none
Policy per Gruppo Administrators RRS feed

  • Domanda

  • Buongiorno a tutti, qualcuno sa indicarmi come posso procedere per creare una GPO  (DC windows 2008, Domain function level Windows server 2003) che traccia tutte le attività, dal riavvio di servizi alla modifica alle cartelle,  del gruppo BUILTIN\administrators sui server del dominio?

     

    Grazie in anticipo a tutti.

    giovedì 9 settembre 2010 08:14

Risposte

Tutte le risposte

  • Ti basta creare una policy che faccia Audit della sicurezza su

    account management

    privilege use

    directory service access

    e applicarla alla O.U. più adeguata.

    Per l'accesso a files e directory, una volta abilitato l'audit, dovrai abilitare i controlli a livello di file system.

    Probabilmente, però, ti troverai con un numero di eventi veramente elevato.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    • Proposto come risposta Fabrizio Volpe giovedì 9 settembre 2010 09:43
    giovedì 9 settembre 2010 09:41
  • Grazie mille ma se volessi monitorare l'attività su tutti i dischi del server, come posso fare ad abilitare i controlli a livello di file system? 

     

    Hai un'idea?

    Grazie ancora

     

     

    giovedì 9 settembre 2010 10:10
  • A livello di GPO devi abilitare il "File access auditing".

    http://technet.microsoft.com/en-us/library/cc757864(WS.10).aspx

    Poi basta andare sulla "root" dei vari dischi e abilitare la parte di "audit" per le modifiche, cancellazioni o altro e diffondere l'impostazione alle sotto cartelle.

     http://www.windowsitpro.com/article/monitoring-and-analysis/how-do-i-enable-auditing-on-certain-files-directories-.aspx

    Ribadisco però che ti troverai una valanga di segnalazioni nel log di sicurezza.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    • Contrassegnato come risposta mikvetere giovedì 9 settembre 2010 12:05
    giovedì 9 settembre 2010 10:15
  • Ti ringrazio tanto per le tue risposte, immagino che avrò milioni di log, ma ho i colleghi della sicurezza che mi obbligano a tracciare tutto quello che fanno i sistemisti, quindi amministratori, sui server di dominio. 

    A questo punto devo trovare anche una policy che mi inserisca nel tab Auditing di tutti i dischi il gruppo BUILTIN\administrators.

     

     

     

    giovedì 9 settembre 2010 10:27
  • Purtroppo non credo si possa applicare l'audit ad NTFS tramite GPO.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    giovedì 9 settembre 2010 11:29