Active Directory Audit »

Contenuti

Importanza dei criteri di controllo avanzati.

Lo scopo del controllo di sicurezza è garantire che gli eventi vengano registrati ogni volta che si verifica un'attività. Tuttavia, quando ogni attività viene controllata, i registri eventi vengono inondati di informazioni irrilevanti che rendono difficile per gli amministratori di rete distinguere gli eventi critici da quelli insignificanti. Le impostazioni avanzate dei criteri di controllo aiutano gli amministratori a esercitare un controllo granulare su quali attività vengono registrate nei registri, contribuendo a ridurre il rumore degli eventi.

Ad esempio, invece di attivare la categoria dei criteri di controllo di accesso DS per risolvere un problema di replica, che genererebbe circa otto eventi ogni volta che si verifica questa attività, un amministratore potrebbe attivare la sottocategoria dei criteri di controllo avanzati per la replica del servizio directory, in modo che venga generato un solo evento, invece di otto. 

Fondamenti per la configurazione di un criterio di controllo avanzato.

  • Identifica le attività nella tua rete più importanti da monitorare. Controlla gli 8 ID degli eventi più critici come punto di partenza.
  • Identifica le impostazioni di controllo della sicurezza che possono essere utilizzate per tenere traccia di queste attività. 
  • Valuta i potenziali vantaggi e svantaggi (implicazioni sulla dimensione del registro eventi, ad esempio) di ciascuna di queste impostazioni.  
  • Configura e gestisci le impostazioni di controllo della sicurezza (oltre ai criteri di controllo e ai criteri di controllo avanzati, è necessario anche configurare gli elenchi di controllo di accesso al sistema (SACL) per abilitare il controllo su oggetti directory e file/cartelle).

Per informazioni su come configurare i SACL, visita il nostro documento di aiuto.

Passaggi per configurare le impostazioni avanzate dei criteri di controllo.

L'impostazione di un criterio di controllo avanzato richiede autorizzazioni di account a livello di amministratore o autorizzazioni delegate appropriate.

  • Dal controller di dominio, fai clic su Start, scegli Strumenti di amministrazione, quindi Gestione Criteri di gruppo.
  • Dall'albero della console, fai clic sul nome della foresta > Domini > il tuo dominio, quindi fai clic con il pulsante destro del mouse sul dominio predefinito o sul criterio dei controller di dominio pertinente (o crea il tuo criterio), quindi fai clic su Modifica.
  • In Configurazione computer, fai clic su Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Configurazione avanzata dei criteri di controllo > Criteri controllo, quindi fai doppio clic sull'impostazione del criterio pertinente.
  • Nel riquadro di destra, fai clic con il pulsante destro del mouse sulla Sottocategoria pertinente, quindi fai clic su Proprietà.
  • Seleziona Operazioni riuscite, Operazioni non riuscite o entrambi dalla casella di controllo degli eventi di controllo, quindi fai clic su OK.
Passaggi per configurare le impostazioni avanzate dei criteri di controllo
  • Account Logon (quattro sottocategorie): Monitora i tentativi di autenticare i dati dell'account in un controller di dominio o in un SAM (Security Accounts Manager) locale.
  • Account Management (sei sottocategorie): Monitora le modifiche agli account e ai gruppi di utenti e computer.
  • Detailed Tracking (cinque sottocategorie): Monitora le attività delle singole applicazioni e degli utenti su un computer e mostra come viene utilizzato quel computer.
  • DS Access (quattro sottocategorie): Fornisce un audit trail dettagliato dei tentativi di accesso e modifica degli oggetti nel Servizi di dominio Active Directory.
  • Logon/Logoff (11 sottocategorie): Tiene traccia dei tentativi di accesso a un computer in modo interattivo o su una rete.
  • Object Access (14 sottocategorie): Tiene traccia dei tentativi di accesso a oggetti o tipi di oggetti specifici su una rete o un computer.
  • Policy Change (sei sottocategorie): Tiene traccia delle modifiche apportate a importanti criteri di sicurezza su un sistema o una rete locale.
  • Privilege Use (tre sottocategorie): Tiene traccia dell'utilizzo di determinate autorizzazioni su uno o più sistemi.
  • System (cinque sottocategorie): Tiene traccia delle modifiche a livello di sistema apportate a un computer che non sono incluse in altre categorie e che hanno potenziali implicazioni sulla sicurezza.
  • Global Object Access Auditing (due sottocategorie): Consente agli amministratori di definire i SACL del computer per tipo di oggetto per il file system o per il registro.

Scegliere di registrare successi, errori o entrambi.

È necessario valutare i vantaggi e gli svantaggi prima di scegliere di registrare successi, errori o entrambi. Ad esempio, per i file a cui accedono frequentemente utenti legittimi, i tentativi di accesso riusciti riempiranno rapidamente il registro con eventi benigni. Poiché gli eventi di accesso non riusciti possono indicare tentativi di accesso non autorizzati, in questo scenario sarebbe più opportuno controllare questo tipo di eventi. D'altra parte, per i file con informazioni sensibili, ogni tentativo di accesso dovrebbe essere registrato (sia riuscito che non), in modo da avere una traccia di controllo di ogni utente che ha effettuato l'accesso al file.

Cinque punti chiave da tenere a mente.

  • I criteri di controllo sono criteri informatici. Ciò significa che è necessario applicare criteri di controllo avanzati tramite gli oggetti Criteri di gruppo applicati alle unità organizzative contenenti computer e non alle unità organizzative utente.
  • I criteri di dominio predefiniti sono collegati al dominio e influiscono su tutti gli utenti e i computer al suo interno tramite l'ereditarietà dei criteri di gruppo. Mentre il criterio dei controller di dominio predefiniti è collegato all'unità organizzativa dei controller di dominio e influisce solo questi ultimi. Le impostazioni dei criteri applicate a livello di unità organizzativa sostituiscono le impostazioni dei criteri applicate a livello di dominio.
  • Quando utilizzi le impostazioni avanzate dei criteri di controllo, assicurati di abilitare le impostazioni Force advanced audit policy per sovrascrivere le impostazioni dei criteri di controllo. Per fare ciò, vai su Criteri locali > Opzioni di sicurezza e abilita le impostazioni della sottocategoria Force audit policy.
  • Esegui la Creazione guidata risultati Criteri di gruppo disponibile nella Console Gestione Criteri di gruppo per visualizzare un elenco consolidato di tutte le impostazioni dei criteri di controllo che verranno applicate.
  • Quando modifichi un criterio di controllo avanzato esistente, esegui un backup dell'oggetto Criteri di controllo esistente in modo che possa essere ripristinato in qualsiasi momento. Per eseguire un backup, fai clic con il pulsante destro del mouse sul GPO pertinente e utilizza la funzionalità Back Up.