Appendice 3: Abilitare la registrazione degli eventi di integrità del codice e il controllo del sistema

Abilitare la registrazione degli eventi di integrità del codice e il controllo del sistema

Estratto daRegistrazione eventi di integrità del codice e controllo del sistema:

L'integrità del codice è il componente in modalità kernel che implementa la verifica della firma del driver. Genera eventi di sistema correlati alla verifica delle immagini e registra le informazioni nel log di integrità del codice:

  • La visualizzazione del log operativo di Integrità codice mostra solo gli eventi di errore di verifica del file immagine.

  • La visualizzazione dettagliata del log di integrità del codice mostra gli eventi delle verifiche della firma avvenute con successo.

La procedura seguente illustra come abilitare la registrazione dettagliata degli eventi di integrità del codice per visualizzare tutti gli eventi di verifica dell'immagine in modalità kernel e del caricatore del sistema operativo riusciti:

Per abilitare la registrazione dettagliata degli eventi di integrità del codice

Estratto daAbilitazione del registro di controllo eventi di sistema:

Per abilitare la registrazione dettagliata, seguire questi passaggi:

  1. Aprire una finestra del prompt dei comandi con privilegi elevati.

  2. Eseguire Eventvwr.exe nella riga di comando.

  3. Nella cartella Visualizzatore eventi nel riquadro sinistro del Visualizzatore eventi espandere la sequenza di sottocartelle seguente:

    1. Registri applicazioni e servizi

    2. Microsoft

    3. Windows

  4. Espandere la sottocartella Integrità codice nella cartella Windows per visualizzarne il menu di scelta rapida.

  5. Seleziona Visualizza.

  6. Selezionare Mostra log analitici e di debug. Visualizzatore eventi visualizzerà quindi un sottoalbero contenente una cartella Operational e una cartella Verbose .

  7. Fare clic con il pulsante destro del mouse su Verbose e quindi scegliere Proprietà dal menu di scelta rapida a comparsa.

  8. Selezionare la scheda Generale nella finestra di dialogo Proprietà e quindi selezionare l'opzione Abilita registrazione nella parte centrale della pagina delle proprietà. In questo modo verrà abilitata la registrazione dettagliata.

  9. Riavviare il computer per rendere effettive le modifiche.

È anche possibile abilitare i record degli eventi di sistema, inclusi gli eventi di errore di verifica dell'immagine di integrità del codice. Questi eventi vengono generati quando il kernel di Windows non riesce a caricare un driver a causa di un errore di firma. Eventi simili vengono registrati anche nella visualizzazione del registro degli eventi operativi di integrità del codice.

Per abilitare la politica di controllo a generare eventi di audit nella categoria di sistema per le operazioni non riuscite

Per abilitare i criteri di controllo della sicurezza per acquisire gli errori di carico nei log di controllo, seguire questa procedura:

  1. Aprire una finestra del prompt dei comandi con privilegi elevati. Per aprire una finestra del prompt dei comandi con privilegi elevati, creare un collegamento desktop per Cmd.exe, fare clic con il pulsante destro del mouse sul collegamento Cmd.exe e selezionare Esegui come amministratore.

  2. Nella finestra del prompt dei comandi con privilegi elevati eseguire il comando seguente:

    Auditpol /set /Category:System /failure:enable

  3. Riavviare il computer per rendere effettive le modifiche.

La schermata seguente illustra come usare Auditpol per abilitare il controllo della sicurezza.

screenshot della finestra del prompt dei comandi che illustra l'uso di auditpol per abilitare il controllo di sicurezza.

  • Last updated on