Windows 10: Tracciare gli accessi al FileSystem

In questo articolo verrà mostrato come tracciare gli accessi al FileSystem sul PC riprendendo quanto già visto negli articoli Windows 10: Visualizzare i tentativi di accesso al sistema, Windows 10: Verificare operazioni eseguite sugli account e cancellazione registri eventi  e Windows 10: Visualizzare i processi eseguiti da un utente sul PC.
Prima di procedere bisogna attivare l'audit (si veda l'articolo Windows 10: Attivazione audit) e, dato il numero elevato di eventi da tracciare, incrementare le dimensioni del registro eventi come indicato nell'articolo Windows 10: Aumentare la dimensione dei registri eventi.

Attivare l'audit su una cartella

Supponiamo di voler tracciare le operazioni che vengono eseguite su una cartella, ad es. C:\Test:

• Cliccare, con il tasto destro del mouse, sulla cartella e selezionare, dal menu contestuale, la voce Proprietà.
• Selezionare la scheda Sicurezza quindi cliccare su Avanzate.
  

  

  FIG 1 - Proprietà cartella

  
  
• Selezionare la scheda Controllo quindi cliccare su Continua.
  

  

  FIG 2 - Impostazioni avanzate di sicurezza

  
  
• A questo punto la finestra apparirà come in FIG 3 e saremo pronti a configurare l'audit sulla cartella. Windows consente di tracciare le operazioni eseguite da un singolo utente o da tutti gli utenti appartenenti ad un determinato gruppo. In questo articolo andremo a monitorare tutte le operazioni eseguite dagli utenti che appartengono ai gruppi Users e Administrators. Cliccare sul pulsante Aggiungi.
  

  

  FIG 3 - Impostazioni avanzate di sicurezza, Voci di controllo

  
  
• Cliccare sul link Seleziona un'entità.
  

  

  FIG 3 - Voci di controllo

  
  
• Nella casella Immettere il nome dell'oggetto da selezionare, digitare users, cliccare sul pulsante Controlla nomi quindi confermare la scelta cliccando su OK.
  

  

  FIG 4 - Seleziona Utente o Gruppo

  
  
• Una volta tornati alla finestra per l’impostazione dell’audit, selezionare la caselle di controllo relative alle attività che si intendono monitorare (Lettura ed esecuzione, Visualizzazione contenuto cartella, Lettura, Scrittura) e cliccare su OK per ritornare alla finestra principale dell'audit.
  

  

  FIG 5 - Voci di controllo, Autorizzazioni di base

  
  
• Ripetere le stesse operazioni per il gruppo Administrators.
• Ci ritroveremo in una situazione analoga a quella mostrata in FIG 6. Cliccare su OK per confermare le operazioni e chiudere la finestra Proprietà.
  

  

  FIG 6 - Impostazioni avanzate di sicurezza

  
  

Verifica operazioni eseguite su file o cartella (Evento ID 4656)

Per generare qualche evento da analizzare, eseguire qualche operazione all'interno della cartella come la creazione di un nuovo file di testo e la copia ed esecuzione di un file batch.

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  

  

  FIG 7 - Visualizzatore eventi

  
  
• L'evento che ci interessa è quello con ID 4656: È stato richiesto l'handle di un oggetto. L'evento viene generato ogniqualvolta un utente prova ad accedere a una risorsa (come un file oppure una directory) sottoposta ad audit. Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4656 e cliccare su OK.
  

  

  FIG 8 - Filtro registro corrente

  
  
• Se il numero dei risultati è elevato possiamo affinare ulteriormente la ricerca. Cliccare sul tasto Trova presente sul pannello destro della finestra. Inserire, nell'apposita casella, il nome della cartella (C:\Test) che si desidera controllare e cliccare su OK.
  

  

  FIG 9 - Registro eventi, Trova

  
  
• L'evento contiene diverse informazioni suddivise per sezioni:
  Soggetto. Contiene informazioni relative all'utente che ha provato ad eseguire l'accesso. Tra i dati forniti in questa sezione troviamo ID Sicurezza, Nome Account, Dominio Account e l'ID accesso, un identificativo numerico che non viene ripetuto fino al successivo riavvio della macchina e che identifica la sessione di logon dell'utente consentendo di ricostruirne l'attività.
  Oggetto. Identifica l'oggetto del tentativo di accesso. In questa sezione vengono illustrati i campi Server dell'oggetto, il Tipo di oggetto, il Nome oggetto e il campo ID handle, un valore numerico che, come il campo ID accesso, non è ripetibile fino al successivo riavvio del sistema e che può essere utilizzato per ricostruire tutte le attività eseguite sull'oggetto nel corso di una sessione di lavoro.
  Informazioni sul processo. Identifica il processo/programma che ha effettuato, per conto dell'utente, l'accesso alla risorsa sotto audit. Viene indicato il Nome processo e l'ID processo.
  Informazioni di richiesta di accesso. In questa sezione vengono fornite informazioni aggiuntive sulla richiesta d'accesso tra cui l'ID transazione e il campo Accessi in cui vengono mostrati i permessi richiesti.
  

  

  FIG 10 - Proprietà evento

  
  

Dalle proprietà dell'evento mostrato in FIG 11 si evince che il file c:\test\Nuovo documento di testo.txt è stato eliminato, attraverso il processo explorer.exe, dall'utente Virtual.

FIG 11 - Evento ID 4656, File eliminato

L'evento mostrato in FIG 12 indica che il file batch C:\Test\fileBatch.bat è stato letto dal processo cmd.exe eseguito su richiesta dell'utente Virtual.

FIG 12 - Evento ID 4656, File batch

Ricerca degli eventi tramite PowerShell

Vediamo come ricercare gli eventi all'interno del registro utilizzando PowerShell. Prendiamo come esempio l'evento mostrato in FIG 13 relativo ad un operazione eseguita all'interno della cartella C:\Test. L'evento ha come Handle ID 0x2fc8. 

FIG 13 - Evento ID 4656, handle ID 0x2fc8

Possiamo effetture la ricera per l'Handle ID tramite il comando PowerShell

Get-WinEvent -FilterHashtable @{LogName='Security';data='0x2fc8'}| Format-List

FIG 14 - PowerShell, Ricerca evento tramite Handle ID

Ricostruire tutte le attività compiute su un oggetto o da un determinato utente  nell’ambito di una sessione di lavoro è complesso e leggere i risultati delle interrogazioni effettuate tramite PowerShell non è l'ideale.

Ricercare gli eventi tramite XPath

Per ricercare maggiori informazioni possiamo eseguire una query in formato XPath:

• Da Visualizzatore eventi cliccare su Filtro registro corrente e nella casella <Tutti gli ID evento> digitare nuovamente l'ID 4656
• Spostarsi sulla scheda XML. Verrà visualizzata la query XPath con i criteri di filtro inseriti. Per modificare la query manualmente selezionare la casella Modifica query manualmente e rispondere affermativamente alla successiva finestra di dialogo.
• Modificare il contenuto della query come indicato di seguito sostituendo a 0x2c30 l'handle ID da ricercare.
  

  <QueryList>
    <Query Id="0" Path="Security">
      <Select Path="Security">*[System[(EventID>0)]]and *[EventData[Data[@Name='HandleId']='0x2c30']]
      </Select>
    </Query>
  </QueryList>

• Cliccando su OK verrà eseguita la query con le condizioni specificate.
  

  

  FIG 15 - Query XPath

• Dai risultati della query notiamo, oltre all'evento con ID 4656, anche nuovi eventi non osservati in precedenza con i seguenti ID:
  4663 "Tentativo di accedere a un oggetto." che viene generato quando il processo o gli utenti individuati dall'evento ID 4656 accedono all'oggetto.
  4658 "L' handle di un oggetto è stato chiuso." che viene generato quando il processo o gli utenti individuati dall'evento ID 4656 hanno terminato di utilizzare l'oggetto.
  

  

  FIG 16 - Risultato query XPath

  
  
• Per verificare le operazioni eseguite dall'utente possiamo modificare la query come indicato di seguito (sostituendo Virtual con il nome dell'utente da verificare)

  <QueryList>
    <Query Id="0" Path="Security">
      <Select Path="Security">*[System[(EventID>0)]]and *[EventData[Data[@Name='SubjectUserName']='Virtual']]
  	</Select>
    </Query>
  </QueryList>

• Se vogliamo focalizzare la nostra attenzione sull'utente e sulle operazioni eseguite mediante Esplora file possiamo affinare la query in questo modo
  

  <QueryList>
    <Query Id="0" Path="Security">
      <Select Path="Security">*[System[(EventID>0)]]and*[EventData[Data[@Name='SubjectUserName']='Virtual']]and
  	*[EventData[Data[@Name='ProcessName']='C:\Windows\explorer.exe']]
  	</Select>
    </Query>
  </QueryList>

• Per visualizzare le operazioni eseguite da un particolare utente su un determinato file utilizzando Esplora file, la query da utilizzare sarà simile alla seguente
  

  <QueryList>
    <Query Id="0" Path="Security">
  	<Select Path="Security">
  	*[System[(EventID>0)]]and*[EventData[Data[@Name='SubjectUserName']='Virtual']]and
  	*[EventData[Data[@Name='ProcessName']='C:\Windows\explorer.exe']]and
  	*[EventData[Data[@Name='ObjectName']='C:\Test\FilePassword.txt']]
  	</Select>
    </Query>
  </QueryList>

Windows 10: Verificare operazioni eseguite sugli account e cancellazione registri eventi

Quest'articolo prosegue gli argomenti trattati negli articoli Windows 10: Attivazione audit e Windows 10: Visualizzare i tentativi di accesso al sistema nei quali abbiamo visto come attivare l'audit e come visualizzare gli accessi riusciti e non riusciti al nostro sistema. 

Verificare gli accessi al sistema può non bastare ed è opportuno approfondire l'indagine al fine di individuare eventuali falle di sicurezza del sistema operativo o di uno dei software presenti sulla macchina. Per tale motivo è bene indagare anche su cosa ha effettuato il malintenzionato una volta avuto accesso al sistema come:

• Programmi eseguiti.
• Accessi al disco.
• Cancellazione dei registri eventi e log al fine di nascondere l'intrusione.
• Creazione di account utente e modifica di gruppi per lasciarsi una via di accesso nel caso in cui la vulnerabilità sfruttata per ottenere l'accesso venisse patchata.
• Cancellazione di account utente (che potrebbero ricondurre all'intrusione).

Verificare account eliminati (Evento ID 4726)

Per verificare se qualche account è stato eliminato e chi ha eseguito l'operazione possiamo procedere nel seguente modo:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  

  

  FIG 1 - Registro eventi Sicurezza

  
  
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4726 (l'ID corrisponde all'evento: Un account utente è stato eliminato) e cliccare su OK.
  

  

  FIG 2 - Filtro registro corrente, ID 4726

  
  
• Come visibile in figura l'evento riporta l'autore della rimozione (Nella sezione Soggetto, Nome Account: Virtual), il nome e il SID dell’utente rimosso (sezione Account di destinazione, ID sicurezza:S-1-5-21....., Nome account:Test) oltre ad altre informazioni come la data e l'ora in cui l'operazione è stata eseguita.
  

  

  FIG 3 - Un account utente è stato eliminato

  
  

Verificare account rimossi da gruppi (Evento ID 4733)

Per verificare se qualche utente è stato rimosso da qualche gruppo:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4733 (l'ID corrisponde all'evento: È stato rimosso un membro da un gruppo locale con sicurezza attivata) e cliccare su OK.
• L'evento riporta l'autore della rimozione (Nella sezione Soggetto, Nome Account: Virtual), l'account rimosso dal gruppo (sezione Membro, ID sicurezza: DELL-XPS/Test2), il gruppo da cui è stato rimosso (Sezione Gruppo, ID sicurezza: BUILTIN/Utenti desktop remoto).
  

  

  FIG 4 - È stato rimosso un membro da un gruppo locale con sicurezza attivata

  
  

Verificare account inseriti in gruppi (Evento ID 4732)

Nei seguenti passaggi viene mostrato come verificare se un account è stato inserito all'interno di un gruppo. Un malintenzionato può aver aggiunto un normale account utente, con privilegi limitati, al gruppo amministratore, con privilegi elevati:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4732 (l'ID corrisponde all'evento: È stato aggiunto un membro a un gruppo locale con sicurezza attivata) e cliccare su OK.
• L'evento riporta l'autore dell'operazione (sezione Soggetto, Nome Account: Virtual), l'account aggiunto al gruppo (sezione Membro, ID sicurezza: DELL-XPS/Test2), il gruppo da cui è stato aggiunto (sezione Gruppo, ID sicurezza: BUILTIN/Utenti desktop remoto).
  

  

  FIG 5 - È stato aggiunto un membro a un gruppo locale con sicurezza attivata

  
  

Verificare creazione nuovo account (Evento ID 4720)

Per verificare se sono stati creati nuovi account utente:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4720 (l'ID corrisponde all'evento: È stato creato un account utente) e cliccare su OK.
• L'evento riporta l'autore dell'operazione (sezione Soggetto, Nome Account: Virtual), l'account creato (sezione Membro, ID sicurezza: DELL-XPS/Test2, Nome account: Test2)e ulteriori informazioni.
  

  

  FIG 6 - È stato creato un account utente

  
  

Verifica disconnessione dell'utente (Evento ID 4647)

Per verificare quando un utente ha effettuato il logoff basta ricercare l'evento con ID 4647:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4647 (l'ID corrisponde all'evento: Disconnessione avviata dall'utente) e cliccare su OK.
• L'evento riporta l'autore (sezione Soggetto, Nome Account: Virtual), la data e l'ora dell'operazione.
  

  

  FIG 7 - Disconnessione avviata dall'utente

  
  

Verifica cancellazione del registro (Evento ID 1120)

Un utente con privilegi amministrativi sulla macchina può cancellare completamente il contenuto del registro per nascondere le proprie tracce. L'operazione, tuttavia, genera un evento con ID 1120. Per verificare se il registro è stato svuotato e da chi:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 1120 (l'ID corrisponde all'evento: Registro di controllo cancellato) e cliccare su OK.
•  L'evento riporta l'autore (sezione Soggetto, Nome Account: Virtual), la data e l'ora dell'operazione.
  

  

  FIG 8 - Registro di controllo cancellato

  
  

Windows 10: Attivazione audit

La tracciatura degli eventi impostata di default in Windows, a differenza di altri sistemi operativi come GNU/Linux, risulta troppo limitata per consentire di individuare con certezza un eventuale intrusione fornendo informazioni dettagliate.

Fortunatamente è possibile ovviare a questa mancanza in maniera molto semplice attraverso l'utilizzo dell'Editor Criteri di gruppo locali:

• Avviare, con un utente amministratore, l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
• Selezionare il percorso Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo;
  

  

  FIG 1 - Editor Criteri di gruppo locali

  
  
• Bisogna attivare tutte le voci che appaiono sul pannello destro ad eccezione di Controlla accesso al servizio directory  in quanto, in questo caso, il PC non è connesso al dominio. Per l'attivazione basta cliccare due volte sul criterio e selezionare le caselle Operazioni riuscite e Operazioni non riuscite.
  
  
  
  

Di seguito i dettagli dei criteri di controllo.

Controlla accesso agli oggetti

Questa impostazione di sicurezza specifica se il sistema operativo controlla i tentativi di accesso a oggetti non Active Directory.

Controlla accesso al servizio directory

Specifica se il sistema operativo controlla i tentativi di accesso agli oggetti Active Directory. Nel caso di PC non connesso a dominio tale controllo non va attivato.

Controlla eventi accesso account

Specifica se il sistema operativo controlla o meno gli eventi di convalida delle credenziali di un account nel computer in uso.

Controlla eventi di accesso

Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo evento di accesso o fine sessione nel computer in uso.  

Controlla eventi di sistema

Questa impostazione di sicurezza specifica se il sistema operativo controlla uno degli eventi seguenti: 

• Tentativo di modifica dell'ora di sistema
• Tentativo di avvio o arresto del sistema di sicurezza
• Tentativo di caricare componenti di autenticazione estendibili
• Perdita di eventi controllati a causa di un errore del sistema di controllo
• Dimensione del registro di sicurezza superiore a un livello soglia di avviso configurabile.

Controlla gestione degli account

Specifica se è necessario controllare ogni singolo evento di gestione degli account in un computer. Esempi di eventi di gestione degli account:

• Creazione, modifica o eliminazione di un account utente o di un gruppo.
• Ridenominazione, attivazione o disattivazione di un account utente.
• Impostazione o modifica di una password.

Controlla modifica ai criteri

Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo tentativo di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità. 

Controlla esito processi

Questa impostazione di sicurezza determina se il sistema operativo controlla o meno gli eventi correlati ai processi, ad esempio la creazione e la chiusura di un processo, la duplicazione degli handle e l'accesso indiretto agli oggetti. 

Controlla uso dei privilegi

Questa impostazione di sicurezza specifica se controllare o meno ogni singolo evento di utilizzo di un diritto utente da parte di un utente.

Windows Server 2019: File Auditing

In questo articolo verrà mostrato come implementare un controllo per individuare i file creati/cancellati da un utente all'interno di una cartella. Nello specifico andremo ad impostare l'audit sul contenuto della Cartella condivisa, creata nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa, per gli utenti che appartengono alla UO Direzione. In questo modo tutte le operazioni effettuate sui file presenti all'interno della Cartella condivisa (come la creazione/eliminazione/modifica) da tali utenti, verranno registrare.

Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.

FIG 1 - Server Manager

Espandere il dominio mycompany.local e cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione. Dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.... 

FIG 2 - Crea un oggetto Criteri di gruppo

Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_File_Auditing_PF e cliccare su OK. 

FIG 3 - Nuovo oggetto Criteri di gruppo

Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica. 

FIG 4 - Modifica GPO

Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo e cliccare due volte su Controlla accesso agli oggetti.

FIG 5 - Controlla accesso agli oggetti

Selezionare la casella Definisci le impostazioni relative ai criteri quindi selezionare anche le caselle Operazioni riuscite e Operazioni non riuscite e confermare cliccando su OK.

FIG 6 - Proprietà Controlla accesso agli oggetti

Lo stesso criterio di gruppo deve essere applicato anche al container Domain Controllers. Da Gestione Criteri di gruppo, cliccare su Domain Controllers con il tasto destro del mouse e dal menu contestuale selezionare Collega oggetto Criteri di gruppo esistente.

FIG 7 - Collega oggetto Criteri di gruppo esistente

Selezionare il criterio di gruppo GPO_File_Auditing_PF creato in precedenza e cliccare su OK.

FIG 8 - Seleziona oggetto Criteri di gruppo

Il prossimo passo consiste nello specificare il target di questo Audit. Da Esplora file posizionarsi sulla cartella c:\Cartella condivisa, cliccarci su con il tasto destro del mouse e selezionare Proprietà.

FIG 8 - Visualizzazione proprietà Cartella condivisa

Nella scheda Sicurezza cliccare sul pulsante Avanzate.

FIG 9 - Proprietà Cartella condivisa

Selezionare la scheda Controllo e cliccare sul pulsante Aggiungi.

FIG 10 - Impostazioni avanzate di sicurezza

Cliccare sul link Seleziona un'entità.

FIG 11 - Voci di controllo per Cartella condivisa

Negli articoli precedenti abbiamo creato il gruppo GRP_Direzione contenente tutti gli utenti dell'unità organizzativa Direzione. In questo passaggio utilizzeremo proprio tale gruppo per fare in modo di applicare il controllo a tutti gli utenti che appartengono all'unità organizzativa. Nel campo Immettere il nome dell'oggetto da selezionare digitare GRP_Direzione e cliccare sul pulsante Controlla nomi quindi su OK.

FIG 12 - Seleziona Utente, Computer, Account servizio o Gruppo

All'interno della casella Tipo selezionare Tutto quindi cliccare sul link Mostra autorizzazioni avanzate.

FIG 13 - Voci di controllo per Cartella condivisa

Selezionare le caselle Elimina, Creazione file/Scrittura dati e Creazione cartelle/Aggiunta dati e cliccare su OK.

FIG 14 - Voci di controllo per Cartella condivisa, Autorizzazioni avanzate

Nella finestra Impostazioni avanzate di sicurezza per Cartella condivisa cliccare su OK per chiudere la finestra. Fare lo stesso per la finestra Proprietà - Cartella condivisa.

Verificare il funzionamento del Audit

Non ci resta che testare il funzionamento del nostro audit. 

• Su una workstation del dominio loggarsi con un utenza appartenente alla UO Direzione. Accedere alla cartella condivisa (\\Server1DC\Cartella condivisa) e creare/cancellare qualche file.
• Ritornare sul server e avviare il Visualizzatore Eventi (premere la combinazione WIN+R e digitare eventvwr seguito da invio).
• Posizionarsi su Registri di Windows -> Sicurezza e cliccare su Trova.
  

  

  FIG 15 - Visualizzatore eventi

  
  
• Possiamo effettuare la nostra ricerca immettendo il nome dell'utente che intendiamo verificare (Ad es. giovanni.lubrano) oppure il nome del file che è stato cancellato dalla Cartella condivisa ( ad es test1.txt). Cliccando su Trova successivo verrà ricercato ed eventualmente visualizzato l'evento di proprio interesse. Come visibile da FIG 17 la ricerca degli eventi relativi al file test1.txt presente all'interno di Cartella condivisa ha dato i suoi frutti: il file risulta essere stato cancellato dall'utente Giovanni.Lubrano alle ore 22:37 del giorno 03/09/2020.
  

  

  FIG 16 - Visualizzatore eventi, Trova

  
  

  

  FIG 17 - Informazioni Audit

  
  

Windows Server 2019: Impostare l'audit sul logon/logoff degli utenti

Per verificare le informazioni relative ai logon riusciti, tentativi di accesso falliti e logoff degli account utente all'interno del dominio è possibile attivare l'audit sugli eventi di accesso:

• Avviare Gestione Criteri di gruppo.
• Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, su Default Domain Policy e dal menu contestuale selezionare Modifica.
  

  

  FIG 1 - Default Domain Policy

• Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo ed eseguire un doppio click su Controlla eventi di accesso.
  

  

  FIG 2 - Controlla eventi di accesso

• Selezionare la casella Definisci le impostazioni relative ai criteri. Dato che ci interessa monitorare sia i logon riusciti che i tentativi falliti selezionare la casella Operazioni riuscite (già selezionata di default) e Operazioni non riuscite. Cliccare su OK per confermare l'attivazione.
  

  

  FIG 3 - Attivazione controllo eventi di accesso

A questo punto tutti i logon, i tentativi di logon e i logoff degli utenti dalle postazioni del dominio verranno registrate. Provare ad eseguire il logon/logoff su una postazione del dominio quindi posizionarsi sul server e avviare il Visualizzatore eventi:

• Premere la combinazione di tasti WIN+R e nella finestra di dialogo Esegui digitare eventvwr seguito da Invio.
• Cliccare su Registri di Windows quindi su Sicurezza.
  

  

  FIG 4 - Visualizzatore eventi, Registri di Windows

• Dato che le informazioni in tale registro sono numerose è opportuno aiutarsi con la funzione trova o con un filtro per cercare l'informazioni di proprio interesse. Cliccare sul tasto Trova, digitare l'account che si intende verificare (ad es. giovanni.lubrano) e cliccare su Trova successivo. Si verrà posizionati sull'ultimo evento riguardante l'account specificato. In questo caso bisogna prestare attenzione agli eventi in cui il campo Categoria attività sia Logon o Logoff.
  

  

  FIG 5 - Evento Logon utente