none
audit log RRS feed

  • Domanda

  • Salve,

    In un dominio windows 2012 la società di revisione di un mio cliente mi chiede quanto segue:
    Evidenza del monitoraggio delle attività dei SuperUser/Admin di Active directory.
    Estrazione delle utenze attive al 31/12/2018 e relativa query.

    Mi potreste dare qualche dritta?
    Grazie in anticipo.

    martedì 23 aprile 2019 06:24

Tutte le risposte

  • Ciao, se non hai preventivamente impostato le policy non puoi avere ciò che chiedi.

    Per "utenze attive" presumo tu voglia i login..

    https://4sysops.com/archives/track-windows-user-login-history

    e puoi guardare il link. Ma per avere un tracciamento delle attività dei un Admin sul server non è così semplice..di solito si usano dei terze parti. Sempre da attivare PRIMA. Anche solamente per avere un collect corretto poi da consultare, se no con l'event viewer devi lavorare di filtri ed è un casino..

    ciao.

    A.

    mercoledì 24 aprile 2019 15:06
    Moderatore
  • "Monitoraggio delle attività" può significare tante cose...dovresti quindi cercare di capire meglio di che monitoraggio hanno bisogno (ma in ogni caso ora non potrai risalire ad eventi passati, tutti i monitoraggi vanno abilitati prima).
    Ad esempio se sono sufficienti solo data e ora dei login e dei logout ai sistemi potresti anche utilizzare una soluzione di questo tipo:
    <link obsoleto rimosso>
    Puoi prendere poi altre informazioni anche dal link proposto da Alessandro.

    Chiaramente i registri standard di Windows hanno comunque dei limiti nelle operazioni che possono registrare, quindi per monitoraggi molto dettagliati (ad esempio lista delle azioni amministrative eseguite sui sistemi) potrebbe convenire direttamente l'utilizzo di un software di terze parti.

    Per quanto riguarda l'estrazione delle utenze attive (inteso come elenco degli utenti abilitati all'accesso al dominio) immagino che possa bastare una semplice query di AD, ad esempio:
    https://anandthearchitect.com/2008/07/02/list-all-active-users-in-a-domain/




    giovedì 25 aprile 2019 16:04
    Moderatore
  • grazie delle risposte,

    nei criteri di controllo avevo abilitato, in fase di creazione del dominio, "controlla eventi accesso account" e "controlla eventi di accesso" in criteri di controllo nelle default Domain policy. 

    per quanto riguarda la gli utenti attivi usando (& (& (ObjectCategory = user) (userAccountControl = 512))) ottengo la lista degli utenti attivi, solo che a me serve una lista degli utenti attivi al 31/12/2018...e quindi la cosa si complica.

    lunedì 29 aprile 2019 13:18
  • Mi dispiace ma senza delle preventive esportazioni regolari della lista utenti non potrai ottenere quello che cerchi.
    Dovresti avere almeno un backup del system state di AD risalente al 31/12/2018.
    lunedì 29 aprile 2019 21:03
    Moderatore
  • ho un backup del System state al 31/12, ma c'è possibilità di estrarre i soli dati che mi occorrono?

    martedì 30 aprile 2019 06:45
  • Puoi provare in questo modo:
    https://www.petri.com/active-directory-domain-services-database-mounting-tool

    Devi però considerare che teoricamente dovresti anche garantire l'assenza di manomissioni nei dati, quindi l'ideale sarebbe anche avere il file di backup già archiviato in un percorso in sola lettura (o in un percorso dove le operazioni di scrittura sono monitorate). Una volta estrapolati i dati potrà quindi essere il file di backup stesso la "prova" della genuinità delle informazioni che fornirai, ma per questo tipo di informazioni chiedi direttamente alla società che ti ha richiesto i dati.


    martedì 30 aprile 2019 22:31
    Moderatore