E’ stato proprio questo il mio primo pensiero quando ho cercato di configurare la policy di audit su un sistema Windows 7.
Perchè tutto questo entusiasmo? Seguitemi in questo breve riassunto e lo saprete ;)
Fin dal lontano Microsoft Windows 2000 l’audit che era possibile configurare tramite Group Policy era raggruppato in queste nove categorie:
Audit account logon events
Audit account management
Audit directory service access
Audit logon events
Audit object access
Audit policy change
Audit privilege use
Audit process tracking
Audit system events
tramite Group Policy è possbile abilitare l’audit (SUCCESS of FAILURE) per ogni categoria
semplice no?
Con l’introduzione di Microsoft Windows Server 2008 e Microsoft Windows Vista sono state aggiunte delle sotto-categorie per ognuna delle nove categorie principali
Questo ha permesso di avere una maggiore granularità nella gestione dell’audit
AUDIT ACCOUNT LOGON EVENTS
Kerberos Service Ticket Operations
Other Account Logon Events
Kerberos Authentication Service
Credential Validation
AUDIT ACCOUNT MANAGEMENT EVENTS
User Account Management
Computer Account Management
Security Group Management
Distribution Group Management
Application Group Management
Other Account Management Events
AUDIT DIRECTORY SERVICES ACCESS EVENTS
Directory Service Changes
Directory Service Replication
Detailed Directory Service Replication
Directory Service Access
AUDIT LOGON EVENTS
Logon
Logoff
Account Lockout
IPsec Main Mode
IPsec Quick Mode
IPsec Extended Mode
Special Logon
Other Logon/Logoff Events
Network Policy Server
AUDIT OBJECT ACCESS EVENTS
File System
Registry
Kernel Object
SAM
Certification Services
Application Generated
Handle Manipulation
File Share
Filtering Platform Packet Drop
Filtering Platform Connection
Other Object Access Events
Privilege Use
Sensitive Privilege Use
Non Sensitive Privilege Use
Other Privilege Use Events
AUDIT POLICY CHANGE EVENTS
Audit Policy Change
Authentication Policy Change
Authorization Policy Change
MPSSVC Rule-Level Policy Change
Filtering Platform Policy Change
Other Policy Change Events
AUDIT PROCESS TRACKING EVENTS
Process Termination
DPAPI Activity
RPC Events
Process Creation
AUDIT SYSTEM EVENTS
Security System Extension
System Integrity
IPsec Driver
Other System Events
Security State Change
purtroppo però l’audit di queste categorie non è impostabile tramite Group Policy.
Per abilitare le subcategories è necessario ricorrere a degli script ed al tool AUDITPOL
(http://support.microsoft.com/kb/921469)
e disabilitare l’applicazione dell’AUDIT “tradizionale” tramite policy sui sistemi Microsoft Windows Vista e Microsoft Windows Server 2008
Con Microsoft Windows 7 e Microsoft Windows Server 2008 R2 le subcategories sono finalmente tornate ad essere gestite per mezzo delle Group Policy.
E’ infatti presente una nuova sezione sotto Computer Settings\Windows Settings\Security Settings\ADVANCED AUDIT POLICY CONFIGURATION
per mezzo della quale è possibile configurare le impostazioni di audit (SUCCESS of FAILURE) anche per le subcagories
Dario
si ma il problema è come disabilitare questa porcata di auditing di windows su sistemi windows non server..
ovvero normali visto che è impregnata ovunque...