Principale utente con più risposte
Log di dominio

Domanda
-
Salve a tutti,
mi è stato richiesto di controllare tutti gli accessi alle cartelle condivise del dominio, per avere i log degli accessi riusciti e non.
Di seguito riporto la configurazione attuale rispettivamente per le policy "default domain policy" e default Domain Controller policy"
"default domain policy"
Citerio
Impostazione
Controlla eventi accesso account
Operazioni riuscite e non riuscite
Controlla eventi di accesso
Operazioni riuscite e non riuscite
Controlla eventi di sistema
Operazioni riuscite e non riuscite
“default Domain Controller policy"
Controlla accesso al servizio directory
Operazione riuscita
Controlla eventi accesso account
Operazioni riuscite e non riuscite
Controlla eventi di sistema
Operazione riuscita
Controlla gestione degli account
Operazione riuscita
Controlla modifica ai criteri
Operazione riuscita
Controlla traccia processo
Nessun controllo
Controlla uso dei privilegi
Cos'altro devo abilitare per potere avere i log degli accessi alle cartelle?
L' altro problema che ho è nei log sicurezza, dove mi trovo dei controlli non riusciti (quindi con il lucchetto) che non ne capisco la provenienza.
Di seguito i dettagli del log:
ID evento 5152
Pacchetto bloccato da Piattaforma filtro Windows.
Informazioni sull'applicazione:
ID processo: 0
Nome applicazione: -
Informazioni di rete:
Direzione: In arrivo
Indirizzo di origine: "indirizzo client"
Porta di origine: 3160
Indirizzo di destinazione: "indirizzo server"
Porta di destinazione: 445
Protocollo: 6
Informazioni sul filtro:
ID run-time filtro: 67699
Nome livello: Trasporto
ID run-time livello: 13
Spero in vostro cortese aiuto.
Ringrazio anticipatamente.
Nessun controllo
Risposte
-
riporto qui di seguito un elenco di possibili cause delle segnalazioni che ottieni con le possibili soluzioni
http://www.eventid.net/display-eventid-1865-source-NTDS%20KCC-eventno-1577-phase-1.htm
http://www.eventid.net/display-eventid-1311-source-NTDS%20KCC-eventno-524-phase-1.htm
http://www.eventid.net/display-eventid-1566-source-NTDS%20KCC-eventno-1111-phase-1.htm
http://www.eventid.net/display-eventid-2092-source-NTDS%20Replication-eventno-5836-phase-1.htm
inoltre esegui un
netdom /queryfsmoroles
per capire chi detiene i ruoli fsmo.
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org- Proposto come risposta Edoardo BenussiMVP, Moderator giovedì 8 novembre 2012 15:53
- Contrassegnato come risposta Stefano Gentili lunedì 12 novembre 2012 11:27
Tutte le risposte
-
per la prima domanda ti manca l'aiblitazione dell'auditing sulle cartelle che vuoi monitorare
per la seconda domanda ti preciso che l'auditing di un sistema windows rileva e registra un'infinitàdi eventi e tra questi parecchi possono risultare failures come ad esempio quando un'applicazione o un servizio tenta di accedere a chiavi di registro sulle quali non ha il permesso o almeno non c'è l'ha l'account sotto le cui credenziali gira quel servizio.
qui trovi un capitolo di un libro ad hoc
http://www.ultimatewindowssecurity.com/securitylog/resourcekits/book2008/chapter2.aspx
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org- Proposto come risposta Edoardo BenussiMVP, Moderator mercoledì 31 ottobre 2012 16:25
-
Ciao Stefano,
Il tuo thread nel Forum di TechNet è ancora aperto per noi.
Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community anche condividere una soluzione tua.
Grazie della collaborazione,
Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.
-
Avrei un ulteriore problema da risolvere....e visto che si tratta sempre di log di Windows credo posso continuare con questo thread, eventualmente ne apro un altro.
Il problema sta nei log di "Servizi di dominio Active Directory"
Ho cambiato le impostazioni della "default domain controller policy" "Configurazione Computer>Impostazioni di Windows>impostazioni di sicurezza>criteri locali" abilitando tutte le operazioni "riuscite e non riuscite" di tutti i criteri.
Ad un tratto mi compaiono una marea di log di avviso e di errori con id evento "1865" "1311" "1566" "2092"
"1865"
Controllo di coerenza informazioni (KCC) non è riuscito a creare una topologia di rete completa per l'albero di spanning. Di conseguenza, non è possibile raggiungere i seguenti siti dal sito locale.
Siti:
CN=”NOME_SITO”,CN=Sites,CN=Configuration,DC=“NOME_DOMINIO”,DC=local
"1311"
Controllo di coerenza informazioni (KCC) ha rilevato dei problemi con la seguente partizione di directory.
Partizione di directory:
DC=“NOME_DOMINIO”,DC=local
"1566"
Tutti i server directory nel seguente sito che possono replicare la partizione di directory su questo trasporto sono attualmente non disponibili.
Site:
CN=“NOME_SITO”,CN=Sites,CN=Configuration,DC=“NOME_DOMINIO”,DC=local
Partizione di directory:
DC=“NOME_DOMINIO”,DC=local
Trasporto:
CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=“NOME_DOMINIO”,DC=local
"2092"
Il server è proprietario del ruolo FSMO seguente, ma non lo considera valido. Per la partizione contenente il ruolo FSMO il server non ha completato la replica con alcuno dei relativi partner perché è stato riavviato. La convalida del ruolo è impedita da errori di replica.
Le operazioni per cui è necessario contattare un master operazioni FSMO restituiranno un errore fino a quando questa condizione non verrà corretta.
Ruolo FSMO: CN=Infrastructure,DC=“NOME_DOMINIO”,DC=local
Significa quindi che fin' ora non li avevo visti perche non avevo abilitato le policy precedentemente indicate? E' grave la cosa? Come mi consigliereste di impostarli?
E' possibile trovare in internet una guida su come impostare i criteri di gruppo per avere un buon rapporto sicurezza performance del dominio?
Grazie ancora a tutti.
-
Significa quindi che fin' ora non li avevo visti perche non avevo abilitato le policy precedentemente indicate? E' grave la cosa? Come mi consigliereste di impostarli?
grazie del feedback :-)
prima non vedevi questi eventi proprio perchè non avevi abilitato l'auditing.
la risposta agli eventi che vedi è che se hai un solo domain controller puoi trascurare quegli errori, se ne hai più d'uno di domain controller esaminiamo la situazione.
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org- Proposto come risposta Edoardo BenussiMVP, Moderator martedì 6 novembre 2012 12:56
-
-
ok. la configurazione dei siti di active directory è stata fatta a regola d'arte ? le repliche avvengono con successo tra i dc intersito ?
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org -
La configurazione credo di averla fatta bene, per quel che ne conosco, ma un tuo parere può essere di certo utile.
Come posso illustrarti la configurazione? c'è un modo per esportarla?
Le repliche avvengono con successo, quando creo/modifico/elimino qualcosa sotto le GPO o gli utenti di AD queste vengono replicate in tutti i siti, indipendentemente da dove opero.
-
Comunque....
ho creato i 3 siti assegnando ad ognuno la rispettiva subnet Sito 1: 192.168.1.0/24 - Sito 2: 192.168.2.0/24 - Sito 3: 192.168.3.0/24 (il nome dei siti segue anche la rispettiva sequenza di promozione dei DC's)
Le repliche sono state impostate nel seguente modo e hanno i quindi i valori di default asseganti dal server:
NTDS setting del sito 1
<generata automaticamente> dal server del sito 3
NTDS setting del sito 2
<generata automaticamente> dal server del sito 3
NTDS Setting del sito 3
<generata automaticamente> dal server del sito 1
<generata automaticamente> dal server del sito 2
Il server del sito 1 ha tutte le Operation master e tutti i dc puntano a quest' ultimo.
-
riporto qui di seguito un elenco di possibili cause delle segnalazioni che ottieni con le possibili soluzioni
http://www.eventid.net/display-eventid-1865-source-NTDS%20KCC-eventno-1577-phase-1.htm
http://www.eventid.net/display-eventid-1311-source-NTDS%20KCC-eventno-524-phase-1.htm
http://www.eventid.net/display-eventid-1566-source-NTDS%20KCC-eventno-1111-phase-1.htm
http://www.eventid.net/display-eventid-2092-source-NTDS%20Replication-eventno-5836-phase-1.htm
inoltre esegui un
netdom /queryfsmoroles
per capire chi detiene i ruoli fsmo.
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org- Proposto come risposta Edoardo BenussiMVP, Moderator giovedì 8 novembre 2012 15:53
- Contrassegnato come risposta Stefano Gentili lunedì 12 novembre 2012 11:27
-
-
-
ottimo, grazie del feedbak, ciao.
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org