Monitoraggio dei segnali di compromissione di Active Directory
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Legge numero cinque: la vigilanza eterna è il prezzo della sicurezza. - 10 leggi immutabili dell'amministrazione della sicurezza
Un solido sistema di monitoraggio dei registri eventi è una parte fondamentale di qualsiasi progettazione sicura di Active Directory. Molti compromessi per la sicurezza dei computer potrebbero essere individuati all'inizio dell'evento se le destinazioni applicassero il monitoraggio e gli avvisi appropriati del registro eventi. Alcuni rapporti indipendenti sostengono da tempo questa conclusione. Ad esempio, il report sulla violazione dei dati 2009 di Verizon dichiara:
"L'apparente inefficacia del monitoraggio degli eventi e dell'analisi dei log continua ad essere un po' un enigma. Esiste l'opportunità di rilevare tali eventi. Gli investigatori hanno notato che il 66% delle vittime avevano prove a sufficienza nei loro registri per rendersi conto della violazione se fossero stati più diligenti nell'analizzare tali risorse."
Questa mancanza di monitoraggio dei registri eventi attivi rimane un punto debole costante nei piani di difesa della sicurezza di molte aziende. Il report sulla violazione dei dati 2012 di Verizon ha rilevato che anche se nell'85% dei casi sono servite diverse settimane prima che le violazioni fossero notate, l'84% delle vittime aveva prove della violazione nei registri eventi.
Criteri di controllo di Windows
Di seguito sono riportati i collegamenti al blog del supporto tecnico Microsoft ufficiale per le aziende. Il contenuto di questi blog fornisce consigli, indicazioni e consigli sul controllo per aiutare ad aumentare la sicurezza dell'infrastruttura Active Directory ed è una risorsa preziosa quando si progettano criteri di controllo.
- Vantaggi del controllo di accesso agli oggetti globale - Descrive un meccanismo di controllo denominato Configurazione avanzata dei criteri di controllo aggiunto a Windows 7 e Windows Server 2008 R2 che consente di impostare i tipi di dati che si desidera controllare facilmente senza doversi destreggiare tra script e auditpol.exe.
- Introduzione alle modifiche di controllo in Windows 2008 - Introduce le modifiche di controllo apportate in Windows Server 2008.
- Suggerimenti utili per il controllo in Vista e 2008 - Spiega le interessanti funzionalità di controllo di Windows Vista e Windows Server 2008 che è possibile usare per risolvere i problemi o vedere cosa accade nell'ambiente.
- Punto di accesso centralizzato per il controllo in Windows Server 2008 e Windows Vista - Contiene una raccolta di informazioni e funzionalità di controllo di Windows Server 2008 e Windows Vista.
I collegamenti seguenti forniscono informazioni sui miglioramenti al controllo di Windows in Windows 8 e Windows Server 2012 e informazioni sul controllo di Active Directory Domain Services in Windows Server 2008.
- Novità del controllo della sicurezza - Offre una panoramica delle nuove funzionalità di controllo sicurezza di Windows 8 e Windows Server 2012.
- Guida dettagliata al controllo di Active Directory Domain Services - Descrive la nuova funzionalità di controllo di Active Directory Domain Services in Windows Server 2008. Fornisce inoltre procedure per implementare questa nuova funzionalità.
Categorie di controllo di Windows
Prima di Windows Vista e Windows Server 2008, Windows aveva solo nove categorie di criteri di controllo del registro eventi:
- Eventi accesso account
- Gestione degli account
- Accesso al servizio directory
- Eventi di accesso
- Accesso agli oggetti
- Modifica criteri
- Utilizzo privilegi
- Tracciamento dei processi
- Eventi di sistema
Queste nove categorie di controllo tradizionali costituiscono un criterio di controllo. Ogni categoria dei criteri di controllo può essere abilitata per eventi di tipo Esito positivo, Esito negativo o Esito positivo e negativo. Le descrizioni sono incluse nella prossima sezione.
Descrizioni delle categorie dei criteri di controllo
Le categorie dei criteri di controllo consentono i tipi di messaggio del registro eventi seguenti.
Controlla eventi accesso account
Controlla eventi accesso account segnala ogni istanza di un'entità di sicurezza (ad esempio, utente, computer o account del servizio) che accede o disconnette da un computer quando viene usato un altro computer per convalidare l'account. Gli eventi di accesso all'account vengono generati quando un account dell'entità di sicurezza di dominio viene autenticato in un controller di dominio. L'autenticazione di un utente locale in un computer locale genera un evento di accesso registrato nel log di sicurezza locale. Non vengono registrati eventi di disconnessione dall'account.
Questa categoria genera un sacco di "rumore" perché Windows ha costantemente account che accedono e si disconnettono dai computer locali e remoti durante il normale corso di attività. Nonostante questo inconveniente, ogni piano di sicurezza deve includere l'esito positivo e negativo di questa categoria di controllo.
Controlla gestione degli account
Questa impostazione di controllo determina se tenere traccia della gestione di utenti e gruppi. Ad esempio, occorre tenere traccia di utenti e gruppi quando un account computer o utente, un gruppo di sicurezza o un gruppo di distribuzione viene creato, modificato o eliminato. Occorre tenere traccia di utenti e gruppi anche quando un account computer o utente viene rinominato, disabilitato o abilitato e quando viene modificata una password utente o computer. Un evento può essere generato per utenti o gruppi aggiunti o rimossi da altri gruppi.
Controlla Accesso al servizio directory
Questa impostazione di criterio determina se controllare l'accesso dell'entità di sicurezza a un oggetto Active Directory per il quale è specificato un elenco di controllo di accesso di sistema. In generale questa categoria deve essere abilitata solo nei controller di dominio. Se abilitata, questa impostazione genera un sacco di "rumore".
Controlla eventi di accesso
Gli eventi di accesso vengono generati quando un'entità di sicurezza locale viene autenticata in un computer locale. Gli eventi di accesso registrano gli accessi al dominio che si verificano nel computer locale. Non vengono registrati eventi di accesso all'account. Se abilitato, Eventi di accesso genera un sacco di "rumore", ma questo criterio deve comunque essere abilitato per impostazione predefinita in qualsiasi piano di controllo di sicurezza.
Controlla accesso agli oggetti
Accesso agli oggetti può generare eventi quando viene eseguito l'accesso a oggetti definiti successivamente con controllo abilitato, ad esempio Aperto, Letto, Rinominato, Eliminato o Chiuso. Dopo l'abilitazione della categoria di controllo principale, l'amministratore deve definire singolarmente su quali oggetti sarà abilitato il controllo. Molti oggetti di sistema di Windows sono dotati di controllo abilitato, quindi l'abilitazione di questa categoria inizierà solitamente a generare eventi prima che l'amministratore ne abbia definiti.
Questa categoria è molto "rumorosa" e genererà da 5 a 10 eventi per ogni accesso a un oggetto. Per gli amministratori che non hanno familiarità con il controllo degli oggetti può essere difficile ottenere informazioni utili. Il controllo deve essere abilitato solo quando necessario.
Controlla modifica ai criteri
Questa impostazione di criterio determina se controllare ogni incidenza di una modifica sui criteri di assegnazione dei diritti utente, sui criteri di Windows Firewall, sui criteri di attendibilità o sulle modifiche ai criteri di controllo. Questa categoria deve essere abilitata in tutti i computer. Genera molto poco "rumore".
Controlla uso dei privilegi
In Windows sono disponibili decine di diritti utente e autorizzazioni (ad esempio, Accesso come processo batch e Agire come parte del sistema operativo). Questa impostazione di criterio determina se controllare ogni istanza di un'entità di sicurezza esercitando il diritto o il privilegio di un utente. L'abilitazione di questa categoria comporta un sacco di "rumore", ma può essere utile per tenere traccia degli account delle entità di sicurezza che usano privilegi elevati.
Controlla tracciamento dei processi
Questa impostazione di criterio determina se controllare informazioni dettagliate sul tracciamento dei processi per eventi come l'attivazione del programma, l'uscita dal processo, la gestione della duplicazione e l'accesso indiretto agli oggetti. È utile per tenere traccia degli utenti malintenzionati e dei programmi che usano.
L'abilitazione di Controlla tracciamento dei processi genera un numero elevato di eventi, pertanto in genere è impostata su Nessun controllo. Tuttavia, questa impostazione può offrire un grande vantaggio durante una risposta agli eventi imprevisti dal log dettagliato dei processi avviati e dal momento in cui sono stati avviati. Per i controller di dominio e altri server dell'infrastruttura a ruolo singolo, questa categoria può essere sempre attivata in modo sicuro. I server a ruolo singolo non generano molto traffico di rilevamento dei processi durante il normale corso dei compiti. Di conseguenza, possono essere abilitati in modo da acquisire eventi non autorizzati, se si verificano.
Controlla eventi di sistema
Eventi di sistema è quasi una categoria che include tutto, registrando vari eventi che influiscono sul computer, sulla sicurezza del sistema o sul log di sicurezza. Include eventi per gli arresti e i riavvii del computer, gli errori di alimentazione, le modifiche all'ora di sistema, le inizializzazioni dei pacchetti di autenticazione, le cancellazioni del log di controllo, i problemi di rappresentazione e un host di altri eventi generali. In generale, l'abilitazione di questa categoria di controllo genera un sacco di "rumore", ma genera un numero sufficiente di eventi molto utili, quindi è difficile consigliare di non abilitarlo.
Criteri di controllo avanzati
A partire da Windows Vista e Windows Server 2008, Microsoft ha migliorato il modo in cui vengono effettuate le selezioni delle categorie del registro eventi, creando sottocategorie in ogni categoria di controllo principale. Le sottocategorie consentono un controllo più granulare di quello che sarebbe possibile ottenere usando le categorie principali. Usando le sottocategorie, è possibile abilitare solo parti di una determinata categoria principale e ignorare la generazione di eventi che non sono utili. Ogni sottocategoria dei criteri di controllo può essere abilitata per eventi di tipo Esito positivo, Esito negativo o Esito positivo e negativo.
Per elencare tutte le sottocategorie di controllo disponibili, esaminare il contenitore Criteri di controllo avanzati in un oggetto Criteri di gruppo o digitare il comando seguente in qualsiasi computer che esegue Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 o Windows Vista:
auditpol /list /subcategory:*
Per ottenere un elenco delle sottocategorie di controllo attualmente configurate in un computer che esegue Windows Server 2012, Windows Server 2008 R2 o Windows 2008, digitare il comando seguente:
auditpol /get /category:*
Lo screenshot seguente mostra un esempio di auditpol.exe che elenca i criteri di controllo correnti.
Nota
Criteri di gruppo non segnala sempre con precisione lo stato di tutti i criteri di controllo abilitati, auditpol.exe invece lo fa. Per altri dettagli, vedere Ottenere criteri di controllo efficaci in Windows 7 e 2008 R2.
Ogni categoria principale ha più sottocategorie. Di seguito è riportato un elenco di categorie, delle relative sottocategorie e delle descrizioni delle loro funzioni.
Descrizioni delle sottocategorie di controllo
Le sottocategorie dei criteri di controllo consentono i tipi di messaggio del registro eventi seguenti:
Accesso account
Convalida delle credenziali
Questa sottocategoria segnala i risultati dei test di convalida sulle credenziali inviate per una richiesta di accesso all'account utente. Questi eventi si verificano nel computer autorevole per le credenziali. Per gli account di dominio è autorevole il controller di dominio; per gli account locali è autorevole il computer locale.
Negli ambienti di dominio la maggior parte degli eventi di accesso all'account viene registrata nel log di sicurezza dei controller di dominio autorevoli per gli account di dominio. Tuttavia, questi eventi possono verificarsi in altri computer dell'organizzazione quando vengono usati gli account locali per accedere.
Operazioni ticket di servizio Kerberos
Questa sottocategoria segnala gli eventi generati dai processi di richiesta di ticket Kerberos nel controller di dominio autorevole per l'account di dominio.
Servizio di autenticazione Kerberos
Questa sottocategoria segnala gli eventi generati dal servizio di autenticazione Kerberos. Questi eventi si verificano nel computer autorevole per le credenziali.
Altri eventi di accesso account
Questa sottocategoria segnala gli eventi che si verificano in risposta alle credenziali inviate per una richiesta di accesso all'account utente che non sono correlate alla convalida delle credenziali o ai ticket Kerberos. Questi eventi si verificano nel computer autorevole per le credenziali. Per gli account di dominio è autorevole il controller di dominio, mentre per gli account locali è autorevole il computer locale.
Negli ambienti di dominio la maggior parte degli eventi di accesso all'account viene registrata nel log di sicurezza dei controller di dominio autorevoli per gli account di dominio. Tuttavia, questi eventi possono verificarsi in altri computer dell'organizzazione quando vengono usati gli account locali per accedere. Alcuni esempi sono i seguenti:
- Disconnessioni di sessione di Servizi Desktop remoto
- Nuove sessioni Servizi Desktop remoto
- Blocco e sblocco di una workstation
- Richiamo di uno screen saver
- Ignorare uno screen saver
- Rilevamento di un attacco di riproduzione Kerberos, in cui viene ricevuta due volte una richiesta Kerberos con informazioni identiche
- Accesso a una rete wireless concesso a un account computer o utente
- Accesso a una rete 802.1x cablata concesso a un account computer o utente
Gestione degli account
Gestione degli account utente
Questa sottocategoria segnala ogni evento di gestione degli account utente, ad esempio:
- Account utente creato, modificato o eliminato
- Account utente rinominato, disabilitato o abilitato
- Password impostata o modificata
Se questa impostazione dei criteri di controllo è abilitata, gli amministratori possono tenere traccia degli eventi per rilevare la creazione dannosa, accidentale e autorizzata di account utente.
Gestione account computer
Questa sottocategoria segnala ogni evento di gestione di un account computer, ad esempio quando viene creato, modificato, eliminato, rinominato, disabilitato o abilitato.
Gestione gruppi di sicurezza
Questa sottocategoria segnala ogni evento di gestione di un gruppo di sicurezza, ad esempio quando viene creato, modificato o eliminato o quando un membro viene aggiunto o rimosso da un gruppo di sicurezza. Se questa impostazione dei criteri di controllo è abilitata, gli amministratori possono tenere traccia degli eventi per rilevare la creazione dannosa, accidentale e autorizzata di account di gruppi di sicurezza.
Gestione gruppi di distribuzione
Questa sottocategoria segnala ogni evento di gestione di un gruppo di distribuzione, ad esempio quando viene creato, modificato o eliminato o quando un membro viene aggiunto o rimosso da un gruppo di distribuzione. Se questa impostazione dei criteri di controllo è abilitata, gli amministratori possono tenere traccia degli eventi per rilevare la creazione dannosa, accidentale e autorizzata di account di gruppo.
Gestione gruppi di applicazioni
Questa sottocategoria segnala ogni evento di gestione di un gruppo di applicazioni in un computer, ad esempio quando viene creato, modificato o eliminato o quando un membro viene aggiunto o rimosso da un gruppo di applicazioni. Se questa impostazione dei criteri di controllo è abilitata, gli amministratori possono tenere traccia degli eventi per rilevare la creazione dannosa, accidentale e autorizzata di account di gruppo di applicazioni.
Altri eventi di gestione account
Questa sottocategoria segnala altri eventi di gestione degli account.
Tracciamento dettagliato dei processi
Il tracciamento dettagliato dei processi include sia la creazione che la terminazione dei processi.
Creazione dei processi
Questa sottocategoria segnala la creazione di un processo e il nome dell'utente o del programma che lo ha creato.
Terminazione dei processi
Questa sottocategoria segnala quando termina un processo.
Attività DPAPI
Questa sottocategoria segnala le chiamate di crittografia o decrittografia nell'API di protezione dati (DPAPI). DPAPI viene usata per proteggere informazioni segrete, ad esempio informazioni archiviate su password e chiavi.
Eventi RPC
Questa sottocategoria segnala gli eventi di chiamata a procedura remota (RPC).
Accesso al servizio directory
Accesso al servizio directory
Questa sottocategoria segnala quando viene eseguito l'accesso a un oggetto Active Directory Domain Services. Solo gli oggetti con elenchi di controllo di accesso di sistema determinano la generazione degli eventi di controllo e solo quando vi si accede in modo che corrisponda alle voci dell'elenco di controllo di accesso di sistema. Questi eventi sono simili agli eventi di accesso al servizio directory nelle versioni precedenti di Windows Server. Questa sottocategoria si applica solo ai controller di dominio.
Modifiche servizio directory
Questa sottocategoria segnala le modifiche apportate agli oggetti in Active Directory Domain Services. I tipi di modifiche segnalate sono operazioni di creazione, modifica, spostamento e annullamento dell'eliminazione eseguite su un oggetto. Il controllo delle modifiche del servizio directory, ove appropriato, indica i valori precedenti e nuovi delle proprietà modificate degli oggetti modificati. Solo gli oggetti con elenchi di controllo di accesso di sistema determinano la generazione degli eventi di controllo e solo quando vi si accede in modo che corrisponda alle voci dell'elenco di controllo di accesso di sistema. Alcuni oggetti e proprietà non causano la generazione di eventi di controllo a causa delle impostazioni della classe di oggetti nello schema. Questa sottocategoria si applica solo ai controller di dominio.
Replica servizio directory
Questa sottocategoria segnala quando inizia e quando termina la replica tra due controller di dominio.
Replica dettagliata servizio directory
Questa sottocategoria riporta informazioni dettagliate sulle informazioni replicate tra controller di dominio. Questi eventi possono avere un volume molto elevato.
Accesso/Fine sessione
Accesso
Questa sottocategoria segnala quando un utente tenta di accedere al sistema. Questi eventi si verificano nel computer a cui è stato eseguito l'accesso. Per gli accessi interattivi, la generazione di questi eventi si verifica nel computer a cui l'utente ha eseguito l'accesso. Se si verifica un accesso di rete per accedere a una condivisione, questi eventi vengono generati nel computer che ospita la risorsa a cui si accede. Se questa impostazione è configurata su Nessun controllo, è difficile o impossibile determinare quale utente ha eseguito l'accesso o ha tentato di accedere ai computer dell'organizzazione.
Server dei criteri di rete
Questa sottocategoria segnala gli eventi generati dalle richieste di accesso utente RADIUS (IAS) e Protezione accesso alla rete (NAP). Queste richieste possono essere Concedi, Nega, Elimina, Quarantena, Blocca e Sblocca. Il controllo di questa impostazione comporterà un volume medio o elevato di record nei server NPS e IAS.
Modalità principale IPsec
Questa sottocategoria segnala i risultati del protocollo IKE (Internet Key Exchange) e del protocollo Authenticated Internet Protocol (AuthIP) durante le trattative in modalità principale.
Modalità estesa IPsec
Questa sottocategoria segnala i risultati di AuthIP durante le trattative in modalità estesa.
Altri eventi di accesso/disconnessione
Questa sottocategoria segnala altri eventi correlati all'accesso e alla disconnessione, ad esempio la disconnessione e la riconnessione di Servizi Desktop remoto, usando RunAs per eseguire processi con un account diverso e bloccando e sbloccando una workstation.
Disconnessione
Questa sottocategoria segnala quando un utente si disconnette dal sistema. Questi eventi si verificano nel computer a cui è stato eseguito l'accesso. Per gli accessi interattivi, la generazione di questi eventi si verifica nel computer a cui l'utente ha eseguito l'accesso. Se si verifica un accesso di rete per accedere a una condivisione, questi eventi vengono generati nel computer che ospita la risorsa a cui si accede. Se questa impostazione è configurata su Nessun controllo, è difficile o impossibile determinare quale utente ha eseguito l'accesso o ha tentato di accedere ai computer dell'organizzazione.
Blocco account
Questa sottocategoria segnala quando l'account di un utente viene bloccato a causa di troppi tentativi di accesso non riusciti.
Modalità rapida IPsec
Questa sottocategoria segnala i risultati del protocollo IKE e di AuthIP durante le trattative.
Accesso speciale
Questa sottocategoria segnala quando viene usato un accesso speciale. Un accesso speciale è un accesso con privilegi equivalenti a quelli dell'amministratore e può essere usato per elevare un processo a un livello superiore.
Modifica criteri
Modifica ai criteri di controllo
Questa sottocategoria segnala le modifiche apportate ai criteri di controllo, incluse le modifiche all'elenco di controllo di accesso di sistema.
Modifica criteri di autenticazione
Questa sottocategoria segnala le modifiche apportate ai criteri di autenticazione.
Modifica criteri di autorizzazione
Questa sottocategoria segnala le modifiche apportate ai criteri di autorizzazione, incluse le modifiche alle autorizzazioni (DACL).
Modifica criteri a livello di regola MPSSVC
Questa sottocategoria segnala le modifiche apportate alle regole dei criteri usate da Microsoft Protection Service (MPSSVC.exe). Questo servizio viene usato da Windows Firewall.
Modifica criteri Piattaforma filtro Windows
Questa sottocategoria segnala l'aggiunta e la rimozione di oggetti da Piattaforma filtro Windows, inclusi i filtri di avvio. Questi eventi possono avere un volume molto elevato.
Altri eventi di modifica criteri
Questa sottocategoria segnala altri tipi di modifiche ai criteri di sicurezza, ad esempio la configurazione di Trusted Platform Module (TPM) o dei provider di crittografia.
Utilizzo privilegi
Uso dei privilegi copre sia i privilegi sensibili che i privilegi non sensibili.
Uso dei privilegi sensibili
Questa sottocategoria segnala quando un account utente o un servizio usa un privilegio sensibile. Un privilegio sensibile include i diritti utente seguenti:
- Agire come parte del sistema operativo
- Backup di file e directory
- Creare un oggetto token, eseguire il debug dei programmi
- Impostazione account computer ed utente a tipo trusted per la delega
- Rappresentare controlli di sicurezza, rappresentar un client dopo l'autenticazione
- Caricamento/rimozione di driver di dispositivo
- Gestione file registro di controllo e di sicurezza
- Modifica dei valori di ambiente firmware
- Sostituire un token a livello di processo, ripristinare file e directory
- Acquisire la proprietà di file o di altri oggetti.
Il controllo di questa sottocategoria creerà un volume elevato di eventi.
Uso dei privilegi non sensibili
Questa sottocategoria segnala quando un account utente o un servizio usa un privilegio non sensibile. Un privilegio non sensibile include i diritti utente seguenti:
- Accesso a Gestione credenziali come chiamante trusted
- Accedi al computer dalla rete
- Aggiunta di workstation al dominio
- Regolazione limite risorse memoria per un processo
- Consenti accesso locale
- Consenti accesso tramite Servizi Desktop remoto
- Ignorare controllo incrociato
- Modifica dell'orario di sistema
- Creazione di file di paging
- Creazione oggetti globali
- Creare oggetti condivisi permanenti
- Creazione di collegamenti simbolici
- Negare al computer l'accesso alla rete
- Nega accesso come processo batch
- Negare l'accesso come servizio
- Nega accesso locale
- Nega accesso tramite Servizi Desktop remoto
- Arresto forzato da un sistema remoto
- Aumento di un working set di processo
- Aumento della priorità di pianificazione
- Blocco di pagine in memoria
- Accesso come processo batch
- Accedi come servizio
- Modifica delle etichette di oggetti
- Esecuzione attività di manutenzione volume
- Creare il profilo del singolo processo
- Creare il profilo delle prestazioni del sistema
- Rimozione del computer dall'alloggiamento
- Arresto del sistema
- Sincronizzare i dati del servizio di directory.
Il controllo di questa sottocategoria creerà un volume molto elevato di eventi.
Altri eventi di uso dei privilegi
Questa impostazione dei criteri di sicurezza non viene attualmente usata.
Accesso agli oggetti
La categoria Accesso agli oggetti include le sottocategorie File System e Registro di sistema.
File system
Questa sottocategoria segnala quando viene eseguito l'accesso agli oggetti del file system. Solo gli oggetti del file system con elenchi di controllo di accesso di sistema determinano la generazione degli eventi di controllo e solo quando vi si accede in modo che corrisponda alle voci dell'elenco di controllo di accesso di sistema. Da sola, questa impostazione di criterio non causa il controllo di alcun evento. Determina se controllare l'evento di un utente che accede a un oggetto file system con un elenco di controllo di accesso di sistema specificato, consentendo in modo efficace il controllo.
Se l'impostazione di Controlla accesso agli oggetti è configurata su Esito positivo, viene generata una voce di controllo ogni volta che un utente accede correttamente a un oggetto con un elenco di controllo di accesso di sistema specificato. Se l'impostazione di questo criterio è configurata su Esito negativo, viene generata una voce di controllo ogni volta che un utente non riesce ad accede a un oggetto con un elenco di controllo di accesso di sistema specificato.
Registro
Questa sottocategoria segnala quando viene eseguito l'accesso agli oggetti del Registro di sistema. Solo gli oggetti del Registro di sistema con elenchi di controllo di accesso di sistema determinano la generazione degli eventi di controllo e solo quando vi si accede in modo che corrisponda alle voci dell'elenco di controllo di accesso di sistema. Da sola, questa impostazione di criterio non causa il controllo di alcun evento.
Oggetto kernel
Questa sottocategoria segnala quando si accede a oggetti kernel come processi e mutex. Solo gli oggetti kernel con elenchi di controllo di accesso di sistema determinano la generazione degli eventi di controllo e solo quando vi si accede in modo che corrisponda alle voci dell'elenco di controllo di accesso di sistema. In genere, agli oggetti kernel vengono assegnati solo gli elenchi di controllo di accesso di sistema se le opzioni di controllo AuditBaseObjects o AuditBaseDirectories sono abilitate.
SAM
Questa sottocategoria segnala quando si accede agli oggetti di database di autenticazione di Gestione account di sicurezza (SAM) locali.
Servizi di certificazione
Questa sottocategoria segnala quando vengono eseguite le operazioni dei servizi di certificazione.
Generati dall'applicazione
Questa sottocategoria segnala quando le applicazioni tentano di generare eventi di controllo usando le API (Application Programming Interface) di controllo di Windows.
Modifica handle
Questa sottocategoria segnala quando un handle di un oggetto viene aperto o chiuso. Solo gli oggetti con elenchi di controllo di accesso di sistema determinano la generazione di questi eventi e solo se l'operazione di handle tentata corrisponde alle voci di tale elenco. Gli eventi Modifica handle vengono generati solo per i tipi di oggetto in cui è abilitata la sottocategoria di accesso agli oggetti corrispondente, ad esempio file system o Registro di sistema.
Condivisione file
Questa sottocategoria segnala quando viene eseguito l'accesso a una condivisione file. Da sola, questa impostazione di criterio non causa il controllo di alcun evento. Determina se controllare l'evento di un utente che accede a un oggetto condivisione file con un elenco di controllo di accesso di sistema specificato, consentendo in modo efficace il controllo.
Mancata elaborazione pacchetti Piattaforma filtro Windows
Questa sottocategoria segnala quando non vengono elaborati i pacchetti Piattaforma filtro Windows. Questi eventi possono avere un volume molto elevato.
Connessione a Piattaforma filtro Windows
Questa sottocategoria segnala quando le connessioni sono consentite o bloccate da Piattaforma filtro Windows. Questi eventi possono avere un volume elevato.
Altri eventi di accesso agli oggetti
Questa sottocategoria segnala altri eventi correlati all'accesso agli oggetti, ad esempio processi dell'Utilità di pianificazione e oggetti COM+.
Sistema
Modifica stato sicurezza
Questa sottocategoria segnala le modifiche apportate allo stato di sicurezza del sistema, ad esempio all'avvio e all'arresto del sottosistema di sicurezza.
Estensione sistema di sicurezza
Questa sottocategoria segnala il caricamento del codice di estensione, ad esempio i pacchetti di autenticazione, dal sottosistema di sicurezza.
Integrità del sistema
Questa sottocategoria segnala violazioni dell'integrità del sottosistema di sicurezza.
Driver IPSec
Questa sottocategoria segnala le attività del driver Internet Protocol Security (IPSec).
Altri eventi di sistema
Questa sottocategoria segnala altri eventi di sistema.
Per altre informazioni sulle descrizioni delle sottocategorie, vedere lo strumento Microsoft Security Compliance Manager.
Ogni organizzazione deve esaminare le categorie e le sottocategorie descritte in precedenza e abilitare quelle più adatte all'ambiente. Le modifiche apportate ai criteri di controllo devono essere sempre testate prima della distribuzione in un ambiente di produzione.
Configurazione dei criteri di controllo di Windows
I criteri di controllo di Windows possono essere impostati usando criteri di gruppo, auditpol.exe, API o modifiche del Registro di sistema. I metodi consigliati per la configurazione dei criteri di controllo per la maggior parte delle aziende sono Criteri di gruppo o auditpol.exe. L'impostazione dei criteri di controllo di un sistema richiede le autorizzazioni dell'account a livello di amministratore o le autorizzazioni delegate appropriate.
Nota
Il privilegio Gestire log di controllo e log di sicurezza deve essere assegnati alle entità di sicurezza (gli amministratori ne dispongono per impostazione predefinita) per consentire la modifica delle opzioni di controllo dell'accesso agli oggetti delle singole risorse, ad esempio file, oggetti Active Directory e chiavi del Registro di sistema.
Impostazione dei criteri di controllo di Windows tramite Criteri di gruppo
Per impostare i criteri di controllo usando i criteri di gruppo, configurare le categorie di controllo appropriate disponibili in Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Criteri di controllo (vedere lo screenshot seguente per un esempio dell'Editor Criteri di gruppo locali (gpedit.msc)). Ogni categoria dei criteri di controllo può essere abilitata per eventi di tipo Esito positivo, Esito negativo o Esito positivo e negativo.
I criteri di controllo avanzati possono essere impostati tramite Active Directory o criteri di gruppo locale. Per impostare i criteri di controllo avanzati, configurare le sottocategorie appropriate disponibili in Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri di controllo avanzati (vedere lo screenshot seguente per un esempio dell'Editor Criteri di gruppo locali (gpedit.msc)). Ogni sottocategoria dei criteri di controllo può essere abilitata per eventi di tipo Esito positivo, Esito negativo o Esito positivo e negativo.
Impostazione dei criteri di controllo di Windows tramite auditpol.exe
auditpol.exe (per l'impostazione dei criteri di controllo di Windows) è stato introdotto in Windows Server 2008 e Windows Vista. Inizialmente, è possibile usare solo auditpol.exe per impostare Criteri di controllo avanzati, ma Criteri di gruppo può essere usato in Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008, Windows 8 e Windows 7.
auditpol.exe è un'utilità della riga di comando. La sintassi è la seguente:
auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>
Esempi di sintassi auditpol.exe:
auditpol /set /subcategory:"user account management" /success:enable /failure:enable
auditpol /set /subcategory:"logon" /success:enable /failure:enable
auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
Nota
auditpol.exe imposta Criteri di controllo avanzati a livello locale. Se i criteri locali sono in conflitto con Active Directory o con Criteri di gruppo locali, le impostazioni di Criteri di gruppo in genere prevalgono sulle impostazioni di auditpol.exe. Quando esistono più conflitti di criteri locali o di gruppo, prevale un solo criterio, ovvero la sostituzione. I criteri di controllo non verranno uniti.
Script dei criteri di controllo
Microsoft fornisce uno script di esempio per gli amministratori che vogliono impostare Criteri di controllo avanzati usando uno script invece che immettendo manualmente ogni comando auditpol.exe.
Nota Criteri di gruppo non segnala sempre con precisione lo stato di tutti i criteri di controllo abilitati, auditpol.exe invece lo fa. Per altri dettagli, vedere Ottenere criteri di controllo efficaci in Windows 7 e Windows 2008 R2.
Altri comandi dei criteri di controllo
auditpol.exe può essere usato per salvare e ripristinare un criterio di controllo locale e per visualizzare altri comandi correlati al controllo. Ecco altri comandi dei criteri di controllo.
auditpol /clear
- Usato per cancellare e reimpostare i criteri di controllo locali
auditpol /backup /file:<filename>
- Usato per eseguire il backup di un criterio di controllo locale corrente in un file binario
auditpol /restore /file:<filename>
- Usato per importare in un criterio di controllo locale un file di criteri di controllo salvato in precedenza
auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable>
- Se questa impostazione dei criteri di controllo è abilitata, fa sì che il sistema si arresti immediatamente (con il messaggio STOP: C0000244 {Audit Failed}) se per qualsiasi motivo non è possibile registrare un controllo di sicurezza. In genere, un evento non viene registrato quando il log di controllo di sicurezza è pieno e il metodo di conservazione specificato per il log di sicurezza è Non sovrascrivere eventi o Sovrascrivi eventi per giorni. In genere, questo criterio è abilitato solo in ambienti che richiedono una maggiore garanzia che il log di sicurezza sia registrato. Se è abilitato, gli amministratori devono controllare attentamente le dimensioni del log di sicurezza e ruotare i log in base alle esigenze. Può anche essere impostato con Criteri di gruppo modificando l'opzione di sicurezza Controllo: arresto del sistema immediato se non è possibile registrare i controlli di sicurezza (impostazione predefinita=disabilitato).
auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable>
- Questa impostazione dei criteri di controllo determina se controllare l'accesso degli oggetti di sistema globale. Se questo criterio è abilitato, determina la creazione di oggetti di sistema, ad esempio mutex, eventi, semafori e dispositivi DOS con un elenco di controllo di accesso di sistema predefinito. La maggior parte degli amministratori considera il controllo degli oggetti di sistema globali troppo "rumorosi" e lo abilita solo se sospetta un attacco dannoso. Solo agli oggetti denominati viene assegnato un elenco di controllo di accesso di sistema. Se è abilitato anche il criterio di controllo dell'accesso agli oggetti di controllo (o la sottocategoria Controllo oggetto kernel), viene controllato l'accesso a questi oggetti di sistema. Quando si configura questa impostazione di sicurezza, la modifica non avrà effetto fino al riavvio di Windows. Questo criterio può essere impostato anche con Criteri di gruppo modificando l'opzione di sicurezza Controlla l'accesso di oggetti di sistema globale (impostazione predefinita=disabilitato).
auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable>
- Questa impostazione dei criteri di controllo specifica che agli oggetti kernel denominati (ad esempio mutex e semafori) devono essere assegnati elenchi di controllo di accesso di sistema al momento della creazione. AuditBaseDirectories influisce sugli oggetti contenitore, mentre AuditBaseObjects influisce sugli oggetti che non possono contenere altri oggetti.
auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable>
- Questa impostazione dei criteri di controllo specifica se il client genera un evento quando uno o più dei privilegi seguenti vengono assegnati a un token di sicurezza dell'utente:
- AssignPrimaryTokenPrivilege
- AuditPrivilege
- BackupPrivilege
- CreateTokenPrivilege
- DebugPrivilege
- EnableDelegationPrivilege
- ImpersonatePrivilege
- LoadDriverPrivilege
- RestorePrivilege
- SecurityPrivilege
- SystemEnvironmentPrivilege
- TakeOwnershipPrivilege
- TcbPrivilege.
Se questa opzione non è abilitata (impostazione predefinita=disabilitato), i privilegi BackupPrivilege e RestorePrivilege non vengono registrati. L'abilitazione di questa opzione può rendere il log di sicurezza estremamente rumoroso (a volte centinaia di eventi al secondo) durante un'operazione di backup. Questo criterio può essere impostato anche con Criteri di gruppo modificando l'opzione di sicurezza Controllo: controlla l'utilizzo dei privilegi di backup e di ripristino.
Nota
Alcune informazioni fornite qui provengono dal Tipo di opzione di controllo di Microsoft e dallo strumento Microsoft SCM.
Applicazione del controllo tradizionale o del controllo avanzato
In Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 e Windows Vista gli amministratori possono scegliere di abilitare le nove categorie tradizionali o di usare le sottocategorie. Si tratta di una scelta binaria che deve essere effettuata in ogni sistema Windows. È possibile abilitare le categorie principali o le sottocategorie, ma non entrambe.
Per impedire ai criteri di categoria tradizionali legacy di sovrascrivere le sottocategorie dei criteri di controllo, è necessario abilitare l'impostazione dei criteri Imposizione delle impostazioni di sottocategoria del criterio di controllo (Windows Vista o versione successiva) per sostituire le impostazioni di categoria del criterio di controllo in Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza.
È consigliabile abilitare e configurare le sottocategorie anziché le nove categorie principali. Questo richiede che sia abilitata un'impostazione di Criteri di gruppo (per consentire alle sottocategorie di eseguire l'override delle categorie di controllo) insieme alla configurazione delle diverse sottocategorie che supportano i criteri di controllo.
È possibile configurare le sottocategorie di controllo usando diversi metodi, tra cui Criteri di gruppo e il programma da riga di comando auditpol.exe.