19 July 2009
Windows 7/Windows 2008 R2 – Bentornata Audit Policy !!!
E’ stato proprio questo il mio primo pensiero quando ho cercato di configurare la policy di audit su un sistema Windows 7.
Perchè tutto questo entusiasmo? Seguitemi in questo breve riassunto e lo saprete ;)
Fin dal lontano Microsoft Windows 2000 l’audit che era possibile configurare tramite Group Policy era raggruppato in queste nove categorie:
| AUDIT CATEGORIES |
| Audit account logon events |
| Audit account management |
| Audit directory service access |
| Audit logon events |
| Audit object access |
| Audit policy change |
| Audit privilege use |
| Audit process tracking |
| Audit system events |
tramite Group Policy è possbile abilitare l’audit (SUCCESS of FAILURE) per ogni categoria
semplice no?
Con l’introduzione di Microsoft Windows Server 2008 e Microsoft Windows Vista sono state aggiunte delle sotto-categorie per ognuna delle nove categorie principali
Questo ha permesso di avere una maggiore granularità nella gestione dell’audit
| AUDIT CATEGORIES/SUBCATEGORIES |
| AUDIT ACCOUNT LOGON EVENTS |
| Kerberos Service Ticket Operations |
| Other Account Logon Events |
| Kerberos Authentication Service |
| Credential Validation |
| AUDIT ACCOUNT MANAGEMENT EVENTS |
| User Account Management |
| Computer Account Management |
| Security Group Management |
| Distribution Group Management |
| Application Group Management |
| Other Account Management Events |
| AUDIT DIRECTORY SERVICES ACCESS EVENTS |
| Directory Service Changes |
| Directory Service Replication |
| Detailed Directory Service Replication |
| Directory Service Access |
| AUDIT LOGON EVENTS |
| Logon |
| Logoff |
| Account Lockout |
| IPsec Main Mode |
| IPsec Quick Mode |
| IPsec Extended Mode |
| Special Logon |
| Other Logon/Logoff Events |
| Network Policy Server |
| AUDIT OBJECT ACCESS EVENTS |
| File System |
| Registry |
| Kernel Object |
| SAM |
| Certification Services |
| Application Generated |
| Handle Manipulation |
| File Share |
| Filtering Platform Packet Drop |
| Filtering Platform Connection |
| Other Object Access Events |
| Privilege Use |
| Sensitive Privilege Use |
| Non Sensitive Privilege Use |
| Other Privilege Use Events |
| AUDIT POLICY CHANGE EVENTS |
| Audit Policy Change |
| Authentication Policy Change |
| Authorization Policy Change |
| MPSSVC Rule-Level Policy Change |
| Filtering Platform Policy Change |
| Other Policy Change Events |
| AUDIT PROCESS TRACKING EVENTS |
| Process Termination |
| DPAPI Activity |
| RPC Events |
| Process Creation |
| AUDIT SYSTEM EVENTS |
| Security System Extension |
| System Integrity |
| IPsec Driver |
| Other System Events |
| Security State Change |
purtroppo però l’audit di queste categorie non è impostabile tramite Group Policy.
Per abilitare le subcategories è necessario ricorrere a degli script ed al tool AUDITPOL
(http://support.microsoft.com/kb/921469)
e disabilitare l’applicazione dell’AUDIT “tradizionale” tramite policy sui sistemi Microsoft Windows Vista e Microsoft Windows Server 2008
Con Microsoft Windows 7 e Microsoft Windows Server 2008 R2 le subcategories sono finalmente tornate ad essere gestite per mezzo delle Group Policy.
E’ infatti presente una nuova sezione sotto Computer Settings\Windows Settings\Security Settings\ADVANCED AUDIT POLICY CONFIGURATION
per mezzo della quale è possibile configurare le impostazioni di audit (SUCCESS of FAILURE) anche per le subcagories
Dario
Comment Notification
If you would like to receive an email when updates are made to this post, please register here
Subscribe to this post's comments using
Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.
