registro di sicurezza dei controller di dominio autorevoli per gli account di dominio. Tuttavia, questi eventi possono verificarsi in altri computer dell'organizzazione quando vengono usati account locali per l'accesso. Di seguito sono riportati alcuni esempi:

  • Servizi Desktop remoto disconnessioni della sessione
  • Nuove Servizi Desktop remoto sessioni
  • Blocco e sblocco di una workstation
  • Chiamata di un screen saver
  • Chiusura di un screen saver
  • Rilevamento di un attacco di riesecuzione Kerberos, in cui una richiesta Kerberos con informazioni identiche viene ricevuta due volte
  • Accesso a una rete wireless concessa a un account utente o computer
  • Accesso a una rete cablata 802.1x concessa a un account utente o computer

Gestione account

Gestione account utente

Questa sottocategoria segnala ogni evento di gestione degli account utente, ad esempio quando un account utente viene creato, modificato o eliminato; un account utente viene rinominato, disabilitato o abilitato. oppure una password viene impostata o modificata. Se questa impostazione dei criteri di controllo è abilitata, gli amministratori possono tenere traccia degli eventi per rilevare la creazione dannosa, accidentale e autorizzata di account utente.

Gestione account computer

Questa sottocategoria segnala ogni evento di gestione degli account computer, ad esempio quando un account computer viene creato, modificato, eliminato, rinominato, disabilitato o abilitato.

Gestione dei gruppi di sicurezza

Questa sottocategoria segnala ogni evento di gestione dei gruppi di sicurezza, ad esempio quando un gruppo di sicurezza viene creato, modificato o eliminato o quando un membro viene aggiunto o rimosso da un gruppo di sicurezza. Se questa impostazione dei criteri di controllo è abilitata, gli amministratori possono tenere traccia degli eventi per rilevare la creazione dannosa, accidentale e autorizzata degli account del gruppo di sicurezza.

Gestione dei gruppi di distribuzione

Questa sottocategoria segnala ogni evento di gestione dei gruppi di distribuzione, ad esempio quando un gruppo di distribuzione viene creato, modificato o eliminato o quando un membro viene aggiunto o rimosso da un gruppo di distribuzione. Se questa impostazione dei criteri di controllo è abilitata, gli amministratori possono tenere traccia degli eventi per rilevare la creazione dannosa, accidentale e autorizzata di account di gruppo.

Gestione dei gruppi di applicazioni

Questa sottocategoria segnala ogni evento di gestione dei gruppi di applicazioni in un computer, ad esempio quando un gruppo di applicazioni viene creato, modificato o eliminato o quando un membro viene aggiunto o rimosso da un gruppo di applicazioni. Se questa impostazione dei criteri di controllo è abilitata, gli amministratori possono tenere traccia degli eventi per rilevare la creazione dannosa, accidentale e autorizzata degli account del gruppo di applicazioni.

Altri eventi di gestione degli account

Questa sottocategoria segnala altri eventi di gestione degli account.

Rilevamento dettagliato dei processi

Creazione del processo

Questa sottocategoria indica la creazione di un processo e il nome dell'utente o del programma che lo ha creato.

Terminazione del processo

Questa sottocategoria segnala quando termina un processo.

Attività DPAPI

Questa sottocategoria segnala la crittografia o la decrittografia delle chiamate nell'interfaccia DPAPI (Data Protection Application Programming Interface). DPAPI viene usato per proteggere le informazioni segrete, ad esempio le informazioni sulla password archiviata e sulla chiave.

Eventi RPC

Questa sottocategoria segnala gli eventi di connessione RPC (Remote Procedure Call).

Accesso al servizio directory

Accesso al servizio directory

Questa sottocategoria segnala quando si accede a un oggetto di Servizi di dominio Active Directory. Solo gli oggetti con SACL configurati generano eventi di controllo e solo quando vi si accede in modo che corrispondano alle voci SACL. Questi eventi sono simili agli eventi di accesso al servizio directory nelle versioni precedenti di Windows Server. Questa sottocategoria si applica solo ai controller di dominio.

Modifiche al servizio directory

Questa sottocategoria segnala le modifiche agli oggetti in Servizi di dominio Active Directory. I tipi di modifiche segnalate sono le operazioni di creazione, modifica, spostamento e annullamento dell'eliminazione eseguite su un oggetto. Il controllo delle modifiche del servizio directory, se appropriato, indica i valori vecchi e nuovi delle proprietà modificate degli oggetti modificati. Solo gli oggetti con SACL generano eventi di controllo e solo quando vi si accede in modo che corrispondano alle voci SACL. Alcuni oggetti e proprietà non causano la generazione di eventi di controllo a causa delle impostazioni nella classe di oggetti nello schema. Questa sottocategoria si applica solo ai controller di dominio.

Replica servizio directory

Questa sottocategoria segnala quando inizia e termina la replica tra due controller di dominio.

Replica dettagliata del servizio directory

Questa sottocategoria riporta informazioni dettagliate sulle informazioni replicate tra i controller di dominio. Questi eventi possono avere un volume molto elevato.

Accesso/Disconnessione

Accesso

Questa sottocategoria segnala quando un utente tenta di accedere al sistema. Questi eventi si verificano nel computer a cui si accede. Per gli accessi interattivi, la generazione di questi eventi si verifica nel computer a cui è stato eseguito l'accesso. Se viene eseguito un accesso di rete per accedere a una condivisione, questi eventi vengono generati nel computer che ospita la risorsa a cui si accede. Se questa impostazione è configurata su Nessuncontrollo , è difficile o impossibile determinare quale utente ha eseguito l'accesso o ha tentato di accedere ai computer dell'organizzazione.

Server dei criteri di rete

Questa sottocategoria segnala gli eventi generati dalle richieste di accesso utente RADIUS (IAS) e Protezione accesso alla rete (NAP). Queste richieste possono essere Grant,Deny,Discard,Quarantine,Locke Unlock. Il controllo di questa impostazione comporta un volume medio o elevato di record nei server NPS e IAS.

Modalità principale IPsec

Questa sottocategoria riporta i risultati del protocollo IKE (Internet Key Exchange) e Authenticated Internet Protocol (AuthIP) durante le negoziazioni in modalità principale.

Modalità estesa IPsec

Questa sottocategoria segnala i risultati di AuthIP durante le negoziazioni in modalità estesa.

Altri eventi di accesso/disconnessione

Questa sottocategoria segnala altri eventi correlati all'accesso e alla disconnessione, ad esempio la disconnessione e la riconnessione di una sessione di Servizi Desktop remoto, l'uso di RunAs per eseguire processi con un account diverso e il blocco e lo sblocco di una workstation.

Disconnessione

Questa sottocategoria segnala quando un utente si disconnette dal sistema. Questi eventi si verificano nel computer a cui si accede. Per gli accessi interattivi, la generazione di questi eventi si verifica nel computer a cui è stato eseguito l'accesso. Se viene eseguito un accesso di rete per accedere a una condivisione, questi eventi vengono generati nel computer che ospita la risorsa a cui si accede. Se questa impostazione è configurata su Nessuncontrollo , è difficile o impossibile determinare quale utente ha eseguito l'accesso o ha tentato di accedere ai computer dell'organizzazione.

Blocco account

Questa sottocategoria segnala quando l'account di un utente viene bloccato a causa di troppi tentativi di accesso non riusciti.

Modalità rapida IPsec

Questa sottocategoria segnala i risultati del protocollo IKE e di AuthIP durante le negoziazioni in modalità rapida.

Accesso speciale

Questa sottocategoria segnala quando viene usato un accesso speciale. Un accesso speciale è un accesso con privilegi equivalenti di amministratore e che può essere usato per elevare un processo a un livello superiore.

Modifica dei criteri

Modifica dei criteri di controllo

Questa sottocategoria segnala le modifiche ai criteri di controllo, incluse le modifiche saCL.

Modifica dei criteri di autenticazione

Questa sottocategoria segnala le modifiche nei criteri di autenticazione.

Modifica dei criteri di autorizzazione

Questa sottocategoria segnala le modifiche ai criteri di autorizzazione, incluse le modifiche delle autorizzazioni (DACL).

Modifica dei criteri Rule-Level MPSSVC

Questa sottocategoria segnala le modifiche alle regole dei criteri usate dal Servizio di protezione Microsoft (MPSSVC.exe). Questo servizio viene usato da Windows Firewall.

Applicazione di filtri alla modifica dei criteri della piattaforma

Questa sottocategoria segnala l'aggiunta e la rimozione di oggetti dal WFP, inclusi i filtri di avvio. Questi eventi possono avere un volume molto elevato.

Altri eventi di modifica dei criteri

Questa sottocategoria segnala altri tipi di modifiche ai criteri di sicurezza, ad esempio la configurazione dei provider di Trusted Platform Module (TPM) o di crittografia.

Uso dei privilegi

Uso dei privilegi sensibili

Questa sottocategoria segnala quando un account utente o un servizio usa un privilegio sensibile. Un privilegio sensibile include i diritti utente seguenti: agire come parte del sistema operativo, eseguire il backup di file e directory, creare un oggetto token, eseguire il debug di programmi, abilitare gli account computer e utente attendibili per la delega, generare controlli di sicurezza, rappresentare un client dopo l'autenticazione, caricare e scaricare driver di dispositivo, gestire il controllo e il log di sicurezza, modificare i valori dell'ambiente firmware, sostituire un token a livello di processo, ripristinare file e directory e assumere la proprietà di file o altri oggetti. Il controllo di questa sottocategoria creerà un volume elevato di eventi.

Uso dei privilegi senza distinzione tra maiuscole e minuscole

Questa sottocategoria segnala quando un account utente o un servizio usa un privilegio non distinzione tra maiuscole e minuscole. Un privilegio senza distinzione include i diritti utente seguenti: accesso Gestione credenziali come chiamante attendibile, accesso al computer dalla rete, aggiunta di workstation al dominio, modifica delle quote di memoria per un processo, consentire l'accesso locale, consentire l'accesso tramite Servizi Desktop remoto, ignorare il controllo di attraversamento, modificare l'ora di sistema, creare un file di paging, creare oggetti globali, creare oggetti condivisi permanenti, creare collegamenti simbolici, negare l'accesso al computer dalla rete, negare l'accesso come processo batch, negare l'accesso come servizio, negare l'accesso in locale, negare l'accesso tramite Servizi Desktop remoto, forzare l'arresto da un sistema remoto, aumentare un working set di processo, aumentare la priorità di pianificazione, bloccare le pagine in memoria, accedere come processo batch, accedere come servizio, modificare l'etichetta di un oggetto, eseguire attività di manutenzione del volume, profilare un singolo processo, profilare le prestazioni del sistema, rimuovere il computer dall'alloggiamento di espansione, arrestare il sistema e sincronizzare i dati del servizio directory. Il controllo di questa sottocategoria creerà un volume molto elevato di eventi.

Altri eventi di utilizzo dei privilegi

Questa impostazione dei criteri di sicurezza non è attualmente usata.

Accesso a oggetti

File system

Questa sottocategoria segnala quando file system a cui si accede agli oggetti. Solo file system oggetti con SACL causano la generazione di eventi di controllo e solo quando vi si accede in modo corrispondente alle voci SACL. Di per sé, questa impostazione dei criteri non causerà il controllo di alcun evento. Determina se controllare l'evento di un utente che accede a un oggetto file system con un elenco di controllo di accesso di sistema (SACL) specificato, abilitando in modo efficace l'esecuzione del controllo.

Se l'impostazione audit object access è configurata su Success, viene generata una voce di controllo ogni volta che un utente accede a un oggetto con un SACL specificato. Se questa impostazione dei criteri è configurata su Failure, viene generata una voce di controllo ogni volta che un utente ha esito negativo nel tentativo di accedere a un oggetto con un SACL specificato.

Registro

Questa sottocategoria segnala quando si accede agli oggetti del Registro di sistema. Solo gli oggetti del Registro di sistema con SACL causano la generazione di eventi di controllo e solo quando vi si accede in modo corrispondente alle voci SACL. Di per sé, questa impostazione dei criteri non causerà il controllo di alcun evento.

Oggetto kernel

Questa sottocategoria segnala quando si accede a oggetti del kernel, ad esempio processi e mutex. Solo gli oggetti kernel con SACL causano la generazione di eventi di controllo e solo quando vi si accede in modo corrispondente alle voci SACL. In genere agli oggetti kernel vengono dati saCL solo se sono abilitate le opzioni di controllo AuditBaseObjects o AuditBaseDirectories.

SAM

Questa sottocategoria segnala quando si accede agli oggetti di database di autenticazione sam (Security Accounts Manager) locali.

Servizi di certificazione

Questa sottocategoria segnala quando vengono eseguite le operazioni di Servizi di certificazione.

Generato dall'applicazione

Questa sottocategoria segnala quando le applicazioni tentano di generare eventi di controllo usando Windows api (APPLICATION Programming Interface) di controllo.

Gestire la manipolazione

Questa sottocategoria segnala quando un handle per un oggetto viene aperto o chiuso. Solo gli oggetti con SACL generano questi eventi e solo se l'operazione di gestione tentata corrisponde alle voci SACL. Gli eventi handle manipulation vengono generati solo per i tipi di oggetto in cui è abilitata la sottocategoria di accesso agli oggetti corrispondente, ad esempio file system o registro.

Condivisione file

Questa sottocategoria segnala quando si accede a una condivisione file. Di per sé, questa impostazione dei criteri non causerà il controllo di alcun evento. Determina se controllare l'evento di un utente che accede a un oggetto condivisione file con un elenco di controllo di accesso di sistema (SACL) specificato, abilitando in modo efficace l'esecuzione del controllo.

Filtro dell'eliminazione dei pacchetti della piattaforma

Questa sottocategoria segnala quando i pacchetti vengono eliminati Windows Filtering Platform (WFP). Questi eventi possono avere un volume molto elevato.

Filtro della connessione alla piattaforma

Questa sottocategoria segnala quando le connessioni sono consentite o bloccate dal WFP. Questi eventi possono avere un volume elevato.

Altri eventi di accesso agli oggetti

Questa sottocategoria segnala altri eventi correlati all'accesso agli oggetti, ad esempio Utilità di pianificazione processi e oggetti COM+.

Sistema

Modifica dello stato di sicurezza

Questa sottocategoria segnala le modifiche dello stato di sicurezza del sistema, ad esempio quando il sottosistema di sicurezza viene avviato e arrestato.

Estensione del sistema di sicurezza

Questa sottocategoria segnala il caricamento del codice di estensione, ad esempio i pacchetti di autenticazione dal sottosistema di sicurezza.

Integrità del sistema

Questa sottocategoria segnala le violazioni dell'integrità del sottosistema di sicurezza.

IPsec Driver

Questa sottocategoria segnala le attività del driver IPsec (Internet Protocol Security).

Altri eventi di sistema

Questa sottocategoria segnala altri eventi di sistema.

Per altre informazioni sulle descrizioni delle sottocategorie, vedere lo strumento Microsoft Security Compliance Manager.

Ogni organizzazione deve esaminare le categorie e le sottocategorie coperte precedenti e abilitare quelle che meglio si adattano al proprio ambiente. Le modifiche ai criteri di controllo devono sempre essere testate prima della distribuzione in un ambiente di produzione.

Configurazione dei Windows di controllo

Windows i criteri di controllo possono essere impostati usando criteri di gruppo, auditpol.exe, API o modifiche del Registro di sistema. I metodi consigliati per la configurazione dei criteri di controllo per la maggior parte delle aziende sono Criteri di gruppo o auditpol.exe. L'impostazione dei criteri di controllo di un sistema richiede le autorizzazioni dell'account a livello di amministratore o le autorizzazioni delegate appropriate.

Nota

Il privilegio Gestione controllo e registro di sicurezza deve essere assegnato alle entità di sicurezza (gli amministratori lo dispongono per impostazione predefinita) per consentire la modifica delle opzioni di controllo di accesso agli oggetti delle singole risorse, ad esempio file, oggetti di Active Directory e chiavi del Registro di sistema.

Impostazione Windows criteri di controllo tramite Criteri di gruppo

Per impostare i criteri di controllo usando i criteri di gruppo, configurare le categorie di controllo appropriate in Configurazione computer\Windows Impostazioni\Sicurezza Impostazioni\Criteri locali\Criteri di controllo (vedere lo screenshot seguente per un esempio di Editor Criteri di gruppo locali (gpedit.msc)). Ogni categoria di criteri di controllo può essere abilitata per gli eventi Success,Failureo Success e Failure.

monitoring AD

I criteri di controllo avanzati possono essere impostati tramite Active Directory o criteri di gruppo locali. Per impostare i criteri di controllo avanzati, configurare le sottocategorie appropriate in Configurazione computer\Windows Impostazioni\Sicurezza Impostazioni\Criteri di controllo avanzati (vedere lo screenshot seguente per un esempio di Editor Criteri di gruppo locali (gpedit.msc)). Ogni sottocategoria dei criteri di controllo può essere abilitata per gli eventi Success,Failureo Success e Failure.

Screenshot that shows an example from the Local Group Policy Editor (gpedit.msc).

Impostazione Windows criteri di controllo usando Auditpol.exe

Auditpol.exe (per l'impostazione Windows criteri di controllo) è stato introdotto in Windows Server 2008 e Windows Vista. Inizialmente, è possibile usare solo auditpol.exe per impostare i criteri di controllo avanzati, ma Criteri di gruppo può essere usato in Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008, Windows 8 e Windows 7.

Auditpol.exe è un'utilità della riga di comando. La sintassi è la seguente:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe esempi di sintassi:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Nota

Auditpol.exe imposta criteri di controllo avanzati in locale. Se i criteri locali sono in conflitto con Active Directory o l'Criteri di gruppo locale, Criteri di gruppo in genere si verificano auditpol.exe impostazioni. Quando esistono più conflitti di criteri locali o di gruppo, solo un criterio verrà sostituito. I criteri di controllo non verranno uniti.

Scripting Auditpol

Microsoft fornisce uno script di esempio per gli amministratori che vogliono impostare i criteri di controllo avanzati usando uno script invece di digitare manualmente in ogni auditpol.exe comando.

Nota Criteri di gruppo non sempre segnala in modo accurato lo stato di tutti i criteri di controllo abilitati, auditpol.exe non lo fa. Per altri dettagli, vedere Getting the Effective Audit Policy in Windows 7 and Windows 2008 R2 (Ottenere i criteri di controllo effettivi in Windows 7 e Windows 2008 R2).

Altri comandi di Auditpol

Auditpol.exe può essere usato per salvare e ripristinare un criterio di controllo locale e per visualizzare altri comandi correlati al controllo. Ecco gli altri comandi auditpol.

auditpol /clear - Usato per cancellare e reimpostare i criteri di controllo locali

auditpol /backup /file:<filename> - Usato per eseguire il backup di un criterio di controllo locale corrente in un file binario

auditpol /restore /file:<filename> - Usato per importare un file dei criteri di controllo salvato in precedenza in un criterio di controllo locale

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - Se questa impostazione dei criteri di controllo è abilitata, il sistema si arresta immediatamente (con il messaggio STOP: C0000244 {Audit Failed} ) se non è possibile eseguire la registrazione di un controllo di sicurezza per qualsiasi motivo. In genere, non è possibile registrare un evento quando il log di controllo di sicurezza è pieno e il metodo di conservazione specificato per il registro di sicurezza è Non sovrascrivere eventi o Sovrascrivi eventi per giorni. In genere è abilitata solo da ambienti che necessitano di una garanzia più elevata che il registro di sicurezza sta registrando. Se abilitata, gli amministratori devono controllare attentamente le dimensioni dei log di sicurezza e ruotare i log in base alle esigenze. Può anche essere impostata con Criteri di gruppo modificando l'opzione di sicurezza Audit: Shut down system immediately if unable to log security audits (default=disabled) (Controllo: Arresta il sistema immediatamente se non è possibile registrare i controlli di sicurezza) (impostazione predefinita=disabilitata).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - Questa impostazione dei criteri di controllo determina se controllare l'accesso degli oggetti di sistema globali. Se questo criterio è abilitato, determina la creazione di oggetti di sistema, ad esempio mutex, eventi, semafori e dispositivi DOS con un elenco di controllo di accesso di sistema (SACL) predefinito. La maggior parte degli amministratori considera troppo "rumoroso" il controllo degli oggetti di sistema globali e lo abilita solo se si sospetta un attacco dannoso. Solo agli oggetti denominati viene assegnato un SACL. Se è abilitato anche il criterio audit object access audit (o sottocategoria kernel object audit), l'accesso a questi oggetti di sistema viene controllati. Quando si configura questa impostazione di sicurezza, le modifiche avranno effetto solo dopo il riavvio Windows. Questo criterio può essere impostato anche con Criteri di gruppo modificando l'opzione di sicurezza Controlla l'accesso degli oggetti di sistema globali (impostazione predefinita=disabilitata).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - Questa impostazione dei criteri di controllo specifica che agli oggetti kernel denominati (ad esempio mutex e semafori) devono essere dati gli SCL al momento della creazione. AuditBaseDirectories influisce sugli oggetti contenitore, mentre AuditBaseObjects influisce sugli oggetti che non possono contenere altri oggetti.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Questa impostazione dei criteri di controllo specifica se il client genera un evento quando uno o più di questi privilegi vengono assegnati a un token di sicurezza utente: AssignPrimaryTokenPrivilege, AuditPrivilege, BackupPrivilege, CreateTokenPrivilege, DebugPrivilege, EnableDelegationPrivilege, ImpersonatePrivilege, LoadDriverPrivilege, RestorePrivilege, SecurityPrivilege, SystemEnvironmentPrivilege, TakeOwnershipPrivilege e TcbPrivilege. Se questa opzione non è abilitata (impostazione predefinita=Disabilitata), i privilegi BackupPrivilege e RestorePrivilege non vengono registrati. L'abilitazione di questa opzione può rendere il registro di sicurezza estremamente rumoroso (a volte centinaia di eventi al secondo) durante un'operazione di backup. Questo criterio può essere impostato anche con Criteri di gruppo modificando l'opzione di sicurezza Audit: Audit the use of Backup and Restore privilege.

Nota

Alcune informazioni fornite qui sono state fornite da Microsoft Audit Option Type e dallo strumento Microsoft SCM.

Applicazione del controllo tradizionale o del controllo avanzato

In Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 e Windows Vista, gli amministratori possono scegliere di abilitare le nove categorie tradizionali o di usare le sottocategorie. Si tratta di una scelta binaria che deve essere effettuata in ogni Windows sistema. Le categorie principali possono essere abilitate o le sottocategorie, non possono essere entrambe.

Per impedire ai criteri di categoria tradizionali legacy di sovrascrivere le sottocategorie dei criteri di controllo, è necessario abilitare l'impostazione forzata delle impostazioni della sottocategoria dei criteri di controllo (Windows Vista o versioni successive) per sostituire l'impostazione dei criteri di controllo delle impostazioni delle categorie di criteri in Configurazione computer\Windows Impostazioni\Security Impostazioni\Criteri locali\ Opzioni di sicurezza.

È consigliabile che le sottocategorie siano abilitate e configurate al posto delle nove categorie principali. A questo scopo, è necessario che sia abilitata un'impostazione di Criteri di gruppo (per consentire alle sottocategorie di eseguire l'override delle categorie di controllo) insieme alla configurazione delle diverse sottocategorie che supportano i criteri di controllo.

Le sottocategorie di controllo possono essere configurate usando diversi metodi, tra cui Criteri di gruppo e il programma da riga di comando, auditpol.exe.

Passaggi successivi