hit counter
Windows 7/Windows 2008 R2 – Bentornata Audit Policy !!! - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Windows 7/Windows 2008 R2 – Bentornata Audit Policy !!!

Windows 7/Windows 2008 R2 – Bentornata Audit Policy !!!

  • Comments 1
  • Likes

E’ stato proprio questo il mio primo pensiero quando ho cercato di configurare la policy di audit su un sistema Windows 7.

Perchè tutto questo entusiasmo? Seguitemi in questo breve riassunto e lo saprete ;)

Fin dal lontano Microsoft Windows 2000 l’audit che era possibile configurare tramite Group Policy era raggruppato in queste nove categorie:

 

AUDIT CATEGORIES

Audit account logon events

Audit account management

Audit directory service access

Audit logon events

Audit object access

Audit policy change

Audit privilege use

Audit process tracking

Audit system events

 

tramite Group Policy è possbile abilitare l’audit (SUCCESS of FAILURE) per ogni categoria

image

 

semplice no?

Con l’introduzione di Microsoft Windows Server 2008 e Microsoft Windows Vista sono state aggiunte delle sotto-categorie per ognuna delle nove categorie principali

Questo ha permesso di avere una maggiore granularità nella gestione dell’audit

 

AUDIT CATEGORIES/SUBCATEGORIES

AUDIT ACCOUNT LOGON EVENTS

Kerberos Service Ticket Operations

Other Account Logon Events

Kerberos Authentication Service

Credential Validation

AUDIT ACCOUNT MANAGEMENT EVENTS

User Account Management

Computer Account Management

Security Group Management

Distribution Group Management

Application Group Management

Other Account Management Events

AUDIT DIRECTORY SERVICES ACCESS EVENTS

Directory Service Changes

Directory Service Replication

Detailed Directory Service Replication

Directory Service Access

AUDIT LOGON EVENTS

Logon

Logoff

Account Lockout

IPsec Main Mode

IPsec Quick Mode

IPsec Extended Mode

Special Logon

Other Logon/Logoff Events

Network Policy Server

AUDIT OBJECT ACCESS EVENTS

File System

Registry

Kernel Object

SAM

Certification Services

Application Generated

Handle Manipulation

File Share

Filtering Platform Packet Drop

Filtering Platform Connection

Other Object Access Events

Privilege Use

Sensitive Privilege Use

Non Sensitive Privilege Use

Other Privilege Use Events

AUDIT POLICY CHANGE EVENTS

Audit Policy Change

Authentication Policy Change

Authorization Policy Change

MPSSVC Rule-Level Policy Change

Filtering Platform Policy Change

Other Policy Change Events

AUDIT PROCESS TRACKING EVENTS

Process Termination

DPAPI Activity

RPC Events

Process Creation

AUDIT SYSTEM EVENTS

Security System Extension

System Integrity

IPsec Driver

Other System Events

Security State Change

 

purtroppo però l’audit di queste categorie non è impostabile tramite Group Policy.

Per abilitare le subcategories è necessario ricorrere a degli script ed al tool AUDITPOL

(http://support.microsoft.com/kb/921469)

e disabilitare l’applicazione dell’AUDIT “tradizionale” tramite policy sui sistemi Microsoft Windows Vista e Microsoft Windows Server 2008

 

Con Microsoft Windows 7 e Microsoft Windows Server 2008 R2 le subcategories sono finalmente tornate ad essere gestite per mezzo delle Group Policy.

 

E’ infatti presente una nuova sezione sotto Computer Settings\Windows Settings\Security Settings\ADVANCED AUDIT POLICY CONFIGURATION

per mezzo della quale è possibile configurare le impostazioni di audit (SUCCESS of FAILURE) anche per le subcagories

 

image

 

Dario

Comments
  • si ma il problema è come disabilitare questa porcata di auditing di windows su sistemi windows non server..

    ovvero normali visto che è impregnata ovunque...

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment