Archivio Categorie: Criteri di Gruppo

Utilizzare Group Policy Modeling

GPMC mette a disposizione Group Policy Modeling tramite il quale è possibile verificare quali sarebbero le conseguenze dello spostamento di un oggetto in un altro contenitore.

Per utilizzare Group Policy Modeling è necessario eseguire le seguenti operazioni

-Aprire GPMC.
-Espandere la foresta su cui si deve operare.
-Cliccare con il tasto destro Group Policy Modeling e selezionare Group Policy Modeling Wizard.
-Cliccare Next.
-Viene aperta la pagina Domain Controller Selection
Selezionare il dominio che si vuole utilizzare in Show Domain Controllers in This Domain.
In Process The Simulation On this Domain Controller selezionare il domain controller che si vuole utilizzare. Cliccare Next.
-Viene aperta la pagina User And Computer Selection.
In questa pagina è possibile scegliere l’utente o il contenitore di uteni e il computer o il contenitore di computer per cui si vuole eseguire la simulazione. Cliccare Next.
-Viene aperta la pagina Advanced Simulation Options.
In questa pagina è possibile selezionare opzioni avanzate che permettono di eseguire la simulazione utilizzando un collegamento lento o con la modalità loopback attiva o utilizzando un sito specifico. Cliccare Next.
-Viene aperta la pagina User Security Groups se si è scelto di effettuare la simulazione per un utente. Questa pagina permette di simulare gli effetti che si avrebbero se l’utente facesse parte dei gruppi specificati. Cliccare Next.
-Viene aperta la pagina Computer Security Groups se si è scelto di effettuare la simulazione per un computer. Questa pagina permette di simulare gli effetti che si avrebbero se il computer facesse parte dei gruppi specificati. Cliccare Next.
-Nella pagina WMI Filters for Users è necessario specificare se si vuole simulare che gli utenti rispettino tutti i requisiti richiesti dai filtri WMI o solo i requisiti rischiesti dai filtri WMI specificati. Cliccare Next.
-Nella pagina WMI Filters for Computers è necessario specificare se si vuole simulare che i computer rispettino tutti i requisiti richiesti dai filtri WMI o solo i requisiti rischiesti dai filtri WMI specificati. Cliccare Next.
-Cliccare Finish
-Viene generato il risultato della simulazione.

Configurare il Visualizzatore Eventi di Windows con le Group Policy

Il Visualizzatore Eventi di Windows può essere configurato utilizzando le impostazioni che si trovano in

Configurazione computer\Modelli amministrativi\Componenti di Windows\Visualizzatore eventi (Computer Configuration\
Administrative Templates\Windows Components\UEvent Viewer)

URL Events.asp (Events.asp URL)
Di solito gli eventi registrati su un computer che possono essere visualizzati con il visualizzatore eventi comprendono una descrizione che include
Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all’indirizzo http://go.microsoft.com/fwlink/events.asp.
Quando questo collegamento viene cliccato avvengono le seguenti operazioni
-Viene avviato Guida in linea e supporto tecnico che si trova in %SystemRoot%\PCHealth\HelpCtr\Binaries\HelpCtr.exe
-L’opzione -url hcp://services/centers/support?topic=%s viene passata a Guida in linea e supporto tecnico.
-Viene aperto l’indirizzo specificato http://go.microsoft.com/fwlink/events.asp
Utilizzando questa impostazione è possibile specificare un indirizzo diverso da http://go.microsoft.com/fwlink/events.asp per l’area descrizione che compare quando si apre un evento.

Programma Events.asp (Events.asp program)
Di solito gli eventi registrati su un computer che possono essere visualizzati con il visualizzatore eventi comprendono una descrizione che include
Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all’indirizzo http://go.microsoft.com/fwlink/events.asp.
Quando questo collegamento viene cliccato avvengono le seguenti operazioni
-Viene avviato Guida in linea e supporto tecnico che si trova in %SystemRoot%\PCHealth\HelpCtr\Binaries\HelpCtr.exe
-L’opzione -url hcp://services/centers/support?topic=%s viene passata a Guida in linea e supporto tecnico.
-Viene aperto l’indirizzo specificato http://go.microsoft.com/fwlink/events.asp
Utilizzando questa impostazione è possibile specificare un programma diverso da Guida in linea e supporto tecnico che deve essere aperto quando si clicca il collegamento.

Parametri della riga di comando per Events.asp (Events.asp program command line parameters)
Di solito gli eventi registrati su un computer che possono essere visualizzati con il visualizzatore eventi comprendono una descrizione che include
Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all’indirizzo http://go.microsoft.com/fwlink/events.asp.
Quando questo collegamento viene cliccato avvengono le seguenti operazioni
-Viene avviato Guida in linea e supporto tecnico che si trova in %SystemRoot%\PCHealth\HelpCtr\Binaries\HelpCtr.exe
-L’opzione -url hcp://services/centers/support?topic=%s viene passata a Guida in linea e supporto tecnico.
-Viene aperto l’indirizzo specificato http://go.microsoft.com/fwlink/events.asp
Utilizzando questa impostazione è possibile specificare le opzioni che devono essere passate al programma che viene avviato.

Gestire la Compatibilità delle Applicazioni con i Criteri di Gruppo

Tramite i Criteri di gruppo è possibile configurare una serie di opzioni relative alla compatibilità tra applicazioni
Le applicazioni a 16 bit che vengono eseguite su Windows Xp vengono eseguite infatti in una modalità di compatibilità particolare.

Queste applicazione vengono eseguite come processi separati in una singola virtual machine e quindi condividono un’area della memoria.
Le impostazioni relativi alla compatibilità delle applicazioni si trovano in Configurazione computer\Modelli amministrativi\Componenti di Windows\Compatibilità tra applicazioni
(Computer
Configuration\Administrative Templates\Windows Components\Application
Compatibility)

Disattiva modulo di compatibilità tra applicazioni (Turn Off Application Compatibility Engine)
Disabilita il modulo di compatibilità che è usato per eseguire i programmi in modalità compatibile.
Attivando questa opzione Windows non blocca più l’installazione di programmi con problemi di compatibilità.
Questa opzione può essere utile su server che devono eseguire con frequenza applicazioni a 16 bit per migliorare le prestazioni.
La chiave di registro relativa a questa opzione è HKLM\Software\Policies\Microsoft\Windows\AppCompat!DisableEngine

Disattiva Verifica guidata compatibilità programmi (Turn Off Program Compatibility Wizard)
Impedisce di eseguire la verifica guidata compatibilità programmi tramite il quale è possibile configurare le impostazioni relative alla compatibilità di un programma automaticaemnte.
A meno che non venga anche utilizzata l’impostazione Rimuovi pagina proprietà compatibilità programmi (Remove Program Compatibility Property Page), gli utenti possono modificare le impostazioni relative alla compatibilità in modo manuale.
Questa impostazione non ha effetto sulle impostazioni che sono state applicate in precedenza.
La chiave di registro relativa a questa opzione è  HKLM\Software\Policies\Microsoft\Windows\AppCompat!DisableWizard

Rimuovi pagina proprietà compatibilità programmi (Remove Program Compatibility Property Page)
Impedisce agli utenti di modificare manualmente le impostazioni di compatibilità di un programma.
Questa impostazione non ha effetto sulla verifica guidata compatibilità programmi e sulle impostazioni che sono state applicate in precedenza.

Attiva Eventi di registro Guida dell’applicazione (Turn On Application Help Log Events)
Attiva la registrazione degli eventi della Guida dell’applicazione.
La funzione Guida dell’applicazione permette di bloccare applicazioni incompatibili e di mostrare un messaggio all’utente relativo al problema.
Se questa impostazione è disabilitata o non configurata, questi eventi non vengono registrati nel registro degli eventi.

Impedisci accesso ad applicazioni a 16 bit (Prevent Access To 16 bit Applications)
Impedisce l’esecuzione delle applicazioni a 16 bit.
Se l’impostazione è attiva, il sottosistema dos ntvdm.exe non viene eseguito sul computer e quindi non è possibile eseguire le applicazioni a 16 bit.
Se l’impostazione è disattiva, ntvdm.exe viene eseguito.
Se l’impostazione non è configurata, il sottosistema dos viene eseguito a meno che non venga impostato il valore DWORD 1 per la chiave di registro HKLM\System\CurrentControlSet\Control\WOW\DisallowedPolicyDefault.

Configurazione utente\Modelli amministrativi\Componenti di Windows\Compatibilità tra applicazioni
(User Configuration\Administrative Templates\Windows
Components\Application Compatibility)
Impedisci accesso ad applicazioni a 16 bit (Prevent Access To 16-bit Applications)
Impedisce l’esecuzione delle applicazioni a 16 bit.
Se l’impostazione è attiva, il sottosistema dos ntvdm.exe non viene eseguito sul computer e quindi non è possibile eseguire le applicazioni a 16 bit.
Se l’impostazione è disattiva, ntvdm.exe viene eseguito.
Se l’impostazione non è configurata, il sottosistema dos viene eseguito a meno che non venga impostato il valore DWORD 1 per la chiave di registro HKLM\System\CurrentControlSet\Control\WOW\DisallowedPolicyDefault presente sul computer utilizzato.

Configurare Gestione Allegati con le Group Policy

Windows XP e le versioni successive includono il componente Gestione allegati che permette di proteggere il computer dagli allegati inclusi nei messaggi di posta e dai file scaricati da internet.

Il rischio dei file è stabilito a seconda dell’area di sicurezza da cui proviene.

Le aree di sicurezza sono le seguenti
Siti con restrizioni –  Contiene siti che sono stati specificati come ristretti e a cui viene applicato un livello di sicurezza superiore alla norma.
Siti attendibili – Contiene siti che sono stati specificati come attendibili e a cui viene applicato un livello di sicurezza inferiore alla norma.
Intranet locale – Include i siti della rete locale e i percorsi di rete locale. Viene applicato un livello di sicurezza molto inferiore alla norma.
Internet – Include i siti che non sono assegnati alle altre aree.

In base all’area da cui sono stati ricevuti gli allegati possono avere un livello di rischio diverso
Alto Rischio – Rappresentano un rischio elevato se vengono aperti. Di default questi file vengono bloccati sui siti con restrizioni e richiedono la conferma dell’utente sui siti internet.
Rischio Moderato – Rappresentano un rischio moderati se vengono aperti. Richiedeono la conferma dell’utente sui siti con restrizioni e sui siti internet.
Basso Rischio – Rappresentano un rischio limitato se vengono aperti.

I criteri di gruppo includono impostazioni relativi a Gestione allegati in Configurazione utente\Modelli amministrativi\Componenti di Windows\Gestione allegati
(User
Configuration\Administrative Templates\Windows Components\Attachment
Manager).

Uno strumento utile per la sicurezza del computer.

Gestire i Criteri di Gruppo Locali e in Active Directory

Per gestire i criteri di gruppo locali è necessario utilizzare un account amministratore, risulta essere possibile accedere ai criteri di gruppo locali eseguendo gpedit.msc dalla linea di comando.

In questo modo viene avviato l’editor tramite il quale è possibile modificare le impostazioni che vengono applicate agli utente e al computer locale.

Per configurare i criteri di gruppo locali su un computer remoto è possibile eseguire gpedit.msc con le seguenti opzioni
gpedit.msc /gpcomputer:”<ComputerRemoto>”

Il modo migliore per gestire i criteri di gruppo in un dominio Active Directory è utilizzare Group Policy Management Console che può essere scaricato dal sito Microsoft.
Una volta avviato GPMC mostra due elementi nell’area di sinistra che sono Group Policy Management e Forest che rappresenta la foresta a cui si è connessi.

Se si espande Forest vengono mostrati altri elementi
Domain – Permette di accedere alle impostazioni dei domini che fanno parte della foresta.
Sites – Permette di accedere alle impostazioni dei siti della foresta.
Group Policy Modeling – Permette di accedere a Group Policy Modeling Wizard tramite in quale è possibile verificare le conseguenze dell’applicazione delle impostazioni.
Group Policy Results – Permette di accedere a Group Policy Results Wizard.

Quando GPMC viene avviato viene mostrata la foresta a cui si è connessi, per aggiungere altre foreste è possibile eseguire le seguenti operazioni
-Avviare GPMC.
-Cliccare con il tasto destro Group Policy Management nell’area di destra e selezionare Add Forest.
-Nella finestra Add Forest inserire il nome del dominio a cui si vuole connettere.

Di default GPMC non mostra i siti della foresta a cui si è connessi, per vedere i siti è necessario eseguire le seguenti operazioni
-Aprire GPMC.
-Espandere la foresta su cui si vuole operare.
-Cliccare con il tasto destro Sites e selezionare Show Sites.
-Nella finestra Show Sites selezionare i siti che devono essere visualizzati e cliccare Ok.

Di default in GPMC viene mostrato il dominio a cui si è connessi, per aggiungere un altro dominio della foresta è necessario eseguire le seguenti operazioni
-Avviare GPMC.
-Espandere la foresta su cui si vuole operare.
-Cliccare con il tasto destro Domain e selezionare Show Domains.
-Nella finestra Show Domains selezionare i domini che si vogliono visualizzare.

Di default GPMC si connette al domain controller che ha il ruolo PDC emulator nel dominio utilizzando LDAP per accedere a Active Directory e SMB per accedere alla directory Sysvol, per specificare il domain controller a cui connettersi è necessario eseguire le seguenti operazioni
-Aprire GPMC.
-Espandere la foresta su cui si vuole operare.
-Cliccare con il tasto destro il dominio e selezionare Change Domain Controller.
-Nella finestra Change Domain Controller selezionare una delle opzioni in Change to
The Domain Controller With The Operations Master Token For The PDC Emulator – Specifica che è necessario connetteri al domain controller con il ruolo PDC Emulator.
Any Available Domain Controller – Specifica che è possibile connettersi a qualsiasi domain controller.
Any Available Domain Controller Running Windows Server 2003 Or Later – Specifica che è possibile connetersi a qualsiasi domain controller con una versione di sistema operativo che è Windows Server 2003 o successivo.
This Domain Controller – Specifica il domain controller a cui è necessario collegarsi.

Quelle che abbiamo specificato sono le operazioni iniziali che è necessario conoscere per gestire i criteri di gruppo in Windows.

Gestione allegati – Group Policy

Le impostazioni che troviamo in Gestione allegati permettono di decidere in che modo gli allegati possono essere aperti sul computer.

Configurazione utente\Modelli amministrativi\Componenti di Windows\Gestione allegati
(User
Configuration\Administrative Templates\Windows Components\Attachment
Manager)

Livello di rischio predefinito per file allegati (Default risk level for file attachments)
Permette di definire il livello di rischio di default per gli allegati provenienti dall’area Siti ristretti e dall’area Internet.
Il valore di default è Rischio Moderato.
Alto rischio – Se l’allegato è compreso nei tipi di file a alto rischio e proviene dall’area con restrizioni, non viene consentito l’accesso al file. Se proviene dall’area Internet viene richiesta conferma dell’utente
Rischio moderato – Se l’allegato è compreso nei tipi di file a rischio moderato e proviene dall’area con restrizioni o dall’area Internet, viene richiesta una conferma dell’utente.
Basso rischio – Se l’allegato è compreso nei tipi di file a basso rischio, non viene richiesta una conferma.
Impostazione predefinita
Rischio moderato
Requisiti    Almeno Microsoft Windows XP Professional SP1

Elenco di inclusione per tipi di file a alto rischio (Inclusion list for high risk file types)
Permette di configurare l’elenco dei tipi di file a alto rischio.
Abilitando questa opzione è possibile creare un elenco personalizzato di tipi di file a alto rischio.
Se si disattiva l’opzione o se non si configura l’opzione, viene utilizzato l’elenco di sistema che include i seguenti tipi di file
.ade, .adp, .app, .asp, .bas, .bat,
.cer, .chm, .cmd, .com, .cpl, .crt, .csh, .exe, .fxp, .hlp, .hta, .inf, .ins, .isp, .its, .js,
.jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .maq, .mar, .mas, .mat, .mau, .mav, .maw,
.mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msi, .msp, .mst, .ops, .pcd, .pif, .prf,
.prg, .pst, .reg, .scf, .scr, .sct, .shb, .shs, .tmp, .url, .vb, .vbe, .vbs, .vsmacros, .vss,
.vst, .vsw, .ws, .wsc, .wsf, and .wsh.
Requisiti    Almeno Microsoft Windows XP Professional SP1

Elenco di inclusione per tipi di file a rischio moderato (Inclusion list for moderate risk file types)
Permette di configurare l’elenco dei tipi di file a rischio moderato.
Abilitando questa opzione è possibile creare un elenco personalizzato di tipi di file a rischio moderato.
Se si disattiva o non si configura questa impostazione, viene utilizzata la logica di attendibilità predefinita del sistema.
Requisiti    Almeno Microsoft Windows XP Professional SP1

Elenco di inclusione per tipi di file a basso rischio (Inclusion list for low file types)
Permette di configurare l’elenco dei tipi di file a basso rischio.
Abilitando questa opzione è possibile creare un elenco personalizzato di tipi di file a basso rischio.
Se si disattiva o non si configura questa impostazione, viene utilizzata la logica di attendibilità predefinita del sistema.
Di default i seguenti file sono considerati a basso rischio se sono associati al blocco note
log
text
txt
I seguenti file sono considerati a basso rischio se sono associati al visualizzatore immagini
bmp
dib
emf
gif
ico
jfif
jpg
jpe
jpeg
png
tif
tiff
wmf
Requisiti    Almeno Microsoft Windows XP Professional SP1

Logica di attendibilità per file allegati (Trust logic for file attachments)
Questa impostazione consente di configurare la logica con cui viene attribuito il livello di rischio dei file allegati.
Preferenza per il gestore di file – Il sistema utilizza le informazioni relative al gestore di file e non al tipo considerando per esempio attendibile notepad ma non i file txt.
Preferenza per il tipo di file – Il sistema utilzza le informazioni relative al tipo di file e non al gestore considerando per esempio attendibili i file txt ma non notepad.
Verifica sia il gestore che il tipo di file – Il sistema utilizza sia le informazioni relative al gestore che quelle relative al tipo.
Se l’impostazione è disattivata o non configurata, viene utilizzata la Preferenza per il gestore di file.
Requisiti    Almeno Microsoft Windows XP Professional SP1

Non mantenere informazioni sull’area nei file allegati (Do not preserve zone information in file attachments)
Questa impostazione permette di decidere se contrassegnare i file allegati con le informazioni relative all’area di origine.
Se le informazioni non vengono conservate, il sistema non può elaborare le valutazioni dei rischi.
Se si attiva questa impostazione i file non vengono contrassegnati con le informazioni relative all’area di origine.
Se si disattiva o non si configura questa impostazione i file vengono contrassegnati con le informazioni relative all’area di origine
Requisiti    Almeno Microsoft Windows XP Professional SP1

Nascondi meccanismi di rimozione informazioni sull’area (Hide mechanisms to remove zone information)
Attivando questa opzione gli utenti non possono rimuovere manualmente le informazioni relative all’area dai file allegati salvati cliccando sul pulsante Sblocca o tramite una casella di controllo.
Se l’opzione è disattiva o non è configurata, il pulsante e la casella di controllo sono visibili e quindi l’utente può aprire anche i file che sono considerati pericolosi dal sistema
Requisiti    Almeno Microsoft Windows XP Professional SP1

Notifica programmi antivirus quando vengono aperti allegati (Notify antivirus programs when opening attachments)
Di default Windows non notifica i programmi antivirus prima di aprire i file allegati.
Normalmente i programmi antivirus possono essere configurati per controllare i file prima dell’apertura.
Abilitando questa impostazione il sistema richiede al programma antivirus di controllare il file.
Se si disattiva o non si configura questa impostazione, il sistema non richiede l’intervento del programma antivirus.
Requisiti    Almeno Microsoft Windows XP Professional SP1

Configurare NetMeeting Utilizzando Group Policy

Utilizzando i GPO è possibile configurare NetMeeting impostando diverse opzioni e specificando le funzioni che devono essere disabilitate.

In Configurazione computer\Modelli amministrativi\Componenti di Windows\NetMeeting (Computer Configuration\
Administrative Templates\Windows Components\NetMeeting) si trova l’impostazione Disattiva Condivisione desktop remoto (Disable
Remote Desktop Sharing) che permette di impedire agli utenti di condivire il desktop.

In Configurazione utente\Modelli amministrativi\Componenti di Windows\NetMeeting (User Configuration\Administrative Templates\Windows Components\NetMeeting) si trovano diverse impostazioni relative a NetMeeting tra le quali le più importanti sono le seguenti
Attiva configurazione automatica (Enable Automatic Configuration)
Questa impostazione permette di specificare un indirizzo dal quale è possibile ottenere la configurazione automatica per NetMeeting.
Imposta la pagina Web del supporto intranet (Set The Intranet Support Web Page)
Questa impostazione permette di specificare l’indirizzo al quale NetMeeting accede quando l’utentente seleziona Supporto tecnico.
Imposta le opzioni di protezione per le chiamate (Set Call Security Options)
Questa impostazione permette di abilitare la protezione per le chiamate.
Limita dimensione dei file inviati (Limit The Site Of Sent Files)
Questa impostazione permette di specificare la dimensione massima dei file che possono essere inviati agli altri utenti.
Il valore di default è 500 Kb.
In Configurazione utente\Modelli amministrativi\Componenti di Windows\NetMeeting\Audio e video (User Configuration\Administrative Templates\Windows Components\NetMeeting\Audio and video) si trova l’impostazione
Limita larghezza di banda di audio e video (Limit The Bandwidth Of Audio And Video) che permette di limitare la banda totale utilizzata da NetMeeting per la trasmizzione audio e video.
NetMeeting utilizza questa impostazione per decidere i formati audio e video da utilizzare e la velocità di invio.
Il valore di default è 621700.

Assegnazione Diritti Utente – Group Policy

L’impostazione Assegnazione diritti utente specifica quali utenti hanno i privilegi e i diritti di accesso per il computer.

Configurazione Computer\Impostazioni di Windows\Criteri locali\Assegnazione diritti utente
(Computer Configuration\
Windows Settings\Security Settings\Local Policies\User Right Assignment)

Accedi dalla rete al computer specificato (Access this computer from the network)
Questa impostazione specifica quali utenti e gruppi possono connettersi al computer tramite la rete.
Questa impostazione è utilizzata da diversi protocolli di rete tra cui SMB, NetBIOS, CIFS, HTTP e COM+.
Questo diritto è quindi necessario per accedere a risorse come le condivisioni e il registro di un computer.
Di default l’utente Everyone ha questo diritto.
Modifiche a questo diritto vengono registrate nel registro di sistema con gli eventi 621(Windows Server 2003) o 4717(Windows Server 2008) e 622(Windows Server 2003) o 4718(Windows Server 2008)
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Administrators, Authenticated Users, Domain Controller
Impostazione predefinita
In workstation e server
Administrators
Backup Operators
Power Users
Users
Everyone
Nei controller di dominio
Administrators
Authenticated Users
Everyone

Accesso come processo batch (Log on as a batch job)
Questa impostazione specifica gli utenti che possono essere utilizzati per schedulare processi tramite l’Utilità di pianificazione.
L’Utilità di pianificazione assegna automaticamente questo diritto quando viene schedulato un processo.
L’impostazione Nega accesso come processo batch ha la precedenza su questa impostazione.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Non definito
Impostazione predefinita  Sistema locale

Accesso come servizio (Log on as a service)
Questa impostazione specifica quali utenti possono essere utilizzati per eseguire i servizi.
L’impostazione Nega accesso come servizio ha la precedenza su questa impostazione.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        SERVIZIO DI RETE
Impostazione predefinita nessuna

Accesso  locale (Allow log on locally)
Questa impostazione specifica quali utenti possono accedere interattivamente al computer.
Questo diritto è richiesto per accedere premendo CTRL ALT CANC sulla tastiera.
Modifiche a questo diritto vengono registrate nel registro di sistema con gli eventi 621(Windows Server 2003) o 4717(Windows Server 2008) e 622(Windows Server 2003) o 4718(Windows Server 2008)
Legacy Client        Administrators, Backup Operators, Power Users
Enterprise Client    Administrators, Backup Operators, Power Users
High Security        Amministratori
Impostazione predefinita
In workstation e server
Administrators
Backup Operators
Power Users
Users
Guest
Nei controller di dominio
Account Operators
Administrators
Backup Operators
Print Operators
Server Operators

Acquisizione proprietà di file o altri oggetti (Take ownership of files or other objects)
Questa impostazione specifica gli utenti che possono acquisire la proprietà di qualsiasi oggetto che può essere protetto nella rete.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita Administrators

Aggiunta di workstation al dominio (Add workstations to domain)
Questa impostazione specifica gli utenti che possono aggiungere computer al dominio.
Di default ognu utente può aggiungere dieci computer al dominio.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori

Agire come parte del sistema operativo (Act as part of the operating system)
Questa impostazione specifica se un processo può assumere l’identità di un utente per avere accesso alle risorse che l’utente è autorizzato a accedere.
L’utilizzo di questo diritto comporta rischi per la sicurezza.
Se un processo richiede questo diritto è consigliato usare l’accont di sistema locale invece che un account utente a cui è stato assegnato il permesso.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita Sistema locale

Arresto del sistema (Shut down the system)
Questa impostazione specifica quali utenti connessi al computer locale possono arrestare il sistema.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Nelle workstation
Administrators
Backup Operators
Power Users
Users
Nei server
Administrators
Backup Operators
Power Users
Nei controller di dominio
Account Operators
Administrators
Backup Operators
Server Operators
Print Operators

Arresto forzato da un sistema remoto (Force shutdown from a remote system)
Questa impostazione specifica gli utenti che possono arrestare i computer da postazioni remote sulla rete.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
In workstation e server
Administrators
Nei controller di dominio
Administrators
Server Operators

Aumento della priorità di pianificazione (Increase scheduling priority)
Questa impostazione specifica gli utenti che possono aumentare la classe di priorità di base di un processo.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators

Backup di file e directory (Back up files and directories)
Questa impostazione specifica se gli utenti possono eseguire il backup indipendentemente dai permessi sui file.
Questo diritto viene utilizzando solo quando un’applicazione tenta l’accesso attraverso l’api di backup del file system NTFS.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators e Backup Operators

Blocco di pagine in memoria (Lock pages in memory)
Questa impostazione specifica se un processo può archiviare dati nella memoria fisica per evitare il paging di dati nella memoria virtuale che provoca una diminuzione delle prestazioni.
Questo diritto può causare rischi per la sicurezza perchè un utente che ha questo diritto può assegnare la memoria fisica a certi processi lasciandone poca a disposizione di altri.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita nessuna

Caricamento rimozione di driver di periferica (Load and unload device drivers)
Questa impostazione specifica gli utenti che possono caricare e rimuovere dinamicamente i driver di periferica.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators

Consenti accesso tramite Servizi terminal (Allow log on through Terminal Services)
Questa impostazione specifica quali utenti e gruppi possono effettuare l’accesso come client di Terminal Service.
Modifiche a questo diritto vengono registrate nel registro di sistema con gli eventi 621(Windows Server 2003) o 4717(Windows Server 2008) e 622(Windows Server 2003) o 4718(Windows Server 2008).
Legacy Client        Administrators e Utenti desktop remoto
Enterprise Client    Administrators e Utenti desktop remoto
High Security        Amministratori
Impostazione predefinita
In workstation e server
Administrators
Utenti desktop remoto
Nei controller di dominio
Administrators

Creazione di file di paging (Create a pagefile)
Questa impostazione specifica gli utenti che possono creare e modificare la dimensione del file di paging.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Ammnistratori
Impostazione predefinita
Administrators

Creazione di oggetti condivisi permanentemente (Create permanent shared objects)
Questa impostazione specifica gli utenti che possono creare oggetti condivisi permanentemente nel gestore oggetto.
Gli oggetti condivisi permanentemente sono oggetti che non possono essere distrutti da Windows dopo che tutti i riferimenti sono stati cancellati.
Questa impostazione è utile ai componenti in modalità kernel che di solito hanno questo diritto quindi normalmente non è necessario assegnarlo agli utenti.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita: Sistema locale

Creazione di oggetti token (Create a token object)
Questa impostazione specifica gli account che possono essere utilizzati dai processi per la creazione di un token da utilizzare per ottenere accesso a una risorsa locale quando il processo utilizza un’interfaccia api interna per creare un token di accesso.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita Sistema locale

Creazione di profilo del singolo processo (Profile single process)
Questa impostazione specifica gli utenti che possono utilizzare gli strumenti per controllare le prestazioni dei processi non di sistema
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators
Power users
Sistema locale

Creazione di profilo delle prestazioni del sistema (Profile system performance)
Questa impostazione specifica gli utenti che possono utilizzare gli strumenti per controllare le prestazioni dei processi di sistema.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators
Sistema locale

Creazione oggetti globali (Create global objects)
Questa impostazione permette di specificare gli utenti che possono creare oggetti globali che sono disponibili in tutte le sessioni.
In generale non è necessario modificare questa impostazione.
La mancanza di questo permesso può essere la causa di alcuni problemi quando si eseguono programmi in Terminal Service.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori, SERVIZIO

Debug di programmi (Debug programs)
Questa impostazione specifica gli utenti che possono collegare un debugger a un processo o al kernel e che quindi possono accedere a componenti importanti del sistema operativo.
Questo diritto non dovrebbe essere assegnato su server di produzione.
I programmatori non hanno bisogno di questo diritto per i processi in esecuzione con il loro account.
Legacy Client        Non definito
Enterprise Client    Amministratori
High Security        Nessuno
Impostazione predefinita
Administrators
Sistema locale

Esecuzione operazioni di manutenzione volume (Perform volume maintenance tasks)
Questa impostazione specifica gli utenti che possono gestire i volumi e i dischi.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita Administrators

Generazione di controlli di protezione (Generate security audits)
Questa impostazione specifica gli account che possono essere usati da un processo per generare eventi nel registro di protezione.
Questo diritto potrebbe essere usato per generare eventi in modo da riempire il registro di protezione e eliminare le traccie di un attacco.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        SERVIZIO DI RETE, SERVIZIO LOCALE
Impostazione predefinita Sistema locale

Gestione file registro di controllo e di protezione (Manage auditing and security log)
Questa impostazione specifica gli utenti che possono specificare le opzioni di controllo di accesso a oggetti come file e chiavi di registro.
Inoltre permette di visualizzare e pulire il registro di protezione.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators

Ignorare controllo incrociato (Bypass traverse checking)
Questa impostazione specifica gli utenti che possono attraversare le strutture di directory anche se non dispongono di autorizzazioni sulle cartelle attraversate.
Questo diritto permette all’utente di attraversare le cartelle senza vedere il contenuto.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Authenticated Users
Impostazione predefinita
In workstation e server
Administrators
Backup Operators
Power Users
Users
Everyone
Nei controller di dominio
Administrators
Authenticated Users

Impostazione account computer ed utente a tipo trusted per la delega (Enable computer and user accounts to be trusted for delegation)
Questa impostazione specifica gli utenti che possono modificare l’impostazione Trusted per la delega di un oggetto utente o computer in Active Directory.
Gli utenti che hanno questo diritto devono avere i permessi in scrittura dei flag di controllo dell’account.
In questo caso per delega non si intende la delega di attività amministrative sull’oggetto.
Per delega si intende la possibilità per le applicazioni di usare le credenziali delegate per accedere a altri server per conto dell’utente.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita Administrators nei controller di dominio

Modifica dei valori di ambiente firmware (Modify firmware environment values)
Questa impostazione controlla il permesso di modificare i valori di ambiente firmware che sono salvati nella RAM non volatile sui computer che non sono x86.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators
Sistema locale

Modifica dell’orario di sistema (Change the system time)
Questa impostazione specifica quali utenti possono modificare l’ora e la data del computer.
Se l’ora di sistema viene modificata gli eventi vengono registrati con la nuova ora e non con quella effettiva.
Gli eventi 520 (Windows Server 2003) e 4616 (Windows Server 2008) sono associati a questa impostazione.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
In workstation e server
Administrators
Power Users
Nei controller di dominio
Administrators
Server Operators

Nega accesso al computer dalla rete (Deny access to this computer from the network)
Questa impostazione specifica gli utenti che non possono accedere a un computer dalla rete.
Questa impostazione impedisce l’accesso a diversi protocolli di rete come SMB, NetBIOS, CIFS, HTTP e COM+.
Questa impostazione ha la precedenza sull’impostazione Accedi al computer della rete.
Legacy Client        ACCESSO ANONIMO, Guest; Support_388945a0;
Tutti gli account di servizio NON utilizzati dal sistema operativo
Enterprise Client    ACCESSO ANONIMO, Guest; Support_388945a0;
Tutti gli account di servizio NON utilizzati dal sistema operativo
High Security        ACCESSO ANONIMO, Guest; Support_388945a0;
Tutti gli account di servizio NON utilizzati dal sistema operativo
Impostazione predefinita nessuna

Nega accesso come processo batch (Deny log on as a batch job)
Questa impostazione specifica gli utenti che non possono accedere al computer come processo batch.
Questo tipo di accesso è utilizzato dagli utenti utilizzati per pianificare i processi con l’Utilità di pianificazione.
Questa impostazione ha la precedenza sull’impostazione Accedi come processo batch.
Legacy Client        Guest, Support_388945a0
Enterprise Client    Guest, Support_388945a0
High Security        Guest,  Support_388945a0
Impostazione predefinita  nessuna

Nega accesso come servizio (Deny log on as a service)
Questa impostazione specifica gli utenti che possono essere utilizzati per eseguire i servizi.
Questa impostazione ha la precedenza sull’impostazione Accedi come servizio.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita nessuna

Nega accesso locale (Deny log on locally)
Questa impostazione specifica gli utenti che non possono accedere interattivamente al computer usando la tastiera.
Questa impostazione ha la precedenza sull’impostazione Accesso locale.
Se si assegna questa impostazione a Everyone nessuno può effettuare il logon.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Guest e Support_388945a0
Impostazione predefinita nessuna

Nega accesso tramite Servizi terminal (Deny log on through Terminal Services)
Questa impostazione specifica gli utenti che non possono accedere come clienti di Terminal Services.
Questa impostazione ha la precedenza sull’impostazione Consenti accesso tramite Servizi terminal.
Legacy Client        Guests
Enterprise Client    Guests
High Security        Guests
Impostazione predefinita
nessuna

Rappresenta un client dopo l’autenticazione (Impersonate a client after authentication)
Questa impostazione specifica se le applicazioni eseguite da un utente autenticato possono rappresentare dei client.
Questo diritto permette a un’applicazione server che accetta le connessioni autenticate dei client di impersonare il client mentre accede a risorse sul server per conto dell’utente.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori, SERVIZIO
Impostazione predefinita
Administrators
Service

Regolazione limite risorse memoria per un processo (Adjust memory quotas for a process)
Questa impostazione specifica se gli utenti possono regolare la quantità massima di memoria disponibile per un processo.
L’impostazione è utile per ottimizzare il sistema ma può essere utilizzata per degli attacchi.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Administrators, SERVIZIO DI RETE, SERVIZIO LOCALE
Impostazione predefinita Administrators

Rimozione del computer dall’alloggiamento (Remove computer from docking station)
Questa impostazione specifica gli utenti che possono selezionare Rilascia PC dal menu Avvio per rimuovere un computer portatile dalla docking station.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita disattivata

Ripristino di file e directory (Restore files and directories)
Questa impostazione specifica gli utenti che possono ignorare le autorizzazioni sui file e le directory quando eseguono il ripristino da un backup.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
In workstation e server
Administrators
Backup Operators
Nei controller di dominio
Administrators
Backup Operators
Server Operators

Sincronizzazione dei dati del servizio directory (Synchronize directory service data)
Questo diritto è necessario per utilizzare DirSync.
DirSync è un controllo ADSI che permette a un’applicazione di richiedere periodicamente a Active Directory gli oggetti che sono cambiati dall’ultima richiesta.
Questo diritto non è collegato alla sincronizzazione tra i domain controller.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita nessuna

Sostituzione di token a livello di processo (Replace a process level token)
Questa impostazione specifica gli utenti che possono utilizzare l’api CreateProcessAsUser per avviare un processo con un utente diverso.
Questo diritto viene utilizzato dal servizio Utilità di pianificazione.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        SERVIZIO LOCALE, SERVIZIO DI RETE
Impostazione predefinita
Servizio di rete
Sistema locale

Criteri Controllo – Group Policy

I criteri di controllo definiscono quali eventi devono essere registrati nel registro di sistema.

Configurazione Computer\Impostazioni di Windows\Criteri locali\Criteri controllo (Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy)

Controllo accesso agli oggetti (Audit object access)
Questa impostazione permette di controllare gli accessi di un utente a oggetti come file, directory, registro e stampanti sui quali è abilitato un elenco di controllo accesso di sistema.
Se si imposta Operazioni riuscite, ogni volta che un utente riesce a accedere a un utente per cui è stato specificato un elenco di controllo di accesso di sistema viene registrato un evento.
Se si imposta Operazioni non riuscite, ogni volta che un utente non riesce a accedere a un utente per cui è stato specificato un elenco di controllo di accesso di sistema viene registrato un evento.
Questa impostazione può registrare i seguenti eventi
560 – Concessione accesso a un oggetto esistente.
562 – Chiusura handle a un oggetto.
563 – Esecuzione tentativo di apertura di un oggetto con l’intento di eliminarlo
564 – Eliminazione oggetto protetto.
565 – Concessione accesso a un tipo di oggetto che esiste già.
567 – Utilizzazione di un’autorizzazione associata a un handle.
568 – Tentativo di creazione di un collegamento fisso a un file di cui è in corso il controllo.
569 – Tentativo di creazione di un contesto client da parte del gestore delle risorse di Gestione autorizzazioni.
570 – Tentativo di un client di accedere a un oggetto.
571 – Applicazione Gestione autorizzazioni ha eliminato il contesto client.
572 – Applicazione inizializzata dal gestore di amministrazione.
772 – Richiesta di certificati in sospeso negata da Gestione certificati.
773 – Servizi certificati ha ricevuto una richiesta di certificati nuovamente inoltrata.
774 – Servizi certificati ha revocato un certificato.
775 – Servizi certificati ha ricevuto una richiesta di pubblicazione dell’elenco di revoche di certificati (CRL).
776 – Servizi certificati ha pubblicato l’elenco dei certificati revocati (CRL).
777 – Effettuata l’estensione di una richiesta di certificati.
778 – Modifica di attributi di richieste di certificati.
779 – Servizi certificati ha ricevuto una richiesta di arresto.
780 – Avviato il backup di Servizi certificati.
781 – Completato il backup di Servizi certificati.
782 – Avviato il ripristino di Servizi certificati.
783 – Completato il ripristino di Servizi certificati.
784 – Servizi certificati avviato.
785 – Servizi certificati arrestato.
786 – Le autorizzazioni di protezione di Servizi certificati sono state modificate.
787 – Servizi certificati ha recuperato una chiave archiviata.
788 – Servizi certificati ha importato un certificato nel proprio database.
789 – Modifica del filtro di controllo per Servizi certificati.
790 – Servizi certificati ha ricevuto una richiesta di certificato.
791 – Servizi certificati ha approvato una richiesta di certificato e ha rilasciato un certificato.
792 – Servizi certificati ha negato una richiesta di certificato.
793 – Servizi certificati ha negato una richiesta di certificato.
794 – Modifica delle impostazioni del gestore certificati per Servizi certificati.
795 – Modifica di una voce della configurazione in Servizi certificati.
796 – Modifica di una proprietà di Servizi certificati.
797 – Servizi certificati ha archiviato una chiave.
798 – Servizi certificati ha importato e archiviato una chiave.
799 – Pubblicazione del certificato della autorità di certificazione (CA) in Active Directory.
800 – Eliminazione righe dal database dei certificati.
801 – Abilitata separazione ruoli.

Controlla accesso al servizio directory (Audit directory service access)
Questa impostazione permette di controllare l’accesso a un oggetto Active Directory al quale è associato un elenco di controllo accesso di sistema.
Questa impostazione ha effetto solo sui domain controller quindi può essere configurata nell’oggetto Criteri di gruppo Criterio controller di dominio predefiniti.
Se si imposta Operazioni riuscite, viene generato un evento quando un utente accede a un oggetto Active Directory al quale è associato un elenco di controllo accesso di sistema.
Se si imposta Operazioni non riuscite, viene generato un evento quando un utente non riesce a accedere a un oggetto Active Directory al quale è associato un elenco di controllo accesso di sistema.
Questa impostazione può registrare i seguenti eventi
566 – Esecuzione di un’operazione su un oggetto generico.

Controlla eventi accesso account (Audit account logon events)
Questa impostazione permette di controllare ogni operazione di accesso e disconnessione di utenti a un altro computer che utilizza il computer su cui è definita l’impostazione per la convalida dell’account.
L’autenticazione di un utente di dominio genera un evento che viene registrato nel registro di protezione del domain controller.
Utilizzando questa impostazione è possibile registrare sul domain controller tutti i tentativi di accesso.
L’autenticazione di un utente locale su un computer genera un evento di accesso che viene registrato sul registro di protezione del computer locale.
Se si imposta Operazioni riuscite, viene registrato un evento quando riesce il tentativo di accesso.
Se si imposta Operazioni non riuscite, viene registrato un evento quando non riesce il tentativo di accesso.
Questa impostazione può registrare i seguenti eventi
672 – Un ticket del servizio di autenticazione è stato emesso e convalidato.
673 – Un ticket TGS è stato rilasciato da TGS di Kerberos.
674 – Un ticket AS o TGS è stato rinnovato.
675 – La preautenticazione non è riuscita. L’evento è causato un tentativo di accesso con password sbagliata
676 – La richiesta ticket autenticazione non è riuscita.
677 – Un ticket TGS non è stato concesso
678 – Un account è stato mappato in modo corretto a un account del domino
681 – Si è verificato un errore durante l’accesso
682 – Un utente si è riconnesso a una sessione terminal server
683 – Un utente ha terminao una sessione terminal server senza chiudere la connessione correttamente.

Controlla eventi di accesso (Audit logon events)
Questa impostazione permette di controllare ogni evento di accesso e disconnessione al computer locale indipendentemente da dove si trova l’account.
Utilizzando questa impostazione sui domain controller viene registrato un evento solo quando un utente tenta di accedere al domain controller mentre non registra eventi sul domain controller quando un utente tenta di accedere a un computer membro del dominio
Per registrare tutti gli eventi di accesso con un utente di dominio indipendentemente da dove viene fatto il tentativo di accesso è necessario abilitare l’impostazione Controlla eventi di accesso account (Audit account logon events).
Questa impostazione può registrare i seguenti eventi
528 – Accesso a un computer eseguito correttamente
529 – Tentativo di accesso con un utente sconosciuto o con una password sbagliata
530 – Tentativo di accesso oltre il tempo consentito
531 – Tentativo di accesso con un utente disabilitato
532 – Tentativo di accesso con un account scaduto
533 – Tentativo di accesso di un utente non autorizzato a connettersi al computer
534 – Tentativo di accesso con una password di tipo non consentito
535 – Tentativo di accesso con una password scaduta
536 – Servizio di rete non attivo
537 – Tentativo di accesso non riuscito per altri motivi
538 – Disconnessione completata
539 – Account bloccato
540 – Accesso riuscito alla rete
541 – L’autenticazione della modalità principale Internet Key Exchange è stata completata
542 – Chiusura di un canale dati
543 – Interruzione della modalità principale
544 – Autenticazione della modalità principale non riuscita perchè il peer non ha fornito un certificato valido
545 – Autenticazione della modalità principale no nriuscita a cause di un errore del protocollo di autenticazione Kerberos o di una password non valida
546 – Impossibile stabilire l’associazione di protezione IKE
547 – Errore durante un  handshake IKE
548 – Il SID di un dominio trusted non corrisponde al SID di protezione del dominio account del client
549 – Tutti i SID corrispondenti a spazi dei nomi non attendibili sono stati esclusi dal filtro durante un’autenticazione tra insieme di strutture
550 – Il messaggio può indicare un tipo di attacco
551 – Avviato processo di disconnessione
552 – Accesso a un computer tramite credenziali specifiche effettuato da un utente già connesso come altro utente.
682 – Un utente si è riconnesso a una sessione di server terminal disconnessa
683 – Un utente ha terminato una sessione terminal server senza chiudere correttamente la connessione

Controlla eventi di sistema (Audit system events)
Questa impostazione permette di controllare l’avvio e l’arresto del computer da parte di un utente e gli eventi che interessano la protezione del sistema e il registro di protezione.
Questa impostazione può registrare i seguenti eventi
512 – Avvio di Windows in corso.
513 – Chiusura di Windows in corso.
514 – Un package di autenticazione è stato caricato dall’autorità di protezione locale.
515 – Un processo di accesso attendibile ha effettuato la registrazione presso l’autorità di protezione locale.
516 – Le risorse interne allocate per accodare i messaggi di controllo sono state esaurite, causando la perdita di alcuni messaggi di eventi di protezione.
517 – Il registro di controllo è stato cancellato.
518 – Un package di notifica è stato caricato dal sistema di gestione degli account di protezione.
519 – Un processo sta utilizzando una porta LPC (Local Procedure Call) non valida nel tentativo di impersonare un client e rispondere o leggere da oppure scrivere in uno spazio degli indirizzi client.
520 – L’ora di sistema è stata cambiata.

Controlla gestione degli account (Audit account management)
Questa impostazione permette di controllare gli eventi di gestione account che consistono nella creazione, modifica, eliminazione, ridenominazione, attivazione e disattivazione degli account utente e di gruppo. Inoltre gli eventi di gestione account comprendono l’impostazione e la modifica delle password.
Se si imposta Operazioni riuscite, viene registrato un evento quando riesce uno degli eventi di gestione account.
Se si imposta Operazioni non riuscite, viene registrato un evento quando non riesce uno degli eventi di gestione account.
Questa impostazione può registrare i seguenti eventi
629 – Creazione di un utente
627 – Modifica di una password utente
628 – Impostazione di una password utente
630 – Eliminazione di un utente
631 – Creazione di un gruppo globale
632 – Aggiunta di un membro a un gruppo globale
633 – Rimozione di un membro da un gruppo globale
634 – Eliminazione di un gruppo globale
635 – Creazione di un gruppo locale
636 – Aggiunta di un membro a un gruppo locale
637 – Rimozione di un membro da un gruppo locale
638 – Eliminazione di un gruppo locale
639 – Modifica di un gruppo locale
640 – Modifica di un gruppo globale
642 – Modifica di un account utente
643 – Modifica di un criterio di dominio
644 – Blocco automatico di un utente
645 – Creazione di un computer
646 – Modifica di un computer
647 – Eliminazione di un computer
648 – Creazione di un gruppo locale con protezione disabilitata
649 – Modifica di un gruppo locale con protezione disabilitata
650 – Aggiunta di un membro a un gruppo locale con protezione disabilitata
651 – Eliminazione di un membro da un gruppo locale con protezione disabilitata
652 – Eliminazione di un gruppo locale con protezione disabilitata
653 – Creazione di un gruppo globale con protezione disabilitata
654 – Modifica di un gruppo globale con protezione disabilitata
655 – Aggiunta di un membro a un gruppo globale con protezione disabilitata
656 – Rimozione di un membro da un gruppo globale con protezione disabilitata
657 – Eliminazione di un gruppo globale con protezione disabilitata
658 – Creazione di un gruppo universale con protezione abilitata
659 – Modifica di un gruppo universale con protezione abilitata
660 – Aggiunta di un membro a un gruppo universale con protezione abilitata
661 – Rimozione di un membro da un gruppo universale con protezione abilitata
662 – Eliminazione di un gruppo universale con protezione abilitata
663 – Creazione di un gruppo universale con protezione disabilitata
664 – Modifica di un gruppo universale con protezione disabilitata
665 – Aggiunta di un membro a un gruppo universale con protezione disabilitata
666 – Rimozione di un membro da un gruppo universale con protezione disabilitata
667 – Eliminazione di un gruppo universale con protezione disabilitata
668 – Modifica di un tipo di gruppo
684 – Impostazione del descrittore di protezione dei membri del gruppo amministrativo.
685 – Modifica del nome di un account

Controlla tracciato processo (Audit process tracking)
Questa impostazione permette di controllare le informazioni dettagliate dei tracciati di eventi come l’attivazione di programmi, l’uscita da processi, la duplicazione di handle e l’accesso indiretto agli oggetti.
Se si imposta Operazioni riuscite, viene registrato un evento ogni volta che il processo controllato viene eseguito con successo.
Se si imposta Operazioni non riuscite, viene generato un evento ogni volta che il processo controllato non viene eseguito con successo.
Questa impostazione genera un grande numero di eventi quindi dovrebbe essere abilitata solo quando è necessario risolvere un problema.
Questa impostazione può registrare i seguenti eventi
592 – Creazione di un nuovo processo.
593 – Un processo è terminato.
594 – Duplicazione di un handle per un oggetto.
595 – Accesso indiretto a un oggetto.
596 – Backup di una chiave principale della protezione dati.
597 – Ripristino della chiave principale della protezione dati da un server di ripristino.
598 – Protezione di dati controllabili.
599 – Rimozione della protezione di dati controllabili.
600 – Assegnazione di un token primario a un processo.
601 – Tentativo di installazione di un servizio da parte di un utente.
602 – Creazione di un processo di Scheduler.

Controlla uso dei privilegi (Audit privilege use)
Questa impostazione permette di controllare l’utilizzo di un diretteo utente da parte di un utente.
Se si imposta Operazioni riuscite, viene registrato un evento ogni volta che viene utilizzato un diritto utente.
Se si imposta Operazioni non riuscite, viene registrato un evento ogni volta che l’utilizzo di un diritto utente fallisce.
I seguenti diritti utenti non sono controllati anche quando si abilita questa impostazione
Ignora controllo visite
Debug di programmi
Creazione di un oggetto token
Replace process level token
Generazione controlli di protezione
Backup di file e directory
Ripristina file e directory
Questa impostazione può registrare i seguenti eventi
576 – Sono stati aggiunti privilegi specifici a un token di accesso dell’utente.
577 – Un utente ha tentato di eseguire un’operazione del servizio soggetta a privilegi.
578 – Utilizzo di privilegi su un handle già aperto per un oggetto protetto.

Modifica del criterio di controllo (Audit policy change)
Questa impostazione permette di controllare la modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo e dei criteri di attendibilità.
Se si imposta Operazioni riuscite, viene registrato un evento ogni volta che viene effettuata una modifica ai criteri di assegnazione dei diritti utente, ai criteri di controllo e ai criteri di attendibilità.
Se si imposta Operazioni non riuscite, viene registrato un evento ogni volta che fallisce una modifica ai criteri di assegnazione dei diritti utente, ai criteri di controllo e ai criteri di attendibilità.
Questa impostazione può registrare i seguenti eventi
608 – Assegnazione diritto utente eseguita.
609 – Eliminazione diritti utente eseguita
610 – Creazione di una relazione di trust con un altro dominio.
611 – Eliminazione della relazione di trust con un altro dominio.
612 – Modifica del criterio di controllo.
613 – Avvio di un agente criteri IPsec.
614 – Disattivazione di un agente criteri IPsec.
615 – Modifica di un agente criteri IPsec.
616 – Un agente IPsec ha riscontrato un errore potenzialmente grave.
617 – Modifica criterio Kerberos.
618 – Modifica criterio di recupero dati crittografati.
620 – Modifica di una relazione di trust con un altro dominio.
621 – Concessione dell’accesso al sistema a un account.
622 – Rimozione dell’accesso al sistema da un account.
623 – Impostazione del criterio di controllo in base ai singoli utenti.
625 – Aggiornamento del criterio di controllo in base ai singoli utenti.
768 – Rilevata collisione tra un elemento dello spazio dei nomi in un’insieme di strutture e un elemento dello spazio dei nomi in un altro insieme di strutture.
769 – Aggiunta di informazioni sull’insieme di strutture attendibili.
770 – Eliminazione di informazioni sull’insieme di strutture attendibili.
771 – Modifica di informazioni sull’insieme di strutture attendibili.
805 – Il servizio Registro eventi ha letto la configurazione del registro protezione per una sessione.

Criterio Kerberos – Group Policy

Le impostazioni che troviamo in Criterio Kerberos vengono utilizzate per gli account utente di un dominio.
Questi criteri definiscono le impostazioni relative al protocollo Kerberos e generalmente non devono essere modificati i valori predefiniti

Configurazione Computer\Impostazioni di Windows\Criteri account\Criterio Kerberos
(Computer Configuration\
Windows Settings\Security Settings\Account Policies\Kerberos Policy)

Durata massima rinnovo ticket utente (Maximum lifetime for user ticket renewal)
Questa impostazione specifica il numero di giorni durante il quale è possibile rinnovare il ticket di concessione ticket.
Impostazione predefinita
7 giorni

Durata massima ticket di servizio (Maximum lifetime for service ticket)
Questa impostazione specifica il numero massimo di minuti per cui è possibile utilizzare il ticket di sessione ottenuto per accedere a un determinato servizio.
Il server invia un messaggio di errore se il client presenta un ticket di sessione scaduto quando richiede la connessione.
In questo caso il client deve chiedere un nuovo ticket di sessione al centro distribuzione chiavi Kerberos.
La validità del ticket di sessione non viene più verificata dopo l’autenticazione quindi se il ticket di sessione scade durante la connessione le operazioni in corso non vengono interrotte.
Impostazione predefinita
600 minuti

Durata massima ticket utente (Maximum lifetime for user ticket)
Questa impostazione specifica il numero massimo di ore per cui è possibile utilizzare il ticket di concessione ticket di un utente.
Alla scadenza del ticket di concessione ticket è necessario richiederne un altro o rinnovare quello esistente.
Impostazione predefinita
10 ore

Imporre le restrizioni di accesso agli utenti (Enforce user logon restrictions)
Questa impostazione specifica se il centro distribuzione chiavi Kerberos deve convalidare ogni singola richiesta di ticket di sessione rispetto al criterio relativo ai diritti utente specificato per l’account utente.
Impostazione predefinita
Attivata

Tolleranza massima per la sincronizzazione dell’orologio del computer (Maximum tolerance for computer clock synchronization)
Questa impostazione specifica la differenza di tempo massima in minuti tollerata da Kerberos tra l’ora del client e quella del domain controller che fornisce l’autenticazione Kerberos.
Kerberos utilizza timestamp e per il corretto funzionamento è necessario che l’ora del client e del domain controller siano sincronizzate.
Impostazione predefinita
5 minuti

1 2