Come controllare il monitoraggio dei processi

I passaggi per abilitare il controllo usando la Console Gestione Criteri di gruppo (GPMC):

Esegui le seguenti azioni sul controller di dominio (DC):

1. Premi Start, cerca e apri la Console Gestione Criteri di gruppo oppure esegui il comando gpmc.msc.

2. Clicca con il pulsante destro del mouse sul dominio o unità organizzativa (OU) che vuoi controllare e clicca su Crea un oggetto Criteri di gruppo in questo dominio e collegalo qui. Se hai già creato un oggetto Criteri di gruppo, vai al passaggio 4.

3. Assegna un nome all'Oggetto Criteri di gruppo a seconda del caso.
4. Clicca con il pulsante destro del mouse sull'oggetto Criteri di gruppo e scegli Modifica.

5. Nell'Editor Gestione Criteri di gruppo, nel riquadro a sinistra, passa a Configurazione computer → Criteri → Impostazioni di Windows → Impostazioni sicurezza → Configurazione avanzata dei criteri di controllo → Criteri di controllo → Analisi dettagliata.

6. Nel riquadro di destra, vedrai un elenco di criteri che si trovano in Analisi dettagliata. Clicca due volte su Controlla Creazione di processi e seleziona le caselle Configura gli eventi di controllo seguenti, Operazione riuscita ed Errore. Esegui le stesse azioni per Controlla Chiusura di processi.

7. Clicca su Applica, quindi OK.
8. Torna alla Console Gestione Criteri di gruppo e, nel riquadro di sinistra, clicca con il pulsante destro del mouse sull'unità organizzativa a cui è stato collegato l'oggetto Criteri di gruppo, quindi clicca su Aggiornamento criteri di gruppo. Questo passaggio assicura che le nuove impostazioni dei Criteri di gruppo vengano applicate immediatamente, anziché attendere il successivo aggiornamento pianificato.

Una volta abilitati questi criteri, gli eventi vengono registrati nel log di sicurezza del controller di dominio ogni volta che un processo viene creato o chiuso.

Passaggi per visualizzare questi eventi utilizzando il Visualizzatore eventi:

Una volta completati i passaggi precedenti, gli eventi verranno registrati nel registro eventi. Questi possono essere visualizzati nel Visualizzatore eventi seguendo i passaggi seguenti:

1. Premi Start, cerca Visualizzatore eventi e clicca per aprirlo.
2. Nel riquadro sinistro della finestra del Visualizzatore eventi, vai a Registri di Windows → Sicurezza.
3. Qui troverai un elenco di tutti gli eventi di sicurezza registrati nel sistema.

4. Nel riquadro destro, sotto Sicurezza, clicca su Filtro registro corrente.

5. Nella finestra popup, inserisci l'ID evento* nel campo <Tutti gli ID evento>.

*Per gli eventi indicati vengono generati i seguenti ID evento:

6. Clicca su OK. In questo modo verrà visualizzato un elenco delle occorrenze dell'ID evento immesso.
7. Clicca due volte sull'ID evento per visualizzarne le proprietà (descrizione).

L'evento 4688 viene registrato quando viene creato un processo. I seguenti dettagli vengono registrati nelle proprietà dell'evento:

• Nome e SID dell'account che ha richiesto l'operazione di "creazione processo"
• ID processo, percorso completo e nome del nuovo processo creato

Il metodo precedente non è realistico quando si ha a che fare con migliaia di dispositivi in un'organizzazione, poiché un amministratore dovrebbe cercare manualmente ogni evento per visualizzarne i dettagli.

ADAudit Plus, uno strumento completo di controllo di Active Directory, consente agli amministratori di controllare facilmente gli eventi di creazione e chiusura dei processi. Possono anche tenere traccia di tutte le attività programmate per la creazione, l'eliminazione e le modifiche apportate ad esse con facilità.