Come controllare le modifiche alle autorizzazioni del registro di sistema di Windows?

Il registro di sistema di Windows memorizza informazioni essenziali sul computer, la sua configurazione e i dettagli di tutte le applicazioni installate nel sistema. La modifica involontaria o dannosa delle autorizzazioni degli utenti per modificare le impostazioni del registro di sistema di Windows può essere sfruttata per eseguire attacchi al registro di sistema di Windows. Il controllo delle modifiche alle autorizzazioni del registro di sistema di Windows consente agli amministratori IT di rilevare attività anomale, mitigare le minacce e accelerare l'analisi forense in caso di incidente.

Scarica GRATIS Prova gratuita e completamente funzionante di 30 giorni
  • Con il controllo AD nativo

  • Con ADAudit Plus

  • Come controllare l'attività di modifica delle autorizzazioni del registro di sistema di Windows con ADAudit Plus
  • Una volta installato, ADAudit Plus configura automaticamente i criteri di controllo necessari per il controllo di Active Directory.

  • Per abilitare la configurazione automatica: accedi alla console Web ADAudit Plus → Impostazioni dominio → Criteri di controllo: configura.

  • Le modifiche alle autorizzazioni nel registro di sistema di Windows possono essere identificate seguendo i passaggi seguenti:

  • Accedi ad ADAudit Plus.

  • Seleziona il Dominio richiesto dall'elenco a discesa.

  • Vai alla scheda Report.

  • Passa a Modifiche alle impostazioni dell'oggetto Criteri di gruppo.

  • Seleziona Modifiche alle impostazioni di Windows.

    how-to-audit-windows-registry-changes-5
  • ADAudit Plus consente agli amministratori IT di avere un quadro completo di tutte le attività che si svolgono all'interno della rete dell'organizzazione. Le funzionalità di monitoraggio in tempo reale e i report pronti all'uso offerti da ADAudit Plus semplificano il monitoraggio delle modifiche critiche nelle autorizzazioni del registro di sistema di Windows e rilevano e prevengono gli incidenti.

 

  • Con il controllo nativo di Active Directory, ecco come è possibile monitorare le modifiche alle autorizzazioni del registro di sistema di Windows:

  • Passaggio 1: abilita i criteri di controllo necessari
  • Avvia Server manager nell'istanza di Windows Server.

  • In Gestisci, seleziona Gestione Criteri di gruppo e avvia il comando Console Gestione Criteri di gruppo.

  • Passa a Foresta ➔ Dominio ➔ Il tuo dominio ➔ Controller di dominio.

  • Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente il registro di sistema da monitorare oppure modifica qualsiasi oggetto Criteri di gruppo esistente collegato al dominio per aprire la finestra di dialogo Editor Gestione Criteri di gruppo.

  • Passa a Configurazione computer ➔ Impostazioni di Windows ➔ Impostazioni di sicurezza ➔ Criteri locali ➔ Criteri di controllo.

  • Nei criteri di controllo sono elencati tutti i criteri secondari nel pannello di destra, come illustrato nella figura seguente.

    how-to-audit-windows-registry-changes-1
  • In Criteri di controllo, attiva il controllo per gli eventi di esito positivo e negativo del criterio Controlla l'accesso agli oggetti.

  • Fai clic su Applica e OK per chiudere la finestra Proprietà.

  • Per applicare queste modifiche in tutto il dominio, esegui il comando gpupdate /forza nella console Esegui.

  • Passaggio 2: abilita il controllo tramite l'Editor del registro di sistema
  • Fai clic su Avvio, Esegui, digita Regedit e premi Invio.

  • Nell'Editor del registro di sistema passa alla chiave che desideri controllare.

  • Fai clic con il pulsante destro del mouse sul tasto e seleziona Autorizzazioni.

    how-to-audit-windows-registry-changes-2
  • Fai clic su Avanzate nella finestra di dialogo Autorizzazioni per e fai clic su Aggiungi.

    how-to-audit-windows-registry-changes-3
  • Applica le seguenti impostazioni

    1. Entità: tutte

    2. Digita: all

    3. Si applica a: questa chiave e alle chiavi secondarie

    4. Autorizzazioni: seleziona la casella di controllo Controllo completo.

  • Fai clic su Applica, quindi su OK e chiudi la console.

  • Passaggio 4: visualizzazione degli eventi nel Visualizzatore eventi
  • Nella finestra Visualizzatore eventi , vai a Registri di Windows ➔ Registri di Sicurezza.

  • Fai clic su Filtra il registro corrente in Azione nel pannello di destra.

  • Cerca l'ID evento 4670, identifica le modifiche alle autorizzazioni del registro di sistema di Windows.

  • Puoi fare doppio clic sull'evento per visualizzare le Proprietà dell'evento.

    how-to-audit-windows-registry-changes-4
  • Questi passaggi devono essere ripetuti per tutte le chiavi del registro di sistema per controllare le modifiche apportate alle autorizzazioni relative. Il controllo manuale di ogni evento è dispendioso in termini di tempo, inefficiente e praticamente impossibile.

Il controllo nativo è un po' troppo?

Semplifica il controllo e la creazione di report sulle modifiche alle autorizzazioni del registro di sistema di Windows con ADAudit Plus.

Scaricalo gratuitamente Versione di prova di 30 giorni completamente funzionante

ADAudit Plus semplifica il monitoraggio delle modifiche alle autorizzazioni del registro di sistema di Windows offrendo report predefiniti sulle modifiche alle impostazioni di Windows facilmente comprensibili. ADAudit Plus offre anche la possibilità di generare report personalizzati ed esportarli nel formato preferito (PDF, XLS, HTML e CSV).

  • Con il controllo AD nativo

  • Con ADAudit Plus

  • Come controllare l'attività di modifica delle autorizzazioni del registro di sistema di Windows con ADAudit Plus
  • Una volta installato, ADAudit Plus configura automaticamente i criteri di controllo necessari per il controllo di Active Directory.

  • Per abilitare la configurazione automatica: accedi alla console Web ADAudit Plus → Impostazioni dominio → Criteri di controllo: configura.

  • Le modifiche alle autorizzazioni nel registro di sistema di Windows possono essere identificate seguendo i passaggi seguenti:

  • Accedi ad ADAudit Plus.

  • Seleziona il Dominio richiesto dall'elenco a discesa.

  • Vai alla scheda Report.

  • Passa a Modifiche alle impostazioni dell'oggetto Criteri di gruppo.

  • Seleziona Modifiche alle impostazioni di Windows.

    how-to-audit-windows-registry-changes-5
  • ADAudit Plus consente agli amministratori IT di avere un quadro completo di tutte le attività che si svolgono all'interno della rete dell'organizzazione. Le funzionalità di monitoraggio in tempo reale e i report pronti all'uso offerti da ADAudit Plus semplificano il monitoraggio delle modifiche critiche nelle autorizzazioni del registro di sistema di Windows e rilevano e prevengono gli incidenti.

 

  • Con il controllo nativo di Active Directory, ecco come è possibile monitorare le modifiche alle autorizzazioni del registro di sistema di Windows:

  • Passaggio 1: abilita i criteri di controllo necessari
  • Avvia Server manager nell'istanza di Windows Server.

  • In Gestisci, seleziona Gestione Criteri di gruppo e avvia il comando Console Gestione Criteri di gruppo.

  • Passa a Foresta ➔ Dominio ➔ Il tuo dominio ➔ Controller di dominio.

  • Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente il registro di sistema da monitorare oppure modifica qualsiasi oggetto Criteri di gruppo esistente collegato al dominio per aprire la finestra di dialogo Editor Gestione Criteri di gruppo.

  • Passa a Configurazione computer ➔ Impostazioni di Windows ➔ Impostazioni di sicurezza ➔ Criteri locali ➔ Criteri di controllo.

  • Nei criteri di controllo sono elencati tutti i criteri secondari nel pannello di destra, come illustrato nella figura seguente.

    how-to-audit-windows-registry-changes-1
  • In Criteri di controllo, attiva il controllo per gli eventi di esito positivo e negativo del criterio Controlla l'accesso agli oggetti.

  • Fai clic su Applica e OK per chiudere la finestra Proprietà.

  • Per applicare queste modifiche in tutto il dominio, esegui il comando gpupdate /forza nella console Esegui.

  • Passaggio 2: abilita il controllo tramite l'Editor del registro di sistema
  • Fai clic su Avvio, Esegui, digita Regedit e premi Invio.

  • Nell'Editor del registro di sistema passa alla chiave che desideri controllare.

  • Fai clic con il pulsante destro del mouse sul tasto e seleziona Autorizzazioni.

    how-to-audit-windows-registry-changes-2
  • Fai clic su Avanzate nella finestra di dialogo Autorizzazioni per e fai clic su Aggiungi.

    how-to-audit-windows-registry-changes-3
  • Applica le seguenti impostazioni

    1. Entità: tutte

    2. Digita: all

    3. Si applica a: questa chiave e alle chiavi secondarie

    4. Autorizzazioni: seleziona la casella di controllo Controllo completo.

  • Fai clic su Applica, quindi su OK e chiudi la console.

  • Passaggio 4: visualizzazione degli eventi nel Visualizzatore eventi
  • Nella finestra Visualizzatore eventi , vai a Registri di Windows ➔ Registri di Sicurezza.

  • Fai clic su Filtra il registro corrente in Azione nel pannello di destra.

  • Cerca l'ID evento 4670, identifica le modifiche alle autorizzazioni del registro di sistema di Windows.

  • Puoi fare doppio clic sull'evento per visualizzare le Proprietà dell'evento.

    how-to-audit-windows-registry-changes-4
  • Questi passaggi devono essere ripetuti per tutte le chiavi del registro di sistema per controllare le modifiche apportate alle autorizzazioni relative. Il controllo manuale di ogni evento è dispendioso in termini di tempo, inefficiente e praticamente impossibile.

Il controllo nativo è un po' troppo?

Semplifica il controllo e la creazione di report sulle modifiche alle autorizzazioni del registro di sistema di Windows con ADAudit Plus.

Scaricalo gratuitamente Versione di prova di 30 giorni completamente funzionante

ADAudit Plus semplifica il monitoraggio delle modifiche alle autorizzazioni del registro di sistema di Windows offrendo report predefiniti sulle modifiche alle impostazioni di Windows facilmente comprensibili. ADAudit Plus offre anche la possibilità di generare report personalizzati ed esportarli nel formato preferito (PDF, XLS, HTML e CSV).

Richiedere supporto

Grazie!

I nostri tecnici dell'assistenza ti ricontatteranno al più presto.

    Inserire un indirizzo email valido
  •  
     
  • Cliccando 'invia richiesta' accetti l’elaborazione dei propri dati personali secondo l’Informativa sulla privacy.

Zoho Corporation Pvt. Ltd. Tutti i diritti riservati.