none
GPO AUDIT OBJECT ACCESS / LOGON LOGOFF Administrators RRS feed

  • Domanda

  • Sto simulando su di una VM un DC con Windows 2016... Tutto ok, tranne una cosa.. l'audit.

    Ho configurato le 2 policy in oggetto, ma nel registro eventi di sicurezza non vedo niente, ad esempio:

    Per la prima policy, ho messo sotto audit ad everyone con privilegi full access, una folder.. se creo o cancello, non vedo eventi che segnalino cosa ho creato o cancellato.. 

    Per la seconda, non vedo i logon e logoff degli utenti in generale, in particolare gli admin.. 

    Forse è cambiato l'ID event? Oppure va fatto qualcosa di diverso?

    Aggiungo, sarebbe interessante ricostruire cosa e chi ha cancellato.. 


    Faber




    • Modificato winfabero martedì 27 dicembre 2016 14:41
    martedì 27 dicembre 2016 14:22

Risposte

Tutte le risposte

  • Ciao Faber,

    volevo chiedere come hai abilitato I Lohgs, perche vedo che ce un modo speciffico per farlo.

    Per Server 2016 non trovo in problema simile che e stato riscontrato e quindi risolto da in altro nostro college.

    Saluti, Nikola

    mercoledì 28 dicembre 2016 13:44
    Moderatore
  • Non ho capito cosa intendi, se vuoi puoi scrivermi in inglese anche in privato.

    Faber

    mercoledì 28 dicembre 2016 16:41
  • Hai utilizzato questo metodo per abilitare l'auditing e monitorare gli eventi?

    <link obsoleto rimosso>

    Per quanto riguarda gli eventi di accesso ti consiglio invece la lettura di questa discussione:

    https://social.technet.microsoft.com/Forums/it-IT/407874f0-cf3e-4ac2-b306-27bd6e4dc770/lista-logon-admin?forum=windowsserverit

    Secondo me quello che voleva dire Nikola è che non ci risultano modifiche in Windows Server 2016 rispetto, ad esempio, a Windows Server 2012.



    giovedì 29 dicembre 2016 10:22
    Moderatore
  • Infatti non mi risultavano nemmeno a me, approfondisco con i link che mi hai suggerito e ti faccio sapere. 

    Grazie per il momento! 


    Faber

    giovedì 29 dicembre 2016 10:29
  • Ciao, ho verificato e qualosa in effetti era da registrare. Ho impostato le poslicy come nel primo link riportato su ITZLAB..  Poi nella cartella ho creato un file, ne ho cancellato un altro... ma quello cancellato non mi registra niente nonostante la query ad hoc indicata sul sito ITZLAB.

    Quindi non capisco se e dove sbaglio.


    Faber

    lunedì 9 gennaio 2017 15:07
  • Probabilmente la query che utilizzi è errata. Per iniziare filtra solo gli eventi con ID 4663 (senza utilizzare anche il parametro AccessMask), così intanto puoi avere una panoramica di tutti gli eventi registrati.
    Lo sbaglio più frequente è quello di utilizzare un AccessMask non corrispondente, quindi gli eventi non vengono filtrati correttamente dalla query anche se sono stati effettivamente registrati.
    Ricorda inoltre che i registri hanno un limite di dimensione, mentre i log di cartelle in cui vengono eseguite numerose operazioni possono essere molto grandi e superare tale limite (causando l'eliminazione degli eventi più vecchi), quindi assicurati anche che il tuo limite sia opportunamente configurato.
    lunedì 9 gennaio 2017 21:23
    Moderatore
  • Piccolo passo avanti con la tua idea.. vedo gli eventi che tu dici.. la query che ho usato è questa, "copiata" dal sito che mi hai indicato, che se ho capito bene dovrebbe servire per notare cancellazioni.

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4663)]] and  *[EventData[Data[@Name='AccessMask'] and (Data='0x2')]]  and *[EventData[Data[@Name='SubjectUserName'] and (Data='Administrator')]] and *[EventData[Data[@Name='ObjectName'] and (Data='C:\DOC')]]</Select>
      </Query>
    </QueryList>

    Ho cambiato opportunamente utente e folder, ma nisba.. non emerge nulla... 

    Però credo di aver capito.. Sul sito si fa di esempio la "cancellazione", peccato che l'accessmask che tu porti in risalto inserita in query è 0x2 che sta per file write / file add quindi non è cancellazione!!!

    Sempre nel medesimo url però c'è un link per le varie mascherature:

    https://msdn.microsoft.com/en-us/library/windows/desktop/aa822867(v=vs.85).aspx

    Dovrei quindi usare 0x10000, almeno a logica, ma anche così non va...

    Mi piacerebbe fare una "query" per capire a partire da un oggetto, direi il filename, ritrovare chi ha fatto cosa...  Credo che ci sto girando intorno..

    Per la questione logon logoff.. ho scoperto di avere un buco di memoria.. hai un link che spiega i vari tipi di logon logoff  in base agli eventid? (interattivo effettivo, remotedesktop, come servizio....)


    Faber

    martedì 10 gennaio 2017 07:26

  • Per la questione logon logoff.. ho scoperto di avere un buco di memoria.. hai un link che spiega i vari tipi di logon logoff  in base agli eventid? (interattivo effettivo, remotedesktop, come servizio....)


    Faber

    qui trovi i codici che ti permettono di identificare il tipo di logon

    http://techgenix.com/logon-types/


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    martedì 10 gennaio 2017 09:23
    Moderatore
  • Grande e GRAZIE Edoardo, ben riletto! Spero tutto bene e che l'anno nuovo sia iniziato nel migliore dei modi.



    Faber

    martedì 10 gennaio 2017 12:55
  • Dovrei quindi usare 0x10000, almeno a logica, ma anche così non va...

    Mi piacerebbe fare una "query" per capire a partire da un oggetto, direi il filename, ritrovare chi ha fatto cosa...  Credo che ci sto girando intorno..

    Per questo ti ho consigliato di far visualizzare tutti gli eventi, così puoi vedere che AccessMask viene assegnato agli eventi di cancellazione (basta vedere la scheda "Dettagli" dell'evento). L'esempio contenuto nel sito non si riferiva all'eliminazione di file ma alla modifica (effettivamente forse nel modo in cui era stato scritto si poteva fraintendere).

    Comunque il tuo filtro ha un errore, "ObjectName" deve contenere il percorso completo al file, non la semplice cartella. Per il momento ometti questo parametro.

    Sei sicuro inoltre di aver abilitato l'auditing di oggetti dalle policy? Non basta modificare le impostazioni di sicurezza della cartella. Qui trovi anche una guida aggiornata per eseguire l'abilitazione dell'auditing: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/apply-a-basic-audit-policy-on-a-file-or-folder?f=255&MSPPError=-2147217396



    martedì 10 gennaio 2017 20:55
    Moderatore
  • Provato in questo momento: in Windows Server 2016 l'AccessMask corrispondente all'eliminazione di file è effettivamente 0x10000 mentre l'ObjectName ovviamente contiene sempre il percorso completo del file.
    martedì 10 gennaio 2017 22:04
    Moderatore
  • Provato in questo momento: in Windows Server 2016 l'AccessMask corrispondente all'eliminazione di file è effettivamente 0x10000 mentre l'ObjectName ovviamente contiene sempre il percorso completo del file.

    Quindi l'errore potrebbe essere che nel pezzo di query

    Name='ObjectName'] and (Data='C:\DOC')

    Dovevo inecve fare C:\DOC\NOMEFILE.ext 


    Faber

    martedì 10 gennaio 2017 22:06
  • Provato in questo momento: in Windows Server 2016 l'AccessMask corrispondente all'eliminazione di file è effettivamente 0x10000 mentre l'ObjectName ovviamente contiene sempre il percorso completo del file.

    Quindi l'errore potrebbe essere che nel pezzo di query

    Name='ObjectName'] and (Data='C:\DOC')

    Dovevo inecve fare C:\DOC\NOMEFILE.ext 


    Faber


    Esattamente, comunque se non aggiungi quella parte puoi vedere direttamente tutti gli eventi di eliminazione eseguiti dall'utente.
    martedì 10 gennaio 2017 22:10
    Moderatore