Principale utente con più risposte
GPO AUDIT OBJECT ACCESS / LOGON LOGOFF Administrators

Domanda
-
Sto simulando su di una VM un DC con Windows 2016... Tutto ok, tranne una cosa.. l'audit.
Ho configurato le 2 policy in oggetto, ma nel registro eventi di sicurezza non vedo niente, ad esempio:
Per la prima policy, ho messo sotto audit ad everyone con privilegi full access, una folder.. se creo o cancello, non vedo eventi che segnalino cosa ho creato o cancellato..
Per la seconda, non vedo i logon e logoff degli utenti in generale, in particolare gli admin..
Forse è cambiato l'ID event? Oppure va fatto qualcosa di diverso?
Aggiungo, sarebbe interessante ricostruire cosa e chi ha cancellato..
Faber
- Modificato winfabero martedì 27 dicembre 2016 14:41
Risposte
-
Ciao Faber,
volevo chiedere come hai abilitato I Lohgs, perche vedo che ce un modo speciffico per farlo.
Per Server 2016 non trovo in problema simile che e stato riscontrato e quindi risolto da in altro nostro college.
Saluti, Nikola
- Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 2 gennaio 2017 14:29
- Contrassegnato come risposta Nikola KochmalarskiMicrosoft contingent staff, Moderator giovedì 5 gennaio 2017 14:36
-
Hai utilizzato questo metodo per abilitare l'auditing e monitorare gli eventi?
<link obsoleto rimosso>
Per quanto riguarda gli eventi di accesso ti consiglio invece la lettura di questa discussione:
Secondo me quello che voleva dire Nikola è che non ci risultano modifiche in Windows Server 2016 rispetto, ad esempio, a Windows Server 2012.
- Contrassegnato come risposta Nikola KochmalarskiMicrosoft contingent staff, Moderator giovedì 5 gennaio 2017 14:36
- Modificato Fabrizio-GMVP, Moderator martedì 13 ottobre 2020 22:00
Tutte le risposte
-
Ciao Faber,
volevo chiedere come hai abilitato I Lohgs, perche vedo che ce un modo speciffico per farlo.
Per Server 2016 non trovo in problema simile che e stato riscontrato e quindi risolto da in altro nostro college.
Saluti, Nikola
- Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 2 gennaio 2017 14:29
- Contrassegnato come risposta Nikola KochmalarskiMicrosoft contingent staff, Moderator giovedì 5 gennaio 2017 14:36
-
-
Hai utilizzato questo metodo per abilitare l'auditing e monitorare gli eventi?
<link obsoleto rimosso>
Per quanto riguarda gli eventi di accesso ti consiglio invece la lettura di questa discussione:
Secondo me quello che voleva dire Nikola è che non ci risultano modifiche in Windows Server 2016 rispetto, ad esempio, a Windows Server 2012.
- Contrassegnato come risposta Nikola KochmalarskiMicrosoft contingent staff, Moderator giovedì 5 gennaio 2017 14:36
- Modificato Fabrizio-GMVP, Moderator martedì 13 ottobre 2020 22:00
-
-
Ciao, ho verificato e qualosa in effetti era da registrare. Ho impostato le poslicy come nel primo link riportato su ITZLAB.. Poi nella cartella ho creato un file, ne ho cancellato un altro... ma quello cancellato non mi registra niente nonostante la query ad hoc indicata sul sito ITZLAB.
Quindi non capisco se e dove sbaglio.
Faber
-
Probabilmente la query che utilizzi è errata. Per iniziare filtra solo gli eventi con ID 4663 (senza utilizzare anche il parametro AccessMask), così intanto puoi avere una panoramica di tutti gli eventi registrati.
Lo sbaglio più frequente è quello di utilizzare un AccessMask non corrispondente, quindi gli eventi non vengono filtrati correttamente dalla query anche se sono stati effettivamente registrati.
Ricorda inoltre che i registri hanno un limite di dimensione, mentre i log di cartelle in cui vengono eseguite numerose operazioni possono essere molto grandi e superare tale limite (causando l'eliminazione degli eventi più vecchi), quindi assicurati anche che il tuo limite sia opportunamente configurato. -
Piccolo passo avanti con la tua idea.. vedo gli eventi che tu dici.. la query che ho usato è questa, "copiata" dal sito che mi hai indicato, che se ho capito bene dovrebbe servire per notare cancellazioni.
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4663)]] and *[EventData[Data[@Name='AccessMask'] and (Data='0x2')]] and *[EventData[Data[@Name='SubjectUserName'] and (Data='Administrator')]] and *[EventData[Data[@Name='ObjectName'] and (Data='C:\DOC')]]</Select> </Query> </QueryList>
Ho cambiato opportunamente utente e folder, ma nisba.. non emerge nulla...
Però credo di aver capito.. Sul sito si fa di esempio la "cancellazione", peccato che l'accessmask che tu porti in risalto inserita in query è 0x2 che sta per file write / file add quindi non è cancellazione!!!
Sempre nel medesimo url però c'è un link per le varie mascherature:
https://msdn.microsoft.com/en-us/library/windows/desktop/aa822867(v=vs.85).aspx
Dovrei quindi usare 0x10000, almeno a logica, ma anche così non va...
Mi piacerebbe fare una "query" per capire a partire da un oggetto, direi il filename, ritrovare chi ha fatto cosa... Credo che ci sto girando intorno..
Per la questione logon logoff.. ho scoperto di avere un buco di memoria.. hai un link che spiega i vari tipi di logon logoff in base agli eventid? (interattivo effettivo, remotedesktop, come servizio....)
Faber
-
Per la questione logon logoff.. ho scoperto di avere un buco di memoria.. hai un link che spiega i vari tipi di logon logoff in base agli eventid? (interattivo effettivo, remotedesktop, come servizio....)
Faber
qui trovi i codici che ti permettono di identificare il tipo di logon
http://techgenix.com/logon-types/
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
edo[at]mvps[dot]org -
-
Dovrei quindi usare 0x10000, almeno a logica, ma anche così non va...
Mi piacerebbe fare una "query" per capire a partire da un oggetto, direi il filename, ritrovare chi ha fatto cosa... Credo che ci sto girando intorno..
Per questo ti ho consigliato di far visualizzare tutti gli eventi, così puoi vedere che AccessMask viene assegnato agli eventi di cancellazione (basta vedere la scheda "Dettagli" dell'evento). L'esempio contenuto nel sito non si riferiva all'eliminazione di file ma alla modifica (effettivamente forse nel modo in cui era stato scritto si poteva fraintendere).
Comunque il tuo filtro ha un errore, "ObjectName" deve contenere il percorso completo al file, non la semplice cartella. Per il momento ometti questo parametro.
Sei sicuro inoltre di aver abilitato l'auditing di oggetti dalle policy? Non basta modificare le impostazioni di sicurezza della cartella. Qui trovi anche una guida aggiornata per eseguire l'abilitazione dell'auditing: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/apply-a-basic-audit-policy-on-a-file-or-folder?f=255&MSPPError=-2147217396
- Modificato Fabrizio-GMVP, Moderator martedì 10 gennaio 2017 22:35
-
-
Provato in questo momento: in Windows Server 2016 l'AccessMask corrispondente all'eliminazione di file è effettivamente 0x10000 mentre l'ObjectName ovviamente contiene sempre il percorso completo del file.
Quindi l'errore potrebbe essere che nel pezzo di query
Name='ObjectName'] and (Data='C:\DOC')
Dovevo inecve fare C:\DOC\NOMEFILE.ext
Faber
-
Provato in questo momento: in Windows Server 2016 l'AccessMask corrispondente all'eliminazione di file è effettivamente 0x10000 mentre l'ObjectName ovviamente contiene sempre il percorso completo del file.
Quindi l'errore potrebbe essere che nel pezzo di query
Name='ObjectName'] and (Data='C:\DOC')
Dovevo inecve fare C:\DOC\NOMEFILE.ext
Faber
Esattamente, comunque se non aggiungi quella parte puoi vedere direttamente tutti gli eventi di eliminazione eseguiti dall'utente.