none
Log di dominio RRS feed

  • Domanda

  • Salve a tutti,

    mi è stato richiesto di controllare tutti gli accessi alle cartelle condivise del dominio, per avere i log degli accessi riusciti e non.

    Di seguito riporto la configurazione attuale rispettivamente per le policy "default domain policy" e default Domain Controller policy"

    "default domain policy"

    Citerio

    Impostazione

    Controlla eventi accesso account

    Operazioni riuscite e non riuscite

    Controlla eventi di accesso

    Operazioni riuscite e non riuscite

    Controlla eventi di sistema

    Operazioni riuscite e non riuscite

    “default Domain Controller policy"

    Controlla accesso al servizio directory

    Operazione riuscita

    Controlla eventi accesso account

    Operazioni riuscite e non riuscite

    Controlla eventi di sistema

    Operazione riuscita

    Controlla gestione degli account

    Operazione riuscita

    Controlla modifica ai criteri

    Operazione riuscita

    Controlla traccia processo

    Nessun controllo

    Controlla uso dei privilegi

    Cos'altro devo abilitare per potere avere i log degli accessi alle cartelle?

    L' altro problema che ho è nei log sicurezza, dove mi trovo dei controlli non riusciti (quindi con il lucchetto) che non ne capisco la provenienza.

    Di seguito i dettagli del log:

    ID evento 5152

    Pacchetto bloccato da Piattaforma filtro Windows.

    Informazioni sull'applicazione:

    ID processo: 0

    Nome applicazione: -

    Informazioni di rete:

    Direzione: In arrivo

    Indirizzo di origine:  "indirizzo client"

    Porta di origine: 3160

    Indirizzo di destinazione: "indirizzo server"

    Porta di destinazione: 445

    Protocollo: 6

    Informazioni sul filtro:

    ID run-time filtro: 67699

    Nome livello: Trasporto

    ID run-time livello: 13

    Spero in vostro cortese aiuto.

    Ringrazio anticipatamente.

    Nessun controllo

    mercoledì 31 ottobre 2012 13:15

Risposte

Tutte le risposte

  • per la prima domanda ti manca l'aiblitazione dell'auditing sulle cartelle che vuoi monitorare

    vedi http://www.techotopia.com/index.php/Auditing_Windows_Server_2008_File_and_Folder_Access#Configuring_which_Files_and_Folders_are_to_be_Audited

    per la seconda domanda ti preciso che l'auditing di un sistema windows rileva e registra un'infinitàdi eventi e tra questi parecchi possono risultare failures come ad esempio quando un'applicazione o un servizio tenta di accedere a chiavi di registro sulle quali non ha il permesso o almeno non c'è l'ha l'account sotto le cui credenziali gira quel servizio.

    qui trovi un capitolo di un libro ad hoc

    http://www.ultimatewindowssecurity.com/securitylog/resourcekits/book2008/chapter2.aspx

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    mercoledì 31 ottobre 2012 16:25
    Moderatore
  • Ciao Stefano,

    Il tuo thread nel Forum di TechNet è ancora aperto per noi.

    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community anche condividere una soluzione tua.

    Grazie della collaborazione,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    lunedì 5 novembre 2012 10:08
  • Avrei un ulteriore problema da risolvere....e visto che si tratta sempre di log di Windows credo posso continuare con questo thread, eventualmente ne apro un altro.

    Il problema sta nei log di "Servizi di dominio Active Directory"

    Ho cambiato le impostazioni della "default domain controller policy" "Configurazione Computer>Impostazioni di Windows>impostazioni di sicurezza>criteri locali" abilitando tutte le operazioni "riuscite e non riuscite" di tutti i criteri.

    Ad un tratto mi compaiono una marea di log di avviso e di errori con id evento "1865" "1311" "1566" "2092"

    "1865"

    Controllo di coerenza informazioni (KCC) non è riuscito a creare una topologia di rete completa per l'albero di spanning. Di conseguenza, non è possibile raggiungere i seguenti siti dal sito locale.

     

    Siti:

    CN=”NOME_SITO”,CN=Sites,CN=Configuration,DC=“NOME_DOMINIO”,DC=local

    "1311"

    Controllo di coerenza informazioni (KCC) ha rilevato dei problemi con la seguente partizione di directory.

     

    Partizione di directory:

    DC=“NOME_DOMINIO”,DC=local

    "1566"

    Tutti i server directory nel seguente sito che possono replicare la partizione di directory su questo trasporto sono attualmente non disponibili.

     

    Site:

    CN=“NOME_SITO”,CN=Sites,CN=Configuration,DC=“NOME_DOMINIO”,DC=local

    Partizione di directory:

    DC=“NOME_DOMINIO”,DC=local

    Trasporto:

    CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=“NOME_DOMINIO”,DC=local

    "2092"

    Il server è proprietario del ruolo FSMO seguente, ma non lo considera valido. Per la partizione contenente il ruolo FSMO il server non ha completato la replica con alcuno dei relativi partner perché è stato riavviato. La convalida del ruolo è impedita da errori di replica.

     

    Le operazioni per cui è necessario contattare un master operazioni FSMO restituiranno un errore fino a quando questa condizione non verrà corretta.

     

    Ruolo FSMO: CN=Infrastructure,DC=“NOME_DOMINIO”,DC=local

    Significa quindi che fin' ora non li avevo visti perche non avevo abilitato le policy precedentemente indicate? E' grave la cosa? Come mi consigliereste di impostarli?

    E' possibile trovare in internet una guida su come impostare i criteri di gruppo per avere un buon rapporto sicurezza performance del dominio?

    Grazie ancora a tutti.

     

    martedì 6 novembre 2012 12:47
  • Significa quindi che fin' ora non li avevo visti perche non avevo abilitato le policy precedentemente indicate? E' grave la cosa? Come mi consigliereste di impostarli?

    grazie del feedback :-)

    prima non vedevi questi eventi proprio perchè non avevi abilitato l'auditing.

    la risposta agli eventi che vedi è che se hai un solo domain controller puoi trascurare quegli errori, se ne hai più d'uno di domain controller esaminiamo la situazione.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    martedì 6 novembre 2012 12:56
    Moderatore
  • Grazie Edoardo!

    I domain Controller sono tre, uno per sito.

    martedì 6 novembre 2012 13:34
  • ok. la configurazione dei siti di active directory è stata fatta a regola d'arte ? le repliche avvengono con successo tra i dc intersito ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    martedì 6 novembre 2012 13:48
    Moderatore
  • La configurazione credo di averla fatta bene, per quel che ne conosco, ma un tuo parere può essere di certo utile.

    Come posso illustrarti la configurazione? c'è un modo per esportarla?

    Le repliche avvengono con successo, quando creo/modifico/elimino qualcosa sotto le GPO o gli utenti di AD queste vengono replicate in tutti i siti, indipendentemente da dove opero.

    martedì 6 novembre 2012 14:06
  • Comunque....

    ho creato i 3 siti assegnando ad ognuno la rispettiva subnet   Sito 1: 192.168.1.0/24 - Sito 2: 192.168.2.0/24 - Sito 3: 192.168.3.0/24  (il nome dei siti segue anche la rispettiva sequenza di promozione dei DC's)

    Le repliche sono state impostate nel seguente modo e hanno i quindi i valori di default asseganti dal server:

    NTDS setting del sito 1    

    <generata automaticamente>         dal server del sito 3

    NTDS setting del sito 2

    <generata automaticamente>         dal server del sito 3

    NTDS Setting del sito 3 

    <generata automaticamente>         dal server del sito 1

    <generata automaticamente>         dal server del sito 2

    Il server del sito 1 ha tutte le Operation master e tutti i dc puntano a quest' ultimo.

    martedì 6 novembre 2012 14:32
  • giovedì 8 novembre 2012 15:53
    Moderatore
  • Tutti i ruoli sono associati al DC1 (quello che ho tirato su per primo quando creai il dominio).

    Ho provato ora a riabilitare l' auditing dei criteri di sicurezza locali, vediamo cosa succede nei prossimi giorni

    giovedì 8 novembre 2012 19:41
  • Sembrerebbe che ora i server stiano lavorando bene senza nessun log di avviso/errore.

    Grazie Edoardo per la collaborazione.

    lunedì 12 novembre 2012 11:27
  • ottimo, grazie del feedbak, ciao.

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    lunedì 12 novembre 2012 11:41
    Moderatore