none
Registro eventi - accessi amministratore dominio? RRS feed

  • Domanda

  • Salve,

    Vorrei chiedere maggior informazioni per quanto riguarda il registro eventi - sicurezza di Windows. 

    Il mio PC è sotto dominio della rete locale dell'azienda. 

    Il sistemista può accedere ai computer nella rete locale. 

    Oggi sono andato a controllare nel registro eventi - sicurezza, 

    Ho trovato oltre agli eventi relativi ai miei accessi anche eventi con il nome dell'account del sistemista.. 

    Ora voglio chiedervi,  questo registro memorizza effettivamente gli accessi da remoto nella rete locale e sotto dominio? 

    Cioè quello che vedo è giusto? 

    Grazie 

    giovedì 24 ottobre 2019 16:46

Risposte

  • Ciao, ti consiglio di dare una lettura al seguente documento https://docs.microsoft.com/it-it/windows/security/threat-protection/auditing/event-4624

    Come potrai vedere ci sono dei codici che indicano la tipologia di accesso, in base a tali codici puoi risalire alle attività eseguite.

    Saluti
    Nino


    www.testerlab.it

    giovedì 24 ottobre 2019 18:01
    Moderatore
  • Nel registro degli eventi di Sicurezza, vengono regolarmente registrati tutte le varie tipologie di accesso al sistema, compresi gli accessi dei servizi stessi.

    Questo, ovviamente, genera una qualche tonnellata di eventi.

    Se vuoi restringere il campo , puoi filtrare il registro utilizzando l'apposita funzione.

    Per aiutarti nell'identificazione di eventi specifici, legati a certe tipologie di accesso e/o di utenti, puoi modificare manualmente la query del filtro.

    Per farlo, applica un qualunque filtro sul registro eventi di sicurezza (esempio: id evento = 4624)

    Dopo averlo fatto clicca su "Filtro registro corrente..." , nella scheda che si aprirà, clicca il tab "XML", quindi seleziona il checkbox "Modifica Query manualmente".

    Sostituiscila con questa:

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*

    [EventData[Data[@Name='LogonType']='10']
            and
            EventData[Data[@Name='TargetUserName']='Administrator']
            and
            System[(EventID='4624')]
          ] </Select>
        <Select Path="Security">*

    [EventData[Data[@Name='LogonType']='10']
            and
            EventData[Data[@Name='TargetUserName']='Administrator']
            and
            System[(EventID='4634')]
          ] </Select>
      </Query>
    </QueryList>

    Questa query ti restituirà l'elenco di tutti i logon e logoff, effettuati via rdp, dell'utente Administrator.

    Se devi cercare un utente specifico, cambia il nome Administrator con quello che ti serve.

    Spero possa esserti utilie

    giovedì 14 novembre 2019 11:09

Tutte le risposte

  • Ciao, ti consiglio di dare una lettura al seguente documento https://docs.microsoft.com/it-it/windows/security/threat-protection/auditing/event-4624

    Come potrai vedere ci sono dei codici che indicano la tipologia di accesso, in base a tali codici puoi risalire alle attività eseguite.

    Saluti
    Nino


    www.testerlab.it

    giovedì 24 ottobre 2019 18:01
    Moderatore
  • Nel registro degli eventi di Sicurezza, vengono regolarmente registrati tutte le varie tipologie di accesso al sistema, compresi gli accessi dei servizi stessi.

    Questo, ovviamente, genera una qualche tonnellata di eventi.

    Se vuoi restringere il campo , puoi filtrare il registro utilizzando l'apposita funzione.

    Per aiutarti nell'identificazione di eventi specifici, legati a certe tipologie di accesso e/o di utenti, puoi modificare manualmente la query del filtro.

    Per farlo, applica un qualunque filtro sul registro eventi di sicurezza (esempio: id evento = 4624)

    Dopo averlo fatto clicca su "Filtro registro corrente..." , nella scheda che si aprirà, clicca il tab "XML", quindi seleziona il checkbox "Modifica Query manualmente".

    Sostituiscila con questa:

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*

    [EventData[Data[@Name='LogonType']='10']
            and
            EventData[Data[@Name='TargetUserName']='Administrator']
            and
            System[(EventID='4624')]
          ] </Select>
        <Select Path="Security">*

    [EventData[Data[@Name='LogonType']='10']
            and
            EventData[Data[@Name='TargetUserName']='Administrator']
            and
            System[(EventID='4634')]
          ] </Select>
      </Query>
    </QueryList>

    Questa query ti restituirà l'elenco di tutti i logon e logoff, effettuati via rdp, dell'utente Administrator.

    Se devi cercare un utente specifico, cambia il nome Administrator con quello che ti serve.

    Spero possa esserti utilie

    giovedì 14 novembre 2019 11:09