ADAudit Plus è una pluripremiata soluzione di controllo dell'architettura di registrazione centralizzata, che consente agli amministratori di Microsoft Windows di visualizzare, monitorare, archiviare e ottenere avvisi in tempo reale e report di auditing completi degli eventi del registro Sicurezza di Windows. Il registro Sicurezza contiene record di eventi correlati alla sicurezza specificati nel criterio di controllo del sistema. Gli amministratori possono rilevare e tracciare le attività non autorizzate tentate e riuscite e risolvere i problemi. Tra gli eventi di sicurezza vi sono eventi di autenticazione, eventi di controllo (auditing), eventi non autorizzati e gli eventi memorizzati nei registri di sicurezza dei sistemi operativi.
Registri eventi di sicurezza di Windows critici che richiedono controllo | |
4768 / 4771 | Accesso ad account riuscito/non riuscito |
4624 / 4625 | Accesso locale riuscito/non riuscito |
4647 | Disconnessione iniziata dall'utente |
4778 / 4779 | Sessione Servizi terminali riconnessa/disconnessa |
5136 / 5137 | Modifica/creazione/spostamento oggetto di AD |
5139 / 5141 | Oggetto di AD spostato/eliminato |
4670 | Modifica ad autorizzazioni con attributi precedenti e nuovi |
4663 / 4659, 4660 | Accesso/eliminazione file |
Il numero non misurabile di eventi registrabili indicano chiaramente quanto l'analisi del registro eventi Sicurezza possa essere un'attività lenta e dispendiosa. Se si desidera controllare le operazioni riuscite, controllare le operazioni non riuscite o non controllare questo tipo di eventi, è necessario definire il criterio di controllo avanzato richiesto nelle impostazioni di sicurezza locali, assicurandosi che vengano raccolti solo i registri di sicurezza richiesti e impedendo che il disco venga rapidamente saturato da registri indesiderati.
Di seguito sono riportati gli eventi di sicurezza che si consiglia di impostare come attivi per il controllo, e che si trovano nelle impostazioni del criterio di controllo (auditing) avanzato: Per controller di dominio | Per file server Windows | Per server membri Windows | Per workstation Windows
Di seguito sono elencate le varie categorie di criteri di controllo avanzati | |
Accesso degli account | Documenta i tentativi di autenticare dati di account su un controller di dominio o in un Security Accounts Manager (SAM) locale. |
Gestione degli account | Monitora i cambiamenti agli account utente e computer e ai gruppi. |
Tracciamento dettagliato | Monitora le attività di applicazioni singole e degli utenti su quel computer. |
Accesso ai servizi di directory | Visualizza un audit trail dettagliato dei tentativi di accesso e modifica degli oggetti in Active Directory Domain Services (AD DS). |
Accesso/disconnessione | Traccia i tentativi di accedere a un computer in modalità interattiva o tramite la rete. Questi eventi sono particolarmente utili per il tracciamento delle attività degli utenti e per l'identificazione di potenziali attacchi alle risorse di rete. |
Accesso agli oggetti | Traccia i tentativi di accesso a oggetti o tipi di oggetti specifici su una rete o un computer. |
Modifiche ai criteri | Traccia le modifiche e i tentativi di modifica di importanti criteri di sicurezza su un sistema locale o in rete. |
Utilizzo dei privilegi | Traccia le autorizzazioni concesse in una rete per utenti o computer al fine di completare determinate attività. |
Sistema | Monitora i cambiamenti a livello di sistema a un computer non incluso in altre categorie e che ha potenziali implicazioni sulla sicurezza. |
Controllo degli accessi agli oggetti globali | Gli amministratori possono definire elenchi di controllo degli accessi di sistema (SACL) dei computer per tipo di oggetto in relazione al file system o al registro. |