Provider di servizi di configurazione dei criteri - Controllo
AccountLogon_AuditCredentialValidation
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation
Questa impostazione di criterio consente di controllare gli eventi generati dai test di convalida sulle credenziali di accesso dell'account utente. Gli eventi in questa sottocategoria si verificano solo nel computer autorevole per tali credenziali. Per gli account di dominio, il controller di dominio è autorevole. Per gli account locali, il computer locale è autorevole.
Volume: elevato nei controller di dominio.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controllare la convalida delle credenziali |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Accesso dell'account criteri > di controllo del sistema |
AccountLogon_AuditKerberosAuthenticationService
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService
Questa impostazione di criterio consente di controllare gli eventi generati dalle richieste TGT (Ticket Granting Ticket) di autenticazione Kerberos.
Se si configura questa impostazione di criterio, viene generato un evento di controllo dopo una richiesta TGT di autenticazione Kerberos. I controlli riusciti registrano le richieste riuscite e i controlli degli errori registrano le richieste non riuscite.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo dopo una richiesta TGT di autenticazione Kerberos.
Volume: elevato nei server del Centro distribuzione chiavi Kerberos.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Servizio di autenticazione Kerberos |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Accesso dell'account criteri > di controllo del sistema |
AccountLogon_AuditKerberosServiceTicketOperations
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations
Questa impostazione di criterio consente di controllare gli eventi generati dalle richieste TGT (Ticket Granting Ticket) di autenticazione Kerberos inviate per gli account utente.
Se si configura questa impostazione di criterio, viene generato un evento di controllo dopo la richiesta di un TGT di autenticazione Kerberos per un account utente. I controlli riusciti registrano le richieste riuscite e i controlli degli errori registrano le richieste non riuscite.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo dopo la richiesta di un TGT di autenticazione Kerberos per un account utente.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Operazioni ticket di servizio Kerberos |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Accesso dell'account criteri > di controllo del sistema |
AccountLogon_AuditOtherAccountLogonEvents
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents
Questa impostazione di criterio consente di controllare gli eventi generati dalle risposte alle richieste di credenziali inviate per l'accesso a un account utente che non sono la convalida delle credenziali o i ticket Kerberos. Attualmente, non sono presenti eventi in questa sottocategoria.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Altri eventi di accesso account |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Accesso dell'account criteri > di controllo del sistema |
AccountLogonLogoff_AuditAccountLockout
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout
Questa impostazione di criterio consente di controllare gli eventi generati da un tentativo non riuscito di accedere a un account bloccato. Se si configura questa impostazione di criterio, viene generato un evento di controllo quando un account non può accedere a un computer perché l'account è bloccato. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti. Gli eventi di accesso sono essenziali per comprendere l'attività degli utenti e per rilevare potenziali attacchi.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 (impostazione predefinita) | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Blocco account |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountLogonLogoff_AuditGroupMembership
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership
Questo criterio consente di controllare le informazioni sull'appartenenza ai gruppi nel token di accesso dell'utente. Gli eventi in questa sottocategoria vengono generati nel computer in cui viene creata una sessione di accesso. Per un accesso interattivo, l'evento di controllo della sicurezza viene generato nel computer a cui l'utente ha effettuato l'accesso. Per un accesso di rete, ad esempio l'accesso a una cartella condivisa nella rete, l'evento di controllo della sicurezza viene generato nel computer che ospita la risorsa. Quando questa impostazione è configurata, uno o più eventi di controllo di sicurezza vengono generati per ogni accesso riuscito. È anche necessario abilitare l'impostazione Audit Logon in Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff.You must also enable the Audit Logon setting under Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Se le informazioni sull'appartenenza al gruppo non possono essere incluse in un singolo evento di controllo di sicurezza, vengono generati più eventi.
Volume: basso in un computer client. Media in un controller di dominio o in un server di rete.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla appartenenza a gruppo |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountLogonLogoff_AuditIPsecExtendedMode
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode
Questa impostazione di criterio consente di controllare gli eventi generati da Internet Key Exchange Protocol (IKE) e Authenticated Internet Protocol (AuthIP) durante le negoziazioni in modalità estesa.
Se si configura questa impostazione di criterio, viene generato un evento di controllo durante una negoziazione in modalità estesa IPsec. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo durante una negoziazione in modalità estesa IPsec.
Volume: alto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Modalità estesa IPsec |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountLogonLogoff_AuditIPsecMainMode
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode
Questa impostazione di criterio consente di controllare gli eventi generati da Internet Key Exchange Protocol (IKE) e Authenticated Internet Protocol (AuthIP) durante le negoziazioni in modalità principale.
Se si configura questa impostazione di criterio, viene generato un evento di controllo durante una negoziazione della modalità principale IPsec. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo durante una negoziazione della modalità principale IPsec.
Volume: alto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Modalità principale IPsec |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountLogonLogoff_AuditIPsecQuickMode
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode
Questa impostazione di criterio consente di controllare gli eventi generati da Internet Key Exchange Protocol (IKE) e Authenticated Internet Protocol (AuthIP) durante le trattative in modalità rapida. Se si configura questa impostazione di criterio, viene generato un evento di controllo durante una negoziazione in modalità rapida IPSec. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti. Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo durante una negoziazione in modalità rapida IPSec.
Volume: alto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Modalità rapida IPsec |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountLogonLogoff_AuditLogoff
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff
Questa impostazione di criterio consente di controllare gli eventi generati dalla chiusura di una sessione di accesso. Questi eventi si verificano nel computer a cui è stato eseguito l'accesso. Per una disconnessione interattiva, l'evento di controllo di sicurezza viene generato nel computer a cui l'account utente ha eseguito l'accesso.
Se si configura questa impostazione di criterio, viene generato un evento di controllo alla chiusura di una sessione di accesso. I controlli riusciti registrano i tentativi riusciti di chiudere le sessioni e i controlli degli errori registrano i tentativi non riusciti di chiudere le sessioni.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo alla chiusura di una sessione di accesso.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 (impostazione predefinita) | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Fine sessione |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountLogonLogoff_AuditLogon
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon
Questa impostazione di criterio consente di controllare gli eventi generati dai tentativi di accesso dell'account utente nel computer. Gli eventi in questa sottocategoria sono correlati alla creazione di sessioni di accesso e si verificano nel computer a cui è stato eseguito l'accesso. Per un accesso interattivo, l'evento di controllo della sicurezza viene generato nel computer a cui l'account utente ha effettuato l'accesso. Per un accesso di rete, ad esempio l'accesso a una cartella condivisa nella rete, l'evento di controllo della sicurezza viene generato nel computer che ospita la risorsa. Sono inclusi gli eventi seguenti: Tentativi di accesso riusciti. Tentativi di accesso non riusciti. L'accesso tenta di usare credenziali esplicite. Questo evento viene generato quando un processo tenta di accedere a un account specificando in modo esplicito le credenziali dell'account. Questo si verifica in genere nelle configurazioni di accesso batch, ad esempio nelle attività pianificate o quando si usa il comando RUNAS. Gli identificatori di sicurezza (SID) sono stati filtrati e non sono autorizzati ad accedere.
Volume: basso in un computer client. Media in un controller di dominio o in un server di rete.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 (impostazione predefinita) | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Accesso |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountLogonLogoff_AuditNetworkPolicyServer
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer
Questa impostazione di criterio consente di controllare gli eventi generati dalle richieste di accesso utente RADIUS (IAS) e Protezione accesso alla rete . Queste richieste possono essere Grant, Deny, Discard, Quarantine, Lock e Unlock.
Se si configura questa impostazione di criterio, viene generato un evento di controllo per ogni richiesta di accesso utente IAS e NAP. I controlli riusciti registrano le richieste di accesso utente riuscite e i controlli degli errori registrano i tentativi non riusciti.
Se non si configurano queste impostazioni dei criteri, le richieste di accesso utente IAS e NAP non vengono controllate.
Volume: medio o alto nei server NPS e IAS. Nessun volume in altri computer.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 3 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 (impostazione predefinita) | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Server dei criteri di rete |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountLogonLogoff_AuditOtherLogonLogoffEvents
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents
Questa impostazione di criterio consente di controllare altri eventi correlati all'accesso o alla disconnessione che non sono coperti dall'impostazione dei criteri "Accesso/Disconnessione", ad esempio i seguenti: Disconnessione sessione servizi terminal. Nuove sessioni di Servizi terminal. Blocco e sblocco di una workstation. Richiamo di uno screen saver. Rimozione di uno screen saver. Rilevamento di un attacco di riproduzione Kerberos, in cui una richiesta Kerberos è stata ricevuta due volte con informazioni identiche. Questa condizione potrebbe essere causata da una configurazione errata della rete. Accesso a una rete wireless concessa a un utente o a un account computer. Accesso a una rete cablata 802.1x concessa a un utente o a un account computer.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controllare altri eventi di disconnessione dell'accesso |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountLogonLogoff_AuditSpecialLogon
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon
Questa impostazione di criterio consente di controllare gli eventi generati da accessi speciali, ad esempio: L'uso di un accesso speciale, ovvero un accesso con privilegi equivalenti all'amministratore e che può essere usato per elevare un processo a un livello superiore. Accesso da parte di un membro di un gruppo speciale. I gruppi speciali consentono di controllare gli eventi generati quando un membro di un determinato gruppo ha eseguito l'accesso alla rete. È possibile configurare un elenco di SID (Group Security Identifier) nel Registro di sistema. Se uno di questi SID viene aggiunto a un token durante l'accesso e la sottocategoria è abilitata, viene registrato un evento. Per altre informazioni su questa funzionalità, vedere l'articolo 947223 nella Microsoft Knowledge Base.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 (impostazione predefinita) | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Accesso speciale |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountLogonLogoff_AuditUserDeviceClaims
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims
Questo criterio consente di controllare le informazioni sulle attestazioni utente e dispositivo nel token di accesso dell'utente. Gli eventi in questa sottocategoria vengono generati nel computer in cui viene creata una sessione di accesso. Per un accesso interattivo, l'evento di controllo della sicurezza viene generato nel computer a cui l'utente ha effettuato l'accesso. Per un accesso di rete, ad esempio l'accesso a una cartella condivisa nella rete, l'evento di controllo della sicurezza viene generato nel computer che ospita la risorsa. Le attestazioni utente vengono aggiunte a un token di accesso quando le attestazioni vengono incluse con gli attributi dell'account di un utente in Active Directory. Le attestazioni del dispositivo vengono aggiunte al token di accesso quando le attestazioni sono incluse con gli attributi dell'account computer di un dispositivo in Active Directory. Inoltre, l'identità composta deve essere abilitata per il dominio e nel computer in cui l'utente ha eseguito l'accesso. Quando questa impostazione è configurata, uno o più eventi di controllo di sicurezza vengono generati per ogni accesso riuscito. È anche necessario abilitare l'impostazione Audit Logon in Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff.You must also enable the Audit Logon setting under Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Vengono generati più eventi se le informazioni sulle attestazioni dell'utente e del dispositivo non possono rientrare in un singolo evento di controllo di sicurezza.
Volume: basso in un computer client. Media in un controller di dominio o in un server di rete.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controllare le attestazioni del dispositivo utente |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo accesso/disconnessione |
AccountManagement_AuditApplicationGroupManagement
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement
Questa impostazione di criterio consente di controllare gli eventi generati dalle modifiche apportate ai gruppi di applicazioni, ad esempio: Il gruppo di applicazioni viene creato, modificato o eliminato. Il membro viene aggiunto o rimosso da un gruppo di applicazioni.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene effettuato un tentativo di modifica di un gruppo di applicazioni. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene modificato un gruppo di applicazioni.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Gestione gruppi di applicazioni |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Gestione > account dei criteri di > controllo del sistema |
AccountManagement_AuditComputerAccountManagement
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement
Questa impostazione di criterio consente di controllare gli eventi generati dalle modifiche apportate agli account computer, ad esempio quando viene creato, modificato o eliminato un account computer.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene effettuato un tentativo di modifica di un account computer. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene modificato un account computer.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Gestione account computer |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Gestione > account dei criteri di > controllo del sistema |
AccountManagement_AuditDistributionGroupManagement
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement
Questa impostazione di criterio consente di controllare gli eventi generati dalle modifiche apportate ai gruppi di distribuzione, ad esempio: Il gruppo di distribuzione viene creato, modificato o eliminato. Il membro viene aggiunto o rimosso da un gruppo di distribuzione. Il tipo di gruppo di distribuzione viene modificato.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene effettuato un tentativo di modifica di un gruppo di distribuzione. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene modificato un gruppo di distribuzione.
Nota
Gli eventi in questa sottocategoria vengono registrati solo nei controller di dominio.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Gestione gruppi di distribuzione |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Gestione > account dei criteri di > controllo del sistema |
AccountManagement_AuditOtherAccountManagementEvents
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents
Questa impostazione di criterio consente di controllare gli eventi generati da altre modifiche all'account utente non incluse in questa categoria, ad esempio: È stato eseguito l'accesso all'hash della password di un account utente. Ciò si verifica in genere durante la migrazione della password di Active Directory Management Tool. È stata chiamata l'API Di controllo dei criteri password. Le chiamate a questa funzione possono far parte di un attacco quando un'applicazione dannosa testa i criteri per ridurre il numero di tentativi durante un attacco con dizionario password. Le modifiche apportate al dominio predefinito Criteri di gruppo nei percorsi di Criteri di gruppo seguenti: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Configurazione computer criteri password\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri di blocco account.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controllo Altri eventi di gestione account |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Gestione > account dei criteri di > controllo del sistema |
AccountManagement_AuditSecurityGroupManagement
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement
Questa impostazione di criterio consente di controllare gli eventi generati dalle modifiche apportate ai gruppi di sicurezza, ad esempio: Il gruppo di sicurezza viene creato, modificato o eliminato. Il membro viene aggiunto o rimosso da un gruppo di sicurezza. Il tipo di gruppo viene modificato.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene effettuato un tentativo di modifica di un gruppo di sicurezza. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene modificato un gruppo di sicurezza.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 (impostazione predefinita) | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controllo Gestione gruppi di sicurezza |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Gestione > account dei criteri di > controllo del sistema |
AccountManagement_AuditUserAccountManagement
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement
Questa impostazione di criterio consente di controllare le modifiche apportate agli account utente. Gli eventi includono: Viene creato, modificato, eliminato un account utente; rinominato, disabilitato, abilitato, bloccato o sbloccato. La password di un account utente viene impostata o modificata. Un identificatore di sicurezza (SID) viene aggiunto alla cronologia SID di un account utente. La password della modalità di ripristino di Servizi directory è configurata. Le autorizzazioni per gli account utente amministrativi vengono modificate. Viene eseguito il backup o il ripristino delle credenziali di Gestione credenziali.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene effettuato un tentativo di modifica di un account utente. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene modificato un account utente.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 (impostazione predefinita) | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controllo della Gestione account utente |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Gestione > account dei criteri di > controllo del sistema |
DetailedTracking_AuditDPAPIActivity
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity
Questa impostazione di criterio consente di controllare gli eventi generati quando vengono effettuate richieste di crittografia o decrittografia all'interfaccia dell'applicazione protezione dati (DPAPI). DPAPI viene usato per proteggere le informazioni segrete, ad esempio le informazioni sulla password archiviate e sulla chiave. Per altre informazioni su DPAPI, vedere Come usare la protezione dei dati.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene effettuata una richiesta di crittografia o decrittografia a DPAPI. I controlli riusciti registrano le richieste riuscite e i controlli degli errori registrano le richieste non riuscite.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene effettuata una richiesta di crittografia o decrittografia a DPAPI.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Attività DPAPI |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Criteri di controllo Dei criteri > di controllo Rilevamento dettagliato |
DetailedTracking_AuditPNPActivity
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity
Questa impostazione di criterio consente di controllare quando plug and play rileva un dispositivo esterno.
Se si configura questa impostazione di criterio, viene generato un evento di controllo ogni volta che plug and play rileva un dispositivo esterno. Per questa categoria vengono registrate solo le operazioni riuscite.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando un dispositivo esterno viene rilevato da plug and play.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla attività Plug and Play |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Criteri di controllo Dei criteri > di controllo Rilevamento dettagliato |
DetailedTracking_AuditProcessCreation
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation
Questa impostazione di criterio consente di controllare gli eventi generati quando viene creato o avviato un processo. Viene inoltre controllato il nome dell'applicazione o dell'utente che ha creato il processo.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene creato un processo. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene creato un processo.
Volume: dipende dalla modalità di utilizzo del computer.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Creazione di processi |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Criteri di controllo Dei criteri > di controllo Rilevamento dettagliato |
DetailedTracking_AuditProcessTermination
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination
Questa impostazione di criterio consente di controllare gli eventi generati al termine di un processo.
Se si configura questa impostazione di criterio, viene generato un evento di controllo al termine di un processo. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo al termine di un processo.
Volume: dipende dalla modalità di utilizzo del computer.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Chiusura di processi |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Criteri di controllo Dei criteri > di controllo Rilevamento dettagliato |
DetailedTracking_AuditRPCEvents
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents
Questa impostazione di criterio consente di controllare le connessioni RPC (Remote Procedure Call) in ingresso.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene tentata una connessione RPC remota. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene tentata una connessione RPC remota.
Volume: elevato nei server RPC.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Eventi RPC |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Criteri di controllo Dei criteri > di controllo Rilevamento dettagliato |
DetailedTracking_AuditTokenRightAdjusted
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted
Questa impostazione di criterio consente di controllare gli eventi generati modificando i privilegi di un token.
Volume: alto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla modifica diritti token |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Criteri di controllo Dei criteri > di controllo Rilevamento dettagliato |
DSAccess_AuditDetailedDirectoryServiceReplication
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication
Questa impostazione di criterio consente di controllare gli eventi generati dalla replica dettagliata Active Directory Domain Services (AD DS) tra controller di dominio.
Volume: alto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Replica dettagliata servizio directory |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Criteri > di controllo Accesso > DS |
DSAccess_AuditDirectoryServiceAccess
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess
Questa impostazione di criterio consente di controllare gli eventi generati quando si accede a un oggetto Active Directory Domain Services (AD DS). Vengono registrati solo gli oggetti Active Directory Domain Services con un elenco sacl (System Access Control List) corrispondente. Gli eventi in questa sottocategoria sono simili agli eventi di accesso al servizio directory disponibili nelle versioni precedenti di Windows.
Volume: elevato nei controller di dominio. Nessuno nei computer client.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Accesso al servizio directory |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Criteri > di controllo Accesso > DS |
DSAccess_AuditDirectoryServiceChanges
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges
Questa impostazione di criterio consente di controllare gli eventi generati dalle modifiche apportate agli oggetti in Active Directory Domain Services (AD DS). Gli eventi vengono registrati quando un oggetto viene creato, eliminato, modificato, spostato o annullato. Quando possibile, gli eventi registrati in questa sottocategoria indicano i valori vecchi e nuovi delle proprietà dell'oggetto. Gli eventi in questa sottocategoria vengono registrati solo nei controller di dominio e vengono registrati solo gli oggetti in Active Directory Domain Services con un elenco sacl (System Access Control List) corrispondente.
Nota
Le azioni su alcuni oggetti e proprietà non causano la generazione di eventi di controllo a causa delle impostazioni nella classe di oggetti nello schema.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene effettuato un tentativo di modifica di un oggetto in Servizi di dominio Active Directory. I controlli riusciti registrano i tentativi riusciti, ma i tentativi non riusciti NON vengono registrati.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene effettuato un tentativo di modifica di un oggetto nell'oggetto di Active Directory Domain Services.
Volume: elevato solo nei controller di dominio.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Modifiche servizio directory |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Criteri > di controllo Accesso > DS |
DSAccess_AuditDirectoryServiceReplication
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication
Questa impostazione di criterio consente di controllare la replica tra due controller di dominio Active Directory Domain Services (AD DS).
Se si configura questa impostazione di criterio, viene generato un evento di controllo durante la replica di Servizi di dominio Active Directory. I controlli riusciti registrano la replica con esito positivo e i controlli degli errori registrano la replica non riuscita.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo durante la replica di Active Directory Domain Services.
Volume: medio nei controller di dominio. Nessuno nei computer client.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Replica servizio directory |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Criteri > di controllo Accesso > DS |
ObjectAccess_AuditApplicationGenerated
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated
Questa impostazione di criterio consente di controllare le applicazioni che generano eventi usando le API (Application Programming Interface) di Controllo di Windows. Le applicazioni progettate per usare l'API di controllo di Windows usano questa sottocategoria per registrare gli eventi di controllo correlati alla funzione. Gli eventi in questa sottocategoria includono: Creazione di un contesto client dell'applicazione. Eliminazione di un contesto client dell'applicazione. Inizializzazione di un contesto client dell'applicazione. Altre operazioni dell'applicazione che usano le API di controllo di Windows.
Volume: dipende dalle applicazioni che le generano.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Generato dall'applicazione |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditCentralAccessPolicyStaging
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging
Questa impostazione di criterio consente di controllare le richieste di accesso in cui l'autorizzazione concessa o negata da un criterio proposto differisce dai criteri di accesso centrale correnti in un oggetto. Se si configura questa impostazione di criterio, viene generato un evento di controllo ogni volta che un utente accede a un oggetto e l'autorizzazione concessa dai criteri di accesso centrale correnti per l'oggetto differisce da quella concessa dai criteri proposti. L'evento di controllo risultante verrà generato come segue: 1) Controlli riusciti, se configurati, registra i tentativi di accesso quando il criterio di accesso centrale corrente concede l'accesso, ma il criterio proposto nega l'accesso. 2) Il controllo degli errori quando i record configurati tentano di accedere quando: a) Il criterio di accesso centrale corrente non concede l'accesso, ma il criterio proposto concede l'accesso. b) Un'entità richiede i diritti di accesso massimi consentiti e i diritti di accesso concessi dai criteri di accesso centrale correnti sono diversi dai diritti di accesso concessi dai criteri proposti. Volume: potenzialmente elevato in un file server quando i criteri proposti differiscono in modo significativo dai criteri di accesso centrale correnti.
Volume: potenzialmente elevato in un file server quando i criteri proposti differiscono in modo significativo dai criteri di accesso centrale correnti.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Gestione temporanea Criteri di accesso centrale |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditCertificationServices
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices
Questa impostazione di criterio consente di controllare le operazioni di Servizi certificati Active Directory. Le operazioni di Servizi certificati Active Directory includono quanto segue: Avvio/arresto/backup/ripristino di Servizi certificati Active Directory. Modifiche all'elenco di revoche di certificati (CRL). Nuove richieste di certificato. Rilascio di un certificato. Revoca di un certificato. Modifiche alle impostazioni di Gestione certificati per Servizi certificati Active Directory. Modifiche alla configurazione di Servizi certificati Active Directory. Modifiche a un modello di Servizi certificati. Importazione di un certificato. La pubblicazione di un certificato dell'autorità di certificazione deve essere Active Directory Domain Services. Modifiche alle autorizzazioni di sicurezza per Servizi certificati Active Directory. Archiviazione di una chiave. Importazione di una chiave. Recupero di una chiave. Avvio del servizio risponditore OCSP (Online Certificate Status Protocol). Arresto del servizio risponditore OCSP (Online Certificate Status Protocol).
Volume: medio o basso nei computer che eseguono Servizi certificati Active Directory.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Servizi di certificazione |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditDetailedFileShare
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare
Questa impostazione di criterio consente di controllare i tentativi di accesso a file e cartelle in una cartella condivisa. L'impostazione Condivisione file dettagliata registra un evento ogni volta che si accede a un file o a una cartella, mentre l'impostazione Condivisione file registra solo un evento per qualsiasi connessione stabilita tra un client e una condivisione file. Gli eventi di controllo di Condivisione file dettagliati includono informazioni dettagliate sulle autorizzazioni o altri criteri usati per concedere o negare l'accesso.
- Se si configura questa impostazione di criterio, viene generato un evento di controllo quando si tenta di accedere a un file o a una cartella in una condivisione. L'amministratore può specificare se controllare solo i successi, solo gli errori o sia i successi che gli errori.
Nota
Non sono presenti elenchi di controllo di accesso di sistema (SCL) per le cartelle condivise.
- Se questa impostazione di criterio è abilitata, viene controllato l'accesso a tutti i file e le cartelle condivisi nel sistema.
Volume: elevato in un file server o in un controller di dominio a causa dell'accesso alla rete SYSVOL richiesto da Criteri di gruppo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla condivisione file dettagliata |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditFileShare
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare
Questa impostazione di criterio consente di controllare i tentativi di accesso a una cartella condivisa.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando si tenta di accedere a una cartella condivisa.
Se questa impostazione di criterio è definita, l'amministratore può specificare se controllare solo le operazioni riuscite, solo gli errori o sia le operazioni riuscite che gli errori.
Nota
Non sono presenti elenchi di controllo di accesso di sistema (SCL) per le cartelle condivise.
- Se questa impostazione di criterio è abilitata, viene controllato l'accesso a tutte le cartelle condivise nel sistema.
Volume: elevato in un file server o in un controller di dominio a causa dell'accesso alla rete SYSVOL richiesto da Criteri di gruppo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Condivisione file |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditFileSystem
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem
Questa impostazione di criterio consente di controllare i tentativi degli utenti di accedere agli oggetti del file system. Un evento di controllo di sicurezza viene generato solo per gli oggetti in cui sono specificati elenchi di controllo di accesso di sistema (SACL) e solo se il tipo di accesso richiesto, ad esempio Scrittura, Lettura o Modifica, e l'account che effettua la richiesta corrisponde alle impostazioni nell'elenco sacl. Per altre informazioni sull'abilitazione del controllo di accesso agli oggetti, vedere<https://go.microsoft.com/fwlink/?LinkId=122083>.
Se si configura questa impostazione di criterio, viene generato un evento di controllo ogni volta che un account accede a un oggetto file system con un SACL corrispondente. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando un account accede a un oggetto file system con un SACL corrispondente.
Nota
È possibile impostare un SACL in un oggetto file system usando la scheda Sicurezza nella finestra di dialogo Proprietà dell'oggetto.
Volume: dipende da come vengono configurati i SCL del file system.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla File System |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditFilteringPlatformConnection
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection
Questa impostazione di criterio consente di controllare le connessioni consentite o bloccate da Windows Filtering Platform (WFP). Sono inclusi gli eventi seguenti: il servizio Windows Firewall impedisce a un'applicazione di accettare connessioni in ingresso nella rete. Il WFP consente una connessione. WFP blocca una connessione. WFP consente un binding a una porta locale. WFP blocca un binding a una porta locale. Il WFP consente una connessione. WFP blocca una connessione. WFP consente a un'applicazione o a un servizio di restare in ascolto su una porta per le connessioni in ingresso. WFP blocca un'applicazione o un servizio in modo che sia in ascolto su una porta per le connessioni in ingresso.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando le connessioni sono consentite o bloccate dal WFP. I controlli riusciti registrano gli eventi generati quando le connessioni sono consentite e i controlli degli errori registrano gli eventi generati quando le connessioni vengono bloccate.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando la connessione è consentita o bloccata dal WFP.
Volume: alto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Connessione a Piattaforma filtro Windows |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditFilteringPlatformPacketDrop
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop
Questa impostazione di criterio consente di controllare i pacchetti eliminati da Windows Filtering Platform (WFP).
Volume: alto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Mancata elaborazione pacchetti Piattaforma filtro Windows |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditHandleManipulation
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation
Questa impostazione di criterio consente di controllare gli eventi generati quando un handle di un oggetto viene aperto o chiuso. Solo gli oggetti con un elenco sacl (System Access Control List) corrispondente generano eventi di controllo di sicurezza.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene modificato un handle. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene modificato un handle.
Nota
Gli eventi in questa sottocategoria generano eventi solo per i tipi di oggetto in cui è abilitata la sottocategoria accesso agli oggetti corrispondente. Ad esempio, se l'accesso agli oggetti del file system è abilitato, vengono generati gli eventi di controllo della sicurezza di manipolazione. Se l'accesso agli oggetti del Registro di sistema non è abilitato, non verrà generato alcun evento di controllo della sicurezza di manipolazione.
Volume: dipende dal modo in cui vengono configurati i SCL.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Modifica handle |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditKernelObject
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject
Questa impostazione di criterio consente di controllare i tentativi di accesso al kernel, che includono mutex e semafori. Solo gli oggetti kernel con un elenco sacl (System Access Control List) corrispondente generano eventi di controllo di sicurezza.
Nota
L'impostazione dei criteri Audit: Audit: Audit the access of global system objects controlla l'elenco sacl predefinito degli oggetti kernel.
Volume: elevato se è abilitato il controllo dell'accesso agli oggetti di sistema globali.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Oggetto kernel |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditOtherObjectAccessEvents
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents
Questa impostazione di criterio consente di controllare gli eventi generati dalla gestione dei processi dell'utilità di pianificazione o degli oggetti COM+. Per i processi dell'utilità di pianificazione, vengono controllati i seguenti: Processo creato. Processo eliminato. Processo abilitato. Processo disabilitato. Processo aggiornato. Per gli oggetti COM+, vengono controllati gli elementi seguenti: Aggiunta dell'oggetto Catalog. Oggetto catalogo aggiornato. Oggetto catalogo eliminato.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Altri eventi di accesso agli oggetti |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditRegistry
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry
Questa impostazione di criterio consente di controllare i tentativi di accesso agli oggetti del Registro di sistema. Un evento di controllo di sicurezza viene generato solo per gli oggetti in cui sono specificati elenchi di controllo di accesso di sistema (SCL) e solo se il tipo di accesso richiesto, ad esempio Lettura, Scrittura o Modifica, e l'account che effettua la richiesta corrisponde alle impostazioni nell'elenco sacl.
Se si configura questa impostazione di criterio, viene generato un evento di controllo ogni volta che un account accede a un oggetto del Registro di sistema con un SACL corrispondente. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando un account accede a un oggetto del Registro di sistema con un SACL corrispondente.
Nota
È possibile impostare un SACL in un oggetto del Registro di sistema usando la finestra di dialogo Autorizzazioni.
Volume: dipende dal modo in cui vengono configurati i SCL del Registro di sistema.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Registro di sistema |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditRemovableStorage
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage
Questa impostazione di criterio consente di controllare i tentativi dell'utente di accedere agli oggetti del file system in un dispositivo di archiviazione rimovibile. Un evento di controllo di sicurezza viene generato solo per tutti gli oggetti per tutti i tipi di accesso richiesti.
Se si configura questa impostazione di criterio, viene generato un evento di controllo ogni volta che un account accede a un oggetto file system in un archivio rimovibile. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando un account accede a un oggetto file system in un archivio rimovibile.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Archivio rimovibile |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
ObjectAccess_AuditSAM
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM
Questa impostazione di criterio consente di controllare gli eventi generati dai tentativi di accesso agli oggetti di Security Accounts Manager (SAM). Gli oggetti SAM includono quanto segue: SAM_ALIAS -- Un gruppo locale. SAM_GROUP: gruppo che non è un gruppo locale. SAM_USER: un account utente. SAM_DOMAIN - Un dominio. SAM_SERVER: un account computer.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene effettuato un tentativo di accesso a un oggetto kernel. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene effettuato un tentativo di accesso a un oggetto kernel.
Nota
È possibile modificare solo l'elenco di Controllo di accesso di sistema (SACL) per SAM_SERVER. Volume: elevato nei controller di dominio.
Volume: elevato nei controller di dominio. Per altre informazioni sulla riduzione del numero di eventi generati dal controllo dell'accesso degli oggetti di sistema globali, vedere Controllare l'accesso degli oggetti di sistema globali.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla SAM |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione avanzata dei criteri di controllo Accesso > all'oggetto Criteri di > controllo del sistema |
PolicyChange_AuditAuthenticationPolicyChange
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange
Questa impostazione di criterio consente di controllare gli eventi generati dalle modifiche apportate ai criteri di autenticazione, ad esempio: Creazione di trust tra foreste e domini. Modifica dei trust tra foreste e domini. Rimozione di trust tra foreste e domini. Modifiche ai criteri Kerberos in Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri Kerberos. Concessione di uno dei diritti utente seguenti a un utente o a un gruppo: Accedere a questo computer dalla rete. Consenti accesso locale. Consentire l'accesso tramite Servizi terminal. Accesso come processo Batch. Accedere a un servizio. Collisione dello spazio dei nomi. Ad esempio, quando un nuovo trust ha lo stesso nome di un nome dello spazio dei nomi esistente.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene effettuato un tentativo di modificare i criteri di autenticazione. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando vengono modificati i criteri di autenticazione.
Nota
L'evento di controllo di sicurezza viene registrato quando vengono applicati i criteri di gruppo. Non si verifica nel momento in cui le impostazioni vengono modificate.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 (impostazione predefinita) | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Modifica criteri di autenticazione |
| Percorso | Impostazioni di > windows Impostazioni di sicurezza Configurazione > avanzata dei criteri di controllo Modifica > dei criteri > di controllo del sistema |
PolicyChange_AuditAuthorizationPolicyChange
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange
Questa impostazione di criterio consente di controllare gli eventi generati dalle modifiche ai criteri di autorizzazione, ad esempio: Assegnazione di diritti utente (privilegi), ad esempio SeCreateTokenPrivilege, che non vengono controllati tramite la sottocategoria "Modifica criteri di autenticazione". Rimozione dei diritti utente (privilegi), ad esempio SeCreateTokenPrivilege, che non vengono controllati tramite la sottocategoria "Modifica criteri di autenticazione". Modifiche ai criteri EFS (Encrypted File System). Modifiche agli attributi resource di un oggetto . Modifiche ai criteri di accesso centrale applicati a un oggetto.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene effettuato un tentativo di modifica dei criteri di autorizzazione. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando i criteri di autorizzazione vengono modificati.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Modifica criteri di autorizzazione |
| Percorso | Impostazioni di > windows Impostazioni di sicurezza Configurazione > avanzata dei criteri di controllo Modifica > dei criteri > di controllo del sistema |
PolicyChange_AuditFilteringPlatformPolicyChange
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange
Questa impostazione di criterio consente di controllare gli eventi generati dalle modifiche apportate a Windows Filtering Platform (WFP), ad esempio: Stato dei servizi IPsec. Modifiche alle impostazioni dei criteri IPsec. Modifiche alle impostazioni dei criteri di Windows Firewall. Modifiche al motore e ai provider WFP.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene tentata una modifica al WFP. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando si verifica una modifica al WFP.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Modifica criteri Piattaforma filtro Windows |
| Percorso | Impostazioni di > windows Impostazioni di sicurezza Configurazione > avanzata dei criteri di controllo Modifica > dei criteri > di controllo del sistema |
PolicyChange_AuditMPSSVCRuleLevelPolicyChange
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange
Questa impostazione di criterio consente di controllare gli eventi generati dalle modifiche alle regole dei criteri usate da Microsoft Protection Service (MPSSVC). Questo servizio viene usato da Windows Firewall. Gli eventi includono quanto segue: Segnalazione dei criteri attivi all'avvio del servizio Windows Firewall. Modifiche alle regole di Windows Firewall. Modifiche all'elenco delle eccezioni di Windows Firewall. Modifiche alle impostazioni di Windows Firewall. Regole ignorate o non applicate dal servizio Windows Firewall. Modifiche alle impostazioni di Criteri di gruppo di Windows Firewall.
Se si configura questa impostazione di criterio, viene generato un evento di controllo dai tentativi di modificare le regole dei criteri usate da MPSSVC. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo dalle modifiche alle regole dei criteri usate da MPSSVC.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controllare la modifica dei criteri a livello di regola MPSSVC |
| Percorso | Impostazioni di > windows Impostazioni di sicurezza Configurazione > avanzata dei criteri di controllo Modifica > dei criteri > di controllo del sistema |
PolicyChange_AuditOtherPolicyChangeEvents
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents
Questa impostazione di criterio consente di controllare gli eventi generati da altre modifiche ai criteri di sicurezza che non vengono controllate nella categoria delle modifiche dei criteri, ad esempio le modifiche di configurazione TPM (Trusted Platform Module). Self test crittografici in modalità kernel. Operazioni del provider di crittografia. Operazioni o modifiche del contesto di crittografia. Modifiche ai criteri di accesso centrale applicati. Modifiche dei dati di configurazione di avvio ( BCD).
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Altri eventi di modifica criteri |
| Percorso | Impostazioni di > windows Impostazioni di sicurezza Configurazione > avanzata dei criteri di controllo Modifica > dei criteri > di controllo del sistema |
PolicyChange_AuditPolicyChange
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange
Questa impostazione di criterio consente di controllare le modifiche nelle impostazioni dei criteri di controllo di sicurezza, ad esempio le autorizzazioni delle impostazioni e le impostazioni di controllo nell'oggetto Criteri di controllo. Modifiche ai criteri di controllo del sistema. Registrazione delle origini eventi di sicurezza. Deseleziona la registrazione delle origini eventi di sicurezza. Modifiche alle impostazioni di controllo per utente. Modifiche al valore di CrashOnAuditFail. Modifiche all'elenco di controllo di accesso del sistema in un file system o un oggetto del Registro di sistema. Modifiche all'elenco Gruppi speciali.
Nota
Il controllo delle modifiche dell'elenco di controllo di accesso di sistema (SACL) viene eseguito quando un SACL per un oggetto cambia e la categoria di modifica dei criteri è abilitata. L'elenco di controllo di accesso discrezionale (DACL) e le modifiche di proprietà vengono controllate quando il controllo dell'accesso agli oggetti è abilitato e l'elenco SACL dell'oggetto è configurato per il controllo delle modifiche DACL/proprietario.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 (impostazione predefinita) | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Modifica dei criteri di controllo |
| Percorso | Impostazioni di > windows Impostazioni di sicurezza Configurazione > avanzata dei criteri di controllo Modifica > dei criteri > di controllo del sistema |
PrivilegeUse_AuditNonSensitivePrivilegeUse
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse
Questa impostazione di criterio consente di controllare gli eventi generati dall'uso di privilegi non sensibili (diritti utente). I privilegi seguenti non sono sensibili: Gestione credenziali di accesso come chiamante attendibile. Accedere a questo computer dalla rete. Aggiungere workstation al dominio. Modificare le quote di memoria per un processo. Consenti l'accesso in locale. Consentire l'accesso tramite Servizi terminal. Ignorare il controllo di attraversamento. Modificare l'ora di sistema. Creare un file di pagina. Creare oggetti globali. Creare oggetti condivisi permanenti. Creare collegamenti simbolici. Negare l'accesso al computer dalla rete. Negare l'accesso come processo batch. Nega accesso come servizio. Nega l'accesso in locale. Nega l'accesso tramite Servizi terminal. Forzare l'arresto da un sistema remoto. Aumentare un working set di processi. Aumentare la priorità di pianificazione. Bloccare le pagine in memoria. Accedere come processo batch. Accedere come servizio. Modificare un'etichetta di oggetto. Eseguire attività di manutenzione del volume. Profilo singolo processo. Profilare le prestazioni del sistema. Rimuovere il computer dalla docking station. Arrestare il sistema. Sincronizzare i dati del servizio directory.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando viene chiamato un privilegio non sensibile. I controlli riusciti registrano le chiamate riuscite e i controlli degli errori registrano le chiamate non riuscite.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene chiamato un privilegio non sensibile.
Volume: molto alto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Utilizzo privilegi non sensibili |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Uso dei privilegi dei criteri di controllo del > sistema |
PrivilegeUse_AuditOtherPrivilegeUseEvents
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents
Non usato.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Altri eventi di utilizzo dei privilegi |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Uso dei privilegi dei criteri di controllo del > sistema |
PrivilegeUse_AuditSensitivePrivilegeUse
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse
Questa impostazione di criterio consente di controllare gli eventi generati quando vengono usati privilegi sensibili (diritti utente), ad esempio: Viene chiamato un servizio con privilegi. Viene chiamato uno dei privilegi seguenti: Agire come parte del sistema operativo. Eseguire il backup di file e directory. Creare un oggetto token. Eseguire il debug di programmi. Abilitare gli account computer e utente per la delega. Generare controlli di sicurezza. Rappresentare un client dopo l'autenticazione. Caricare e scaricare i driver di dispositivo. Gestire il log di controllo e sicurezza. Modificare i valori dell'ambiente del firmware. Sostituire un token a livello di processo. Ripristinare file e directory. Acquisire la proprietà di file o altri oggetti.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando vengono effettuate richieste di privilegi sensibili. I controlli riusciti registrano le richieste riuscite e i controlli degli errori registrano le richieste non riuscite.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando vengono effettuate richieste di privilegi sensibili.
Volume: alto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Utilizzo privilegi sensibili |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Uso dei privilegi dei criteri di controllo del > sistema |
System_AuditIPsecDriver
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver
Questa impostazione di criterio consente di controllare gli eventi generati dal driver di filtro IPsec, ad esempio: Avvio e arresto dei servizi IPsec. Pacchetti di rete eliminati a causa di un errore di controllo dell'integrità. Pacchetti di rete eliminati a causa di un errore di controllo della riproduzione. Pacchetti di rete eliminati a causa del testo non crittografato. Pacchetti di rete ricevuti con spi (Security Parameter Index) non corretto. Ciò potrebbe indicare che la scheda di rete non funziona correttamente o che il driver deve essere aggiornato. Impossibilità di elaborare i filtri IPsec.
Se si configura questa impostazione di criterio, viene generato un evento di controllo in un'operazione del driver di filtro IPsec. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo in un'operazione del driver di filtro IPSec.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Driver IPSec |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo Sistema |
System_AuditOtherSystemEvents
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents
Questa impostazione di criterio consente di controllare uno degli eventi seguenti: avvio e arresto del servizio e del driver di Windows Firewall. Elaborazione dei criteri di sicurezza da parte del servizio Windows Firewall. Operazioni di migrazione e file di chiavi di crittografia.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 3 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 (impostazione predefinita) | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Altri eventi di sistema |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo Sistema |
System_AuditSecurityStateChange
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange
Questa impostazione di criterio consente di controllare gli eventi generati dalle modifiche dello stato di sicurezza del computer, ad esempio gli eventi seguenti: Avvio e arresto del computer. Modifica dell'ora di sistema. Ripristino del sistema da CrashOnAuditFail, registrato dopo il riavvio di un sistema quando il registro eventi di sicurezza è pieno e viene configurata la voce del Registro di sistema CrashOnAuditFail.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 (impostazione predefinita) | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Modifica stato sicurezza |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo Sistema |
System_AuditSecuritySystemExtension
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension
Questa impostazione di criterio consente di controllare gli eventi correlati alle estensioni o ai servizi del sistema di sicurezza, ad esempio i seguenti: Un'estensione del sistema di sicurezza, ad esempio un pacchetto di autenticazione, notifica o sicurezza, viene caricata e registrata con l'autorità di sicurezza locale (LSA). Viene usato per autenticare i tentativi di accesso, inviare richieste di accesso ed eventuali modifiche all'account o alla password. Esempi di estensioni del sistema di sicurezza sono Kerberos e NTLM. Un servizio viene installato e registrato con Gestione controllo servizi. Il log di controllo contiene informazioni sul nome del servizio, il file binario, il tipo, il tipo di avvio e l'account del servizio.
Se si configura questa impostazione di criterio, viene generato un evento di controllo quando si tenta di caricare un'estensione del sistema di sicurezza. I controlli riusciti registrano i tentativi riusciti e i controlli degli errori registrano i tentativi non riusciti.
Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando viene effettuato un tentativo di caricare un'estensione del sistema di sicurezza.
Volume: basso. Gli eventi di estensione del sistema di sicurezza vengono generati più spesso in un controller di dominio che nei computer client o nei server membri.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Estensione sistema di sicurezza |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo Sistema |
System_AuditSystemIntegrity
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1803 [10.0.17134.1039] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.774] e versioni successive ✅Windows 10, versione 1903 [10.0.18362.329] e versioni successive ✅Windows 10, versione 2004 [10.0.19041] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity
Questa impostazione di criterio consente di controllare gli eventi che violano l'integrità del sottosistema di sicurezza, ad esempio gli eventi che non possono essere scritti nel registro eventi a causa di un problema con il sistema di controllo. Processo che usa una porta LPC (Local Procedure Call) non valida nel tentativo di rappresentare un client rispondendo, leggendo o scrivendo da o verso uno spazio indirizzi client. Rilevamento di una chiamata RPC (Remote Procedure Call) che compromette l'integrità del sistema. Rilevamento di un valore hash di un file eseguibile non valido come determinato dall'integrità del codice. Operazioni di crittografia che compromettono l'integrità del sistema.
Volume: basso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 3 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disattivato/Nessuno. |
| 1 | Successo. |
| 2 | Fallimento. |
| 3 (impostazione predefinita) | Operazione riuscita+errore. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controlla Integrità sistema |
| Percorso | Impostazioni di > sicurezza di Windows Impostazioni di > sicurezza Configurazione > avanzata dei criteri di controllo Sistema Criteri > di controllo Sistema |
Articoli correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per