Gli incidenti di sicurezza sono in aumento, il che rende fondamentale per le organizzazioni adottare le giuste misure per rafforzarsi. Un criterio di controllo di Windows efficace garantisce che vengano registrati gli eventi appropriati per ogni attività correlata alla sicurezza nella rete. Esaminare attentamente questi eventi può aiutarti a rilevare una violazione non appena si verifica, limitandone i danni. I dati di audit servono anche come prova per l'analisi forense all'indomani di qualsiasi incidente e l'archiviazione garantisce che la tua organizzazione rispetti i mandati normativi. Di seguito sono riportati sette consigli sui criteri di controllo per soddisfare i requisiti di sicurezza e conformità.
Qualsiasi strategia di gestione dei log di sicurezza deve includere il monitoraggio delle workstation. Sebbene i server e i controller di dominio siano monitorati rigorosamente, è imperativo che anche le workstation siano monitorate, poiché di solito sono il primo punto di una violazione. L'abilitazione dei criteri di controllo su tutte le workstation può aiutare a identificare le lacune nella sicurezza prima di subire danni eccessivi.
La configurazione dei criteri di controllo per controllare ogni attività sulla rete può inondare rapidamente i log di sicurezza con informazioni irrilevanti. Ciò rende difficile l'identificazione degli eventi critici per gli amministratori. Quindi assicurati che gli eventi più critici che indicano chiaramente attività non autorizzate e non rappresentano falsi positivi abbiano la priorità per la registrazione.
Windows offre una scelta binaria tra le nove categorie di criteri di controllo e le sottocategorie dei criteri di controllo avanzati. Le sottocategorie sono preferibili, in quanto consentono di limitare il numero di eventi della categoria correlata, riducendo il rumore. Quindi, configura le sottocategorie per un controllo più dettagliato su quali eventi vengono controllati.
Nota: per evitare che le impostazioni tradizionali della categoria di audit sostituiscano le sottocategorie, abilita l'opzione di protezione Forza le impostazioni della sottocategoria dei criteri di controllo (Windows Vista o versioni successive) per sostituire l'opzione di sicurezza delle impostazioni della categoria dei criteri di controllo disponibile in Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza.
Il controllo a livello di oggetto consente di monitorare le modifiche apportate agli oggetti, ai file e alle cartelle di Active Directory (AD). Abilita il controllo sugli oggetti directory configurando gli elenchi di controllo di accesso di sistema (SACL) oltre ai criteri di controllo e di controllo avanzato. In questo modo si garantisce che gli eventi vengano registrati ogni volta che si verifica un'attività correlata a un oggetto o a un file di AD.
Non tutte le attività garantiscono sia il successo che il fallimento del controllo. Ad esempio, per l'impostazione Controlla la condivisione file, è necessario controllare sia gli eventi di successo che quelli di errore per tenere traccia di tutti i tentativi di creazione, eliminazione, modifica e accesso alle condivisioni di rete. Tuttavia, per l'impostazione Controlla la condivisione file dettagliata, è possibile abilitare solo il controllo degli errori per identificare i tentativi di accesso non autorizzati, poiché il controllo degli eventi di successo per questa impostazione porterà a un volume elevato di eventi non pericolosi. Questo è il motivo per cui è necessario valutare attentamente i pro e i contro della registrazione degli eventi di esito positivo e/o negativo per ogni sottocategoria durante la configurazione dei criteri di controllo.
I dati di audit raccolti devono essere archiviati e conservati per un periodo specifico per rispettare le normative. In base ai criteri di controllo, i dati di audit possono riempire rapidamente lo spazio su disco. Quindi, definisci le dimensioni del registro eventi e le impostazioni di conservazione per evitare sovrascritture e alloca spazio sufficiente per archiviare i dati di audit dopo la conservazione.
Le modifiche ai criteri di controllo possono influire sulle prestazioni dei computer. Dopo aver modificato le impostazioni di controllo, utilizza la Creazione guidata dei risultati Criteri di gruppo per visualizzare l'elenco delle impostazioni dei criteri di controllo che verranno applicate. Perfeziona le impostazioni in base alle esigenze prima di implementarle nell'ambiente AD.
L'utilizzo di strumenti nativi per interpretare e analizzare le informazioni contenute nei log di audit può rallentare la risposta forense a una violazione della sicurezza. ADAudit Plus di ManageEngine è un revisore delle modifiche basato sull'analisi del comportamento degli utenti (UBA) che aiuta a mantenere l'ecosistema Windows Server sicuro e conforme fornendo una visibilità completa su tutte le attività.
Scarica la versione di prova gratuita di 30 giorni.