Cos'è Auditpol e come si usa | ADAudit Plus di ManageEngine

AuditPol (Audit Policy Program o auditpol.exe) è uno strumento da riga di comando utilizzato per visualizzare i criteri di controllo esistenti di un utente o di un computer e si trova nella cartella System32. Inoltre, viene utilizzato per gestire, effettuare una query e configurare le impostazioni dei criteri di controllo a livello di sottocategoria. Esistono numerose sottocategorie di controllo che forniscono dettagli accurati sulle attività in un computer. Le impostazioni dei criteri di controllo vengono suddivise in categorie e sottocategorizzate nel modo seguente:

CATEGORIA	SOTTOCATEGORIE
1. Accesso account	Controllo della convalida delle credenziali Controllo del servizio di autenticazione Kerberos Controllo delle operazioni del ticket di servizio Kerberos Controllo degli eventi di accesso ad altri account
2. Gestione dell'account	Controllo della gestione dei gruppi di applicazioni Controllo della gestione dell'account computer Controllo della gestione del gruppo di distribuzione Controllo di altri eventi di gestione dell'account Controllo della gestione dei gruppi di sicurezza Controllo della gestione dell'account utente
3. Tracciamento dettagliato	Controllo dell'attività DPAPI Creazione del processo di controllo Terminazione del processo di controllo Controllo degli eventi RPC
4. Accesso DS	Controllo della replica dettagliata del servizio directory Controllo dell'accesso al servizio directory Controllo delle modifiche al servizio directory Controllo della replica del servizio directory
5. Accesso/Disconnessione	Controllo del blocco dell'account Controllo della modalità estesa IPsec Controllo della modalità principale IPsec Controllo della modalità rapida IPsec Controllo della disconnessione Controllo dell’accesso Controllo dei server dei criteri di rete Controllo di altri eventi di accesso/disconnessione Controllo di accessi speciali
6. Accesso agli oggetti	Controllo di applicazione generata Controllo dei servizi di certificazione Controllo dettagliato della condivisione file Controllo della condivisione file Controllo del file system Controllo della piattaforma filtro Controllo della piattaforma filtro Packet Drop Controllo della manipolazione handle Controllo dell'oggetto kernel Controllo di altri eventi di accesso agli oggetti Controllo del registro di sistema Controllo SAM
7. Modifica dei criteri	Controllo della modifica ai criteri di controllo Controllo della modifica ai criteri di autenticazione Controllo della modifica ai criteri di autorizzazione Controllo della modifica ai criteri della piattaforma filtro Controllo della modifica ai criteri a livello di regola MPSSVC Controllo di altri eventi di modifica ai criteri
8. Uso dei privilegi	Controllo dell'uso dei privilegi non sensibili Controllo dell'uso dei privilegi sensibili Controllo di altri eventi di uso dei privilegi
9. Sistema	Controllo del driver IPsec Controllo di altri eventi di sistema Controllo della modifica allo stato di sicurezza Controllo dell'estensione del sistema di sicurezza Controllo dell'integrità del sistema
10. Controllo globale dell'accesso agli oggetti	File system (controllo dell'accesso globale agli oggetti) Registro di sistema (controllo globale dell'accesso agli oggetti)

Utilizzando AuditPol, possono essere eseguite le seguenti azioni:

È possibile impostare ed effettuare la query di un criterio di controllo del sistema. Questo criterio regola il tipo di informazioni di sistema che si trovano nei registri di sicurezza. L'ID evento da cercare è 4719.
È possibile impostare ed effettuare la query di un criterio di controllo per utente. Windows registra l'evento per documentare l'utente per il quale sono stati impostati i criteri di controllo. L'ID evento da cercare è 4912.
Le opzioni di controllo possono essere impostate e può essere effettuata una query.
È possibile impostare ed effettuare la query del descrittore di sicurezza utilizzato per delegare l'accesso a un criterio di controllo. L'ID evento da cercare è 4715.
I report o i backup dei criteri di controllo possono essere generati in un file di testo CSV. I criteri di controllo del sistema, le impostazioni dei criteri di controllo per utente per tutti gli utenti e tutte le opzioni di controllo vengono sottoposti a backup in file CSV.
I criteri di controllo possono essere caricati da file di testo CSV.
È possibile configurare i SACL delle risorse globali. Le impostazioni SACL delle risorse globali consentono agli amministratori di definire i SACL di un computer per tipo di oggetto per il file system o il Registro di sistema di Windows. L'ID evento da cercare è 4663.

Come eseguire AuditPol

Nel prompt dei comandi esegui il cmdlet seguente come amministratore per visualizzare le impostazioni di controllo esistenti:

auditpol /get /category:*

In alternativa, per visualizzare le impostazioni di controllo correnti e configurare le nuove impostazioni, puoi eseguire le operazioni seguenti dal controller di dominio che esegue il sistema operativo Windows Server:

Accedi a Server Manager
Vai a Strumenti -> Gestione Criteri di gruppo
Vai a Domini -> Il tuo dominio -> Controller di dominio -> Criterio controller di dominio predefinito
Fai clic con il pulsante destro del mouse su Criterio controller di dominio predefinito e quindi su modifica
Vai a Configurazione computer --> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo.

Come tenere traccia delle modifiche ai criteri di controllo con ADAudit Plus

Accedi alla console web di ADAudit Plus
Passa a Reports -> GPO Setting changes.
Seleziona il report di tua scelta e visualizza le informazioni sulle modifiche apportate alle impostazioni dei Criteri di gruppo, alla configurazione del computer, ai criteri password e altro ancora.

Ad esempio, lo screenshot seguente di ADAudit Plus mostra un report di esempio sulle modifiche apportate alle impostazioni degli oggetti Criteri di gruppo:

Facendo clic su Mostra dettagli,

in questo report è possibile ottenere le seguenti informazioni:

Quale impostazione dell'oggetto Criteri di gruppo è stata modificata?
Chi ha modificato le impostazioni dell'oggetto Criteri di gruppo?
Quando sono state modificate le impostazioni dell'oggetto Criteri di gruppo?
Quali sono state le modifiche esatte apportate alle impostazioni dell'oggetto Criteri di gruppo?

La differenza di ADAudit Plus

Scarica ADAudit Plus di ManageEngine, uno strumento di controllo di Active Directory in tempo reale, che offre report e avvisi istantanei tramite posta elettronica. È uno strumento utile per comprendere il comportamento dei dipendenti nei confronti dell'IT e contrastare gli attacchi interni ed esterni. Può essere utilizzato anche per tenere traccia di tutte le modifiche apportate alle impostazioni degli oggetti Criteri di gruppo e ai criteri di controllo.

Cos'è AuditPol?