Criteri Controllo – Group Policy

I criteri di controllo definiscono quali eventi devono essere registrati nel registro di sistema.

Configurazione Computer\Impostazioni di Windows\Criteri locali\Criteri controllo (Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy)

Controllo accesso agli oggetti (Audit object access)
Questa impostazione permette di controllare gli accessi di un utente a oggetti come file, directory, registro e stampanti sui quali è abilitato un elenco di controllo accesso di sistema.
Se si imposta Operazioni riuscite, ogni volta che un utente riesce a accedere a un utente per cui è stato specificato un elenco di controllo di accesso di sistema viene registrato un evento.
Se si imposta Operazioni non riuscite, ogni volta che un utente non riesce a accedere a un utente per cui è stato specificato un elenco di controllo di accesso di sistema viene registrato un evento.
Questa impostazione può registrare i seguenti eventi
560 – Concessione accesso a un oggetto esistente.
562 – Chiusura handle a un oggetto.
563 – Esecuzione tentativo di apertura di un oggetto con l’intento di eliminarlo
564 – Eliminazione oggetto protetto.
565 – Concessione accesso a un tipo di oggetto che esiste già.
567 – Utilizzazione di un’autorizzazione associata a un handle.
568 – Tentativo di creazione di un collegamento fisso a un file di cui è in corso il controllo.
569 – Tentativo di creazione di un contesto client da parte del gestore delle risorse di Gestione autorizzazioni.
570 – Tentativo di un client di accedere a un oggetto.
571 – Applicazione Gestione autorizzazioni ha eliminato il contesto client.
572 – Applicazione inizializzata dal gestore di amministrazione.
772 – Richiesta di certificati in sospeso negata da Gestione certificati.
773 – Servizi certificati ha ricevuto una richiesta di certificati nuovamente inoltrata.
774 – Servizi certificati ha revocato un certificato.
775 – Servizi certificati ha ricevuto una richiesta di pubblicazione dell’elenco di revoche di certificati (CRL).
776 – Servizi certificati ha pubblicato l’elenco dei certificati revocati (CRL).
777 – Effettuata l’estensione di una richiesta di certificati.
778 – Modifica di attributi di richieste di certificati.
779 – Servizi certificati ha ricevuto una richiesta di arresto.
780 – Avviato il backup di Servizi certificati.
781 – Completato il backup di Servizi certificati.
782 – Avviato il ripristino di Servizi certificati.
783 – Completato il ripristino di Servizi certificati.
784 – Servizi certificati avviato.
785 – Servizi certificati arrestato.
786 – Le autorizzazioni di protezione di Servizi certificati sono state modificate.
787 – Servizi certificati ha recuperato una chiave archiviata.
788 – Servizi certificati ha importato un certificato nel proprio database.
789 – Modifica del filtro di controllo per Servizi certificati.
790 – Servizi certificati ha ricevuto una richiesta di certificato.
791 – Servizi certificati ha approvato una richiesta di certificato e ha rilasciato un certificato.
792 – Servizi certificati ha negato una richiesta di certificato.
793 – Servizi certificati ha negato una richiesta di certificato.
794 – Modifica delle impostazioni del gestore certificati per Servizi certificati.
795 – Modifica di una voce della configurazione in Servizi certificati.
796 – Modifica di una proprietà di Servizi certificati.
797 – Servizi certificati ha archiviato una chiave.
798 – Servizi certificati ha importato e archiviato una chiave.
799 – Pubblicazione del certificato della autorità di certificazione (CA) in Active Directory.
800 – Eliminazione righe dal database dei certificati.
801 – Abilitata separazione ruoli.

Controlla accesso al servizio directory (Audit directory service access)
Questa impostazione permette di controllare l’accesso a un oggetto Active Directory al quale è associato un elenco di controllo accesso di sistema.
Questa impostazione ha effetto solo sui domain controller quindi può essere configurata nell’oggetto Criteri di gruppo Criterio controller di dominio predefiniti.
Se si imposta Operazioni riuscite, viene generato un evento quando un utente accede a un oggetto Active Directory al quale è associato un elenco di controllo accesso di sistema.
Se si imposta Operazioni non riuscite, viene generato un evento quando un utente non riesce a accedere a un oggetto Active Directory al quale è associato un elenco di controllo accesso di sistema.
Questa impostazione può registrare i seguenti eventi
566 – Esecuzione di un’operazione su un oggetto generico.

Controlla eventi accesso account (Audit account logon events)
Questa impostazione permette di controllare ogni operazione di accesso e disconnessione di utenti a un altro computer che utilizza il computer su cui è definita l’impostazione per la convalida dell’account.
L’autenticazione di un utente di dominio genera un evento che viene registrato nel registro di protezione del domain controller.
Utilizzando questa impostazione è possibile registrare sul domain controller tutti i tentativi di accesso.
L’autenticazione di un utente locale su un computer genera un evento di accesso che viene registrato sul registro di protezione del computer locale.
Se si imposta Operazioni riuscite, viene registrato un evento quando riesce il tentativo di accesso.
Se si imposta Operazioni non riuscite, viene registrato un evento quando non riesce il tentativo di accesso.
Questa impostazione può registrare i seguenti eventi
672 – Un ticket del servizio di autenticazione è stato emesso e convalidato.
673 – Un ticket TGS è stato rilasciato da TGS di Kerberos.
674 – Un ticket AS o TGS è stato rinnovato.
675 – La preautenticazione non è riuscita. L’evento è causato un tentativo di accesso con password sbagliata
676 – La richiesta ticket autenticazione non è riuscita.
677 – Un ticket TGS non è stato concesso
678 – Un account è stato mappato in modo corretto a un account del domino
681 – Si è verificato un errore durante l’accesso
682 – Un utente si è riconnesso a una sessione terminal server
683 – Un utente ha terminao una sessione terminal server senza chiudere la connessione correttamente.

Controlla eventi di accesso (Audit logon events)
Questa impostazione permette di controllare ogni evento di accesso e disconnessione al computer locale indipendentemente da dove si trova l’account.
Utilizzando questa impostazione sui domain controller viene registrato un evento solo quando un utente tenta di accedere al domain controller mentre non registra eventi sul domain controller quando un utente tenta di accedere a un computer membro del dominio
Per registrare tutti gli eventi di accesso con un utente di dominio indipendentemente da dove viene fatto il tentativo di accesso è necessario abilitare l’impostazione Controlla eventi di accesso account (Audit account logon events).
Questa impostazione può registrare i seguenti eventi
528 – Accesso a un computer eseguito correttamente
529 – Tentativo di accesso con un utente sconosciuto o con una password sbagliata
530 – Tentativo di accesso oltre il tempo consentito
531 – Tentativo di accesso con un utente disabilitato
532 – Tentativo di accesso con un account scaduto
533 – Tentativo di accesso di un utente non autorizzato a connettersi al computer
534 – Tentativo di accesso con una password di tipo non consentito
535 – Tentativo di accesso con una password scaduta
536 – Servizio di rete non attivo
537 – Tentativo di accesso non riuscito per altri motivi
538 – Disconnessione completata
539 – Account bloccato
540 – Accesso riuscito alla rete
541 – L’autenticazione della modalità principale Internet Key Exchange è stata completata
542 – Chiusura di un canale dati
543 – Interruzione della modalità principale
544 – Autenticazione della modalità principale non riuscita perchè il peer non ha fornito un certificato valido
545 – Autenticazione della modalità principale no nriuscita a cause di un errore del protocollo di autenticazione Kerberos o di una password non valida
546 – Impossibile stabilire l’associazione di protezione IKE
547 – Errore durante un  handshake IKE
548 – Il SID di un dominio trusted non corrisponde al SID di protezione del dominio account del client
549 – Tutti i SID corrispondenti a spazi dei nomi non attendibili sono stati esclusi dal filtro durante un’autenticazione tra insieme di strutture
550 – Il messaggio può indicare un tipo di attacco
551 – Avviato processo di disconnessione
552 – Accesso a un computer tramite credenziali specifiche effettuato da un utente già connesso come altro utente.
682 – Un utente si è riconnesso a una sessione di server terminal disconnessa
683 – Un utente ha terminato una sessione terminal server senza chiudere correttamente la connessione

Controlla eventi di sistema (Audit system events)
Questa impostazione permette di controllare l’avvio e l’arresto del computer da parte di un utente e gli eventi che interessano la protezione del sistema e il registro di protezione.
Questa impostazione può registrare i seguenti eventi
512 – Avvio di Windows in corso.
513 – Chiusura di Windows in corso.
514 – Un package di autenticazione è stato caricato dall’autorità di protezione locale.
515 – Un processo di accesso attendibile ha effettuato la registrazione presso l’autorità di protezione locale.
516 – Le risorse interne allocate per accodare i messaggi di controllo sono state esaurite, causando la perdita di alcuni messaggi di eventi di protezione.
517 – Il registro di controllo è stato cancellato.
518 – Un package di notifica è stato caricato dal sistema di gestione degli account di protezione.
519 – Un processo sta utilizzando una porta LPC (Local Procedure Call) non valida nel tentativo di impersonare un client e rispondere o leggere da oppure scrivere in uno spazio degli indirizzi client.
520 – L’ora di sistema è stata cambiata.

Controlla gestione degli account (Audit account management)
Questa impostazione permette di controllare gli eventi di gestione account che consistono nella creazione, modifica, eliminazione, ridenominazione, attivazione e disattivazione degli account utente e di gruppo. Inoltre gli eventi di gestione account comprendono l’impostazione e la modifica delle password.
Se si imposta Operazioni riuscite, viene registrato un evento quando riesce uno degli eventi di gestione account.
Se si imposta Operazioni non riuscite, viene registrato un evento quando non riesce uno degli eventi di gestione account.
Questa impostazione può registrare i seguenti eventi
629 – Creazione di un utente
627 – Modifica di una password utente
628 – Impostazione di una password utente
630 – Eliminazione di un utente
631 – Creazione di un gruppo globale
632 – Aggiunta di un membro a un gruppo globale
633 – Rimozione di un membro da un gruppo globale
634 – Eliminazione di un gruppo globale
635 – Creazione di un gruppo locale
636 – Aggiunta di un membro a un gruppo locale
637 – Rimozione di un membro da un gruppo locale
638 – Eliminazione di un gruppo locale
639 – Modifica di un gruppo locale
640 – Modifica di un gruppo globale
642 – Modifica di un account utente
643 – Modifica di un criterio di dominio
644 – Blocco automatico di un utente
645 – Creazione di un computer
646 – Modifica di un computer
647 – Eliminazione di un computer
648 – Creazione di un gruppo locale con protezione disabilitata
649 – Modifica di un gruppo locale con protezione disabilitata
650 – Aggiunta di un membro a un gruppo locale con protezione disabilitata
651 – Eliminazione di un membro da un gruppo locale con protezione disabilitata
652 – Eliminazione di un gruppo locale con protezione disabilitata
653 – Creazione di un gruppo globale con protezione disabilitata
654 – Modifica di un gruppo globale con protezione disabilitata
655 – Aggiunta di un membro a un gruppo globale con protezione disabilitata
656 – Rimozione di un membro da un gruppo globale con protezione disabilitata
657 – Eliminazione di un gruppo globale con protezione disabilitata
658 – Creazione di un gruppo universale con protezione abilitata
659 – Modifica di un gruppo universale con protezione abilitata
660 – Aggiunta di un membro a un gruppo universale con protezione abilitata
661 – Rimozione di un membro da un gruppo universale con protezione abilitata
662 – Eliminazione di un gruppo universale con protezione abilitata
663 – Creazione di un gruppo universale con protezione disabilitata
664 – Modifica di un gruppo universale con protezione disabilitata
665 – Aggiunta di un membro a un gruppo universale con protezione disabilitata
666 – Rimozione di un membro da un gruppo universale con protezione disabilitata
667 – Eliminazione di un gruppo universale con protezione disabilitata
668 – Modifica di un tipo di gruppo
684 – Impostazione del descrittore di protezione dei membri del gruppo amministrativo.
685 – Modifica del nome di un account

Controlla tracciato processo (Audit process tracking)
Questa impostazione permette di controllare le informazioni dettagliate dei tracciati di eventi come l’attivazione di programmi, l’uscita da processi, la duplicazione di handle e l’accesso indiretto agli oggetti.
Se si imposta Operazioni riuscite, viene registrato un evento ogni volta che il processo controllato viene eseguito con successo.
Se si imposta Operazioni non riuscite, viene generato un evento ogni volta che il processo controllato non viene eseguito con successo.
Questa impostazione genera un grande numero di eventi quindi dovrebbe essere abilitata solo quando è necessario risolvere un problema.
Questa impostazione può registrare i seguenti eventi
592 – Creazione di un nuovo processo.
593 – Un processo è terminato.
594 – Duplicazione di un handle per un oggetto.
595 – Accesso indiretto a un oggetto.
596 – Backup di una chiave principale della protezione dati.
597 – Ripristino della chiave principale della protezione dati da un server di ripristino.
598 – Protezione di dati controllabili.
599 – Rimozione della protezione di dati controllabili.
600 – Assegnazione di un token primario a un processo.
601 – Tentativo di installazione di un servizio da parte di un utente.
602 – Creazione di un processo di Scheduler.

Controlla uso dei privilegi (Audit privilege use)
Questa impostazione permette di controllare l’utilizzo di un diretteo utente da parte di un utente.
Se si imposta Operazioni riuscite, viene registrato un evento ogni volta che viene utilizzato un diritto utente.
Se si imposta Operazioni non riuscite, viene registrato un evento ogni volta che l’utilizzo di un diritto utente fallisce.
I seguenti diritti utenti non sono controllati anche quando si abilita questa impostazione
Ignora controllo visite
Debug di programmi
Creazione di un oggetto token
Replace process level token
Generazione controlli di protezione
Backup di file e directory
Ripristina file e directory
Questa impostazione può registrare i seguenti eventi
576 – Sono stati aggiunti privilegi specifici a un token di accesso dell’utente.
577 – Un utente ha tentato di eseguire un’operazione del servizio soggetta a privilegi.
578 – Utilizzo di privilegi su un handle già aperto per un oggetto protetto.

Modifica del criterio di controllo (Audit policy change)
Questa impostazione permette di controllare la modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo e dei criteri di attendibilità.
Se si imposta Operazioni riuscite, viene registrato un evento ogni volta che viene effettuata una modifica ai criteri di assegnazione dei diritti utente, ai criteri di controllo e ai criteri di attendibilità.
Se si imposta Operazioni non riuscite, viene registrato un evento ogni volta che fallisce una modifica ai criteri di assegnazione dei diritti utente, ai criteri di controllo e ai criteri di attendibilità.
Questa impostazione può registrare i seguenti eventi
608 – Assegnazione diritto utente eseguita.
609 – Eliminazione diritti utente eseguita
610 – Creazione di una relazione di trust con un altro dominio.
611 – Eliminazione della relazione di trust con un altro dominio.
612 – Modifica del criterio di controllo.
613 – Avvio di un agente criteri IPsec.
614 – Disattivazione di un agente criteri IPsec.
615 – Modifica di un agente criteri IPsec.
616 – Un agente IPsec ha riscontrato un errore potenzialmente grave.
617 – Modifica criterio Kerberos.
618 – Modifica criterio di recupero dati crittografati.
620 – Modifica di una relazione di trust con un altro dominio.
621 – Concessione dell’accesso al sistema a un account.
622 – Rimozione dell’accesso al sistema da un account.
623 – Impostazione del criterio di controllo in base ai singoli utenti.
625 – Aggiornamento del criterio di controllo in base ai singoli utenti.
768 – Rilevata collisione tra un elemento dello spazio dei nomi in un’insieme di strutture e un elemento dello spazio dei nomi in un altro insieme di strutture.
769 – Aggiunta di informazioni sull’insieme di strutture attendibili.
770 – Eliminazione di informazioni sull’insieme di strutture attendibili.
771 – Modifica di informazioni sull’insieme di strutture attendibili.
805 – Il servizio Registro eventi ha letto la configurazione del registro protezione per una sessione.