venerdì 27 novembre 2020

Windows Server 2019: Impostare l'audit sul logon/logoff degli utenti

Per verificare le informazioni relative ai logon riusciti, tentativi di accesso falliti e logoff degli account utente all'interno del dominio è possibile attivare l'audit sugli eventi di accesso:
  • Avviare Gestione Criteri di gruppo.
  • Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, su Default Domain Policy e dal menu contestuale selezionare Modifica.
    Default Domain Policy
    FIG 1 - Default Domain Policy
  • Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo ed eseguire un doppio click su Controlla eventi di accesso.
    Controlla eventi di accesso
    FIG 2 - Controlla eventi di accesso
  • Selezionare la casella Definisci le impostazioni relative ai criteri. Dato che ci interessa monitorare sia i logon riusciti che i tentativi falliti selezionare la casella Operazioni riuscite (già selezionata di default) e Operazioni non riuscite. Cliccare su OK per confermare l'attivazione.
    Attivazione controllo eventi di accesso
    FIG 3 - Attivazione controllo eventi di accesso

A questo punto tutti i logon, i tentativi di logon e i logoff degli utenti dalle postazioni del dominio verranno registrate. Provare ad eseguire il logon/logoff su una postazione del dominio quindi posizionarsi sul server e avviare il Visualizzatore eventi:
  • Premere la combinazione di tasti WIN+R e nella finestra di dialogo Esegui digitare eventvwr seguito da Invio.
  • Cliccare su Registri di Windows quindi su Sicurezza.
    Visualizzatore eventi, Registri di Windows
    FIG 4 - Visualizzatore eventi, Registri di Windows
  • Dato che le informazioni in tale registro sono numerose è opportuno aiutarsi con la funzione trova o con un filtro per cercare l'informazioni di proprio interesse. Cliccare sul tasto Trova, digitare l'account che si intende verificare (ad es. giovanni.lubrano) e cliccare su Trova successivo. Si verrà posizionati sull'ultimo evento riguardante l'account specificato. In questo caso bisogna prestare attenzione agli eventi in cui il campo Categoria attività sia Logon o Logoff.
    Evento Logon utente
    FIG 5 - Evento Logon utente



Pubblicato da alle
Etichette: , ,

Nessun commento:

Posta un commento

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.

Iscriviti a: Commenti sul post (Atom)