I passaggi per abilitare il controllo usando Console Gestione Criteri di gruppo (GPMC):
Esegui le seguenti azioni sul controller di dominio (DC):
- Premi Start, cerca e apri la Console Gestione Criteri di gruppo oppure esegui il comando gpmc.msc.
- Fai clic con il pulsante destro del mouse sul dominio o unità organizzativa (OU) che vuoi controllare e fai clic su Crea un oggetto Criteri di gruppo in questo dominio e collegalo qui… Se hai già creato un oggetto Criteri di gruppo, vai al passaggio 4.
- Assegna un nome all'oggetto Criteri di gruppo.
- Fai clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e scegli Modifica.
- Nel riquadro sinistro di Modifica Criteri di gruppo, passa a Configurazione del computer > Impostazioni di Windows > Impostazioni sicurezza > Configurazione avanzata dei criteri di controllo > Criteri di controllo di sistema.
- Nel riquadro di destra, fai doppio clic su Controlla eventi accesso account e seleziona le caselle accanto a Controlla i seguenti tentativi: Operazioni riuscite e Operazioni non riuscite.
- Passa a Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Configurazione avanzata dei criteri di controllo -> Criteri controllo -> Accesso account.
- Nel riquadro di destra, fai doppio clic su Controlla Convalida credenziali e seleziona le caselle accanto a Configura gli eventi di controllo seguenti, Operazione riuscita ed Errore.
- Fai clic su Applica, quindi OK.
- Passa a Configurazione computer > Impostazioni di Windows > Impostazioni sicurezza > Configurazione avanzata dei criteri di controllo > Criteri di controllo > Gestione account > Controlla Gestione account utente e seleziona le caselle accanto a Configura gli eventi di controllo seguenti, Operazione riuscita ed Errore.
- Passa a Configurazione computer > Impostazioni di Windows > Impostazioni sicurezza > Configurazione avanzata dei criteri di controllo > Criteri di controllo > Gestione account > Controlla Gestione account computer e seleziona le caselle accanto a Configura gli eventi di controllo seguenti, Operazione riuscita ed Errore.
- Passa a Configurazione computer > Impostazioni di Windows > Impostazioni sicurezza > Configurazione avanzata dei criteri di controllo > Criteri di controllo > Accesso DS > Controlla Modifiche servizio directory e seleziona le caselle accanto a Configura gli eventi di controllo seguenti, Operazione riuscita ed Errore.
- Torna alla Console Gestione Criteri di gruppo e, nel riquadro di sinistra, fai clic con il pulsante destro del mouse sull'unità organizzativa a cui è stato collegato l'oggetto Criteri di gruppo, quindi fai clic su Aggiornamento criteri di gruppo… Questo passaggio assicura che le nuove impostazioni dei Criteri di gruppo vengano applicate immediatamente, anziché attendere il successivo aggiornamento pianificato.
Passaggi per visualizzare questi eventi utilizzando il Visualizzatore eventi
Una volta completati i passaggi precedenti, gli eventi verranno registrati nel registro eventi. Questi possono essere visualizzati nel Visualizzatore eventi. Tuttavia, prima devi capire quali utenti dispongono dei privilegi di amministratore. Esegui le seguenti azioni sul controller di dominio (DC):
- Premi Start quindi cerca e apri Console Utenti e computer di Active Directory.
- Vai all'unità organizzativa, <Domain name>Nome di dominio > Utenti e fai doppio clic sul gruppo Amministratori di dominio. Passa alla scheda membri. Qui troverai un elenco di utenti con diritti di amministratore.
- Premi Start, cerca Visualizzatore eventi e fai clic per aprirlo.
- Nel riquadro sinistro fai clic con il pulsante destro del mouse su Visualizzazioni personalizzate e seleziona Crea visualizzazione personalizzata…
- Nella finestra Crea visualizzazione personalizzata, passa alla scheda XML, seleziona la casella accanto a Modifica query manualmente e fai clic su Sì nella finestra di avviso a comparsa.
- Nel campo della query, immetti la seguente query:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and(Data='<username>')]]
</Select>
</Query>
</QueryList>
*Sostituisci <username> con il nome utente amministratore desiderato.
- Fai clic su OK e dai un nome alla Visualizzazione personalizzata. Ora puoi vedere un elenco di ID evento relativi alle azioni eseguite dall'account amministratore in Visualizzazioni personalizzate.
Il metodo di cui sopra non è realistico quando si ha a che fare con numerosi amministratori e migliaia di eventi. In qualità di amministratore, dovresti cercare manualmente ogni evento per visualizzarne i dettagli.
ADAudit Plus, uno strumento completo di controllo di AD, ti aiuta a controllare tutte le modifiche apportate ad Active Directory, comprese quelle eseguite dagli account amministratore.
Passaggi per monitorare l'attività dell'utente amministratore utilizzando ADAudit Plus di ManageEngine.
- Scarica e installa ADAudit Plus.
- Trova i passaggi per configurare il controllo sul tuo controller di dominio qui.
- Apri la console ed effettua l'accesso come amministratore.
- Passa a Reports > Account Management > Administrative User Actions
Vantaggi dell'utilizzo di ADAudit Plus rispetto al controllo nativo:
- Ottieni report sulle modifiche apportate a tutti gli oggetti AD dagli account amministratore in un unico posto e ottieni report per eventuali modifiche apportate da altri utenti.
- Visualizza i report pronti all'uso per le modifiche apportate ad Azure AD e ricevi avvisi in tempo reale per gli eventi critici.
- Ricevi una notifica quando viene rilevato un comportamento irregolare degli utenti. ADAudit Plus utilizza l'analisi del comportamento degli utenti (UBA: user behavior analytics) per creare una linea di base della normale attività degli utenti e avvisare l'utente quando un utente si discosta da tale comportamento. Ad esempio: un volume insolitamente elevato di tentativi di accesso, accessi che si verificano in orari insoliti o la prima volta che un utente accede a un host da remoto.
