none
2008r2 registro eventi sicurezza dimensioni eccessive RRS feed

  • Domanda

  • Ciao, a circa un mese dalla messa in linea di un server 2008r2 con una decina di client, il registro eventi - sicurezza, ha raggiunto 128Mb. Non è un po' eccessivo?
    Esiste un modo per loggare un po' meno eventi? (magari "relativamente inutili") Rimanendo però nell'ambito degli adempimenti al decreto privacy italiana/amministr. di sistema, e registrazione obbligatoria login/logout degli utenti?

    Grazie

    Marco


    lunedì 8 agosto 2011 20:38

Risposte

  • è perfettamente possibile visto che anche le richieste di autenticazione degli account computer vengono loggate nel registro security.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    • Contrassegnato come risposta mrcmobile mercoledì 10 agosto 2011 09:17
    mercoledì 10 agosto 2011 09:04
    Moderatore

Tutte le risposte

  • oltre ad aver abilitato l'auditing hai per caso attivato l'auditing particolareggiato per l'accesso a determinati oggetti o cartelle ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 07:39
    Moderatore
  • Ciao Edoardo, in impostazioni sicurezza, criteri locali, criteri di controllo, ho abilitato: controlla eventi accesso account (op. riuscite e op. non riuscite).
    http://imageshack.us/photo/my-images/695/catturary.jpg/

    Non mi sembra di aver 'toccato' altro.

     

    marco

    martedì 9 agosto 2011 08:13
  • I parametri che controlli sembrano quelli giusti.

    Se non c'è altro, nel registro dovrestri trovare solo accessi alla rete (effettuati con successo o falliti).

    Considera che vengono loggati anche gli accessi degli account "computer", quindi il numero di eventi aumenta un po'.

    L'unica cosa che ti posso consigliare è di salvare con una certa frequenza i log, visto che stai effettivamente registrando eventi previsti dai regolamenti.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 9 agosto 2011 08:17
  • Ciao Fabrizio, grazie per la risposta. Come puoi vedere qui sotto, vengono scritti eventi ogni pochi secondi. In effetti questa mattina c'è un solo pc collegato, più la mia sessione sul server per vedere questi log. Mi sembra davvero eccessivo.
    http://imageshack.us/photo/my-images/163/cattura2dy.jpg/ ci sono continui accessessi e disconnessioni, accessi speciali... ?!

    marco

    martedì 9 agosto 2011 08:36
  • ti consiglio comunque di aumentare lo spazio occupato dal log security anche a 1GB perchè, di fatto, è l'unico log nel quale vengono scritti tantissimi eventi.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 08:41
    Moderatore
  • L'evento 4672 evidenzia il logon di un amministratore di rete (o equivalente).

    Dovresti individuare quale utente / macchina effettua quei logon massivi e capirne il motivo.

    Sembrerebbe più un batch che un utente "reale".

    Se hai dei servizi che girano con quell'utente, anche quello potrebbe essere il motivo scatenante.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 9 agosto 2011 08:43
  • Potrebbe essere il loro gestionale in uso? In effetti l'unico utente che sta lavorando ha il gestionale aperto.
    Se così fosse devo solo aumentare le dimensioni del registro come dice Edoardo.

    Marco

    martedì 9 agosto 2011 08:53
  • in effetti 128Mb sono proprio pochi per il log security.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 09:00
    Moderatore
  • Il log va sicuramente allargato.

    Se apri il singolo evento, puoi vedere l'utente che ha fatto accesso e la macchina da cui si è autenticato.

    Io farei la verifica giusto per stare tranquillo dal punto di vista della sicurezza.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 9 agosto 2011 09:07
  • Stavo vedendo i vari eventi nel dettaglio. Sempre tenendo presente che al momento lavora una sola persona, vedo che gli eventi si riferiscono ad utenze legate al server stesso (servizi in uso?) non ad un utente della rete specifico.
    Computer SRV-01 è il server stesso,

    esempi:

       EventID 4624

    - System

      - Provider

       [ Name]  Microsoft-Windows-Security-Auditing
       [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D}
     
       EventID 4624
     
       Version 0
     
       Level 0
     
       Task 12544
     
       Opcode 0
     
       Keywords 0x8020000000000000
     
      - TimeCreated

       [ SystemTime]  2011-08-10T07:40:20.353100200Z
     
       EventRecordID 496540
     
       Correlation
     
      - Execution

       [ ProcessID]  760
       [ ThreadID]  2232
     
       Channel Security
     
       Computer SRV-01.CASMAG2.LOCAL
     
       Security
     

    - EventData

      SubjectUserSid S-1-5-18
      SubjectUserName SRV-01$
      SubjectDomainName CASMAG2
      SubjectLogonId 0x3e7
      TargetUserSid S-1-5-18
      TargetUserName SYSTEM
      TargetDomainName NT AUTHORITY
      TargetLogonId 0x3e7
      LogonType 5
      LogonProcessName Advapi 
      AuthenticationPackageName Negotiate
      WorkstationName 
      LogonGuid {00000000-0000-0000-0000-000000000000}
      TransmittedServices -
      LmPackageName -
      KeyLength 0
      ProcessId 0x2c4
      ProcessName C:\Windows\System32\services.exe
      IpAddress -
      IpPort -
    *******************************************
      EventID 4672

    - System

      - Provider

       [ Name]  Microsoft-Windows-Security-Auditing
       [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D}
     
       EventID 4672
     
       Version 0
     
       Level 0
     
       Task 12548
     
       Opcode 0
     
       Keywords 0x8020000000000000
     
      - TimeCreated

       [ SystemTime]  2011-08-10T07:40:20.353100200Z
     
       EventRecordID 496541
     
       Correlation
     
      - Execution

       [ ProcessID]  760
       [ ThreadID]  2232
     
       Channel Security
     
       Computer SRV-01.CASMAG2.LOCAL
     
       Security
     

    - EventData

      SubjectUserSid S-1-5-18
      SubjectUserName SYSTEM
      SubjectDomainName NT AUTHORITY
      SubjectLogonId 0x3e7
      PrivilegeList SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
    ********************
       EventID 4634

    - System

      - Provider

       [ Name]  Microsoft-Windows-Security-Auditing
       [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D}
     
       EventID 4634
     
       Version 0
     
       Level 0
     
       Task 12545
     
       Opcode 0
     
       Keywords 0x8020000000000000
     
      - TimeCreated

       [ SystemTime]  2011-08-10T07:40:14.003889000Z
     
       EventRecordID 496539
     
       Correlation
     
      - Execution

       [ ProcessID]  760
       [ ThreadID]  2232
     
       Channel Security
     
       Computer SRV-01.CASMAG2.LOCAL
     
       Security
     

    - EventData

      TargetUserSid S-1-5-18
      TargetUserName SRV-01$
      TargetDomainName CASMAG2
      TargetLogonId 0x209f3fa
      LogonType 3

    ************************************
     EventID 4624

    - System

      - Provider

       [ Name]  Microsoft-Windows-Security-Auditing
       [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D}
     
       EventID 4624
     
       Version 0
     
       Level 0
     
       Task 12544
     
       Opcode 0
     
       Keywords 0x8020000000000000
     
      - TimeCreated

       [ SystemTime]  2011-08-10T07:40:14.003889000Z
     
       EventRecordID 496538
     
       Correlation
     
      - Execution

       [ ProcessID]  760
       [ ThreadID]  5372
     
       Channel Security
     
       Computer SRV-01.CASMAG2.LOCAL
     
       Security
     

    - EventData

      SubjectUserSid S-1-0-0
      SubjectUserName -
      SubjectDomainName -
      SubjectLogonId 0x0
      TargetUserSid S-1-5-18
      TargetUserName SRV-01$
      TargetDomainName CASMAG2
      TargetLogonId 0x209f3fa
      LogonType 3
      LogonProcessName Kerberos
      AuthenticationPackageName Kerberos
      WorkstationName 
      LogonGuid {87122B82-F97F-79C8-C7CE-CAE0250FB533}
      TransmittedServices -
      LmPackageName -
      KeyLength 0
      ProcessId 0x0
      ProcessName -
      IpAddress fexxxxxxxxxxxxxxxxx 
      IpPort 58176

    *********************************************
     EventID 4769

    - System

      - Provider

       [ Name]  Microsoft-Windows-Security-Auditing
       [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D}
     
       EventID 4769
     
       Version 0
     
       Level 0
     
       Task 14337
     
       Opcode 0
     
       Keywords 0x8020000000000000
     
      - TimeCreated

       [ SystemTime]  2011-08-10T07:40:11.507884600Z
     
       EventRecordID 496533
     
       Correlation
     
      - Execution

       [ ProcessID]  760
       [ ThreadID]  5356
     
       Channel Security
     
       Computer SRV-01.CASMAG2.LOCAL
     
       Security
     

    - EventData

      TargetUserName Administrator@CASMAG2.LOCAL
      TargetDomainName CASMAG2.LOCAL
      ServiceName SRV-01$
      ServiceSid S-1-5-21-3077917866-1018937705-3347508785-1000
      TicketOptions 0x40810000
      TicketEncryptionType 0x12
      IpAddress ::1
      IpPort 0
      Status 0x0
      LogonGuid {809D1318-0AF7-7A11-CE04-F078374543F7}
      TransmittedServices -

    mercoledì 10 agosto 2011 07:55
  • Stavo vedendo i vari eventi nel dettaglio. Sempre tenendo presente che al momento lavora una sola persona, vedo che gli eventi si riferiscono ad utenze legate al server stesso (servizi in uso?) non ad un utente della rete specifico.


    ok che stavi vedendo e allora ? la domanda dov'è ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 10 agosto 2011 08:43
    Moderatore
  • Ciao Edoardo, in realtà non è una domanda. E' una constatazione del fatto che non vedo utenti specifici legati a questi eventi. Da quello che capisco, mi sembra che gli eventi siano legati solo alla macchina server stessa.
    Quindi i numerosi log di accesso e disconnessione che vedo, probabilmente si riferiscono a servizi in esecuzione sul server stesso?
    L'ho messsa sotto forma di domanda questa volta.
    mercoledì 10 agosto 2011 08:56
  • è perfettamente possibile visto che anche le richieste di autenticazione degli account computer vengono loggate nel registro security.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    • Contrassegnato come risposta mrcmobile mercoledì 10 agosto 2011 09:17
    mercoledì 10 agosto 2011 09:04
    Moderatore
  • Grazie mille a tutti.
    ciao

     

    Marco

    mercoledì 10 agosto 2011 09:18