Che cos’è l’esito positivo o negativo dell’audit nel Visualizzatore eventi

Per aiutare a risolvere i problemi, il Visualizzatore eventi, nativo del sistema operativo Windows, mostra i registri eventi dei messaggi di sistema e dell’applicazione che includono errori, avvisi e informazioni su determinati eventi che possono essere analizzati dall’amministratore per intraprendere le azioni necessarie. In questo post, discutiamo dell’esito positivo o negativo dell’audit nel Visualizzatore eventi .

Che cos’è l’esito positivo o negativo dell’audit nel Visualizzatore eventi

Nel Visualizzatore eventi, Audit Success è un evento che registra un tentativo di accesso alla sicurezza controllato che ha esito positivo, mentre Audit Failure è un evento che registra un tentativo di accesso alla sicurezza controllato che non riesce. Discuteremo questo argomento sotto i seguenti sottotitoli:

1. Criteri di controllo
2. Abilita criteri di controllo
3. Usa il Visualizzatore eventi per trovare l’origine dei tentativi falliti o riusciti
4. Alternative all’utilizzo del Visualizzatore eventi

Vediamoli nel dettaglio.

Criteri di controllo

Un criterio di controllo definisce i tipi di eventi che vengono registrati nei registri di sicurezza e questi criteri generano eventi, che possono essere eventi riusciti o eventi non riusciti. Tutti i criteri di controllo genereranno eventi di successo; tuttavia, solo alcuni di essi genereranno eventi di errore. È possibile configurare due tipi di criteri di controllo, vale a dire:

Gli errori di controllo vengono in genere generati quando una richiesta di accesso non riesce, sebbene possano anche essere generati da modifiche ad account, oggetti, criteri, privilegi e altri eventi di sistema. I due eventi più comuni sono;

• ID evento 4771: preautenticazione Kerberos non riuscita . Questo evento viene generato solo nei controller di dominio e non viene generato se per l’account è impostata l’opzione Non richiedere la preautenticazione Kerberos. Per ulteriori informazioni su questo evento e su come risolvere questo problema, fare riferimento alla documentazione Microsoft .
• ID evento 4625: un account non è riuscito ad accedere . Questo evento viene generato quando un tentativo di accesso all’account non riesce, supponendo che l’utente sia già bloccato. Per ulteriori informazioni su questo evento e su come risolvere questo problema, fare riferimento alla documentazione Microsoft .

Abilita criteri di controllo

È possibile abilitare i criteri di controllo sui computer client o server tramite l’Editor Criteri di gruppo locali o la Console di gestione Criteri di gruppo o l’Editor criteri di sicurezza locali. Su un server Windows, nel tuo dominio, crea un nuovo oggetto Criteri di gruppo oppure puoi modificare un oggetto Criteri di gruppo esistente.

Su un computer client o server, nell’Editor criteri di gruppo, vai al percorso seguente:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

Su un computer client o server, in Criteri di sicurezza locali, passare al percorso seguente:

Security Settings > Local Policies > Audit Policy

• In Criteri di controllo, nel riquadro destro fare doppio clic sul criterio di cui si desidera modificare le proprietà.
• Nel pannello delle proprietà, puoi abilitare il criterio per l’ esito positivo o negativo in base alle tue esigenze.

Usa il Visualizzatore eventi per trovare l’origine dei tentativi falliti o riusciti

Gli amministratori e gli utenti regolari possono aprire il Visualizzatore eventi su un computer locale o remoto, con l’autorizzazione appropriata. Il Visualizzatore eventi ora registrerà un evento ogni volta che si verifica un evento non riuscito o riuscito su un computer client o nel dominio su un computer server. L’ID evento che viene attivato quando viene registrato un evento non riuscito o riuscito è diverso (vedere la sezione Criteri di controllo precedente). Puoi accedere a Visualizzatore eventi > Registri di Windows > Sicurezza . Il riquadro al centro elenca tutti gli eventi che sono stati configurati per il controllo. Dovrai esaminare gli eventi registrati per cercare tentativi falliti o riusciti. Una volta trovati, puoi fare clic con il pulsante destro del mouse sull’evento e selezionare Proprietà eventoper ulteriori dettagli.

Alternative all’utilizzo del Visualizzatore eventi

In alternativa all’utilizzo del Visualizzatore eventi, esistono diversi software Event Log Manager di terze parti che possono essere utilizzati per aggregare e correlare i dati degli eventi da un’ampia gamma di fonti, inclusi i servizi basati su cloud. Una soluzione SIEM è l’opzione migliore se è necessario raccogliere e analizzare dati da firewall, sistemi di prevenzione delle intrusioni (IPS), dispositivi, applicazioni, switch, router, server e così via.

Spero che troverai questo post abbastanza informativo!

Perché è importante controllare sia i tentativi di accesso riusciti che quelli falliti?

È fondamentale controllare gli eventi di accesso indipendentemente dal fatto che abbiano esito positivo o negativo per rilevare i tentativi di intrusione poiché il controllo dell’accesso degli utenti è l’unico modo per rilevare tutti i tentativi non autorizzati di accedere a un dominio. Gli eventi di disconnessione non vengono registrati nei controller di dominio. È inoltre altrettanto importante controllare i tentativi falliti di accesso ai file poiché viene generata una voce di controllo ogni volta che un utente tenta senza successo di accedere a un oggetto del file system con un SACL corrispondente. Questi eventi sono essenziali per tenere traccia dell’attività per gli oggetti file che sono sensibili o preziosi e richiedono un monitoraggio aggiuntivo.

Come abilito i registri degli errori di controllo in Active Directory?

Per abilitare i registri degli errori di controllo in Active Directory, è sufficiente fare clic con il pulsante destro del mouse sull’oggetto di Active Directory che si desidera controllare, quindi selezionare Proprietà . Seleziona la scheda Sicurezza , quindi seleziona Avanzate . Selezionare la scheda Controllo e quindi selezionare Aggiungi . Per visualizzare i registri di controllo in Active Directory, fare clic su Start > Sicurezza del sistema > Strumenti di amministrazione > Visualizzatore eventi . In Active Directory, il controllo è il processo di raccolta e analisi di oggetti AD e dati di Criteri di gruppo per migliorare in modo proattivo la sicurezza, rilevare e rispondere tempestivamente alle minacce e mantenere le operazioni IT senza intoppi.