Esporta (0) Stampa
Espandi tutto

Novità del controllo della sicurezza di Windows

Aggiornamento: marzo 2010

Si applica a: Windows Server 2008 R2

Novità principali

Numerosi miglioramenti apportati al controllo in Windows Server® 2008 R2 e Windows® 7 aumentano il livello di dettaglio nei registri di controllo della sicurezza e semplificano la distribuzione e la gestione dei criteri di controllo. Sono inclusi i miglioramenti seguenti:

  • Controllo di accesso agli oggetti globale. In Windows Server 2008 R2 e Windows 7 gli amministratori possono definire elenchi di controllo di accesso di sistema (SACL) a livello di computer per il file system o il Registro di sistema. L'elenco di controllo di accesso di sistema viene quindi applicato a ogni singolo oggetto del tipo specificato. Questo comportamento può essere utile sia per verificare che tutte le impostazioni del Registro di sistema, le cartelle e i file critici in un computer siano protetti, sia per identificare un problema con una risorsa di sistema.

  • Report sul motivo di accesso. Questo elenco di voci di controllo di accesso specifica i privilegi su cui si basa la decisione di consentire o negare l'accesso all'oggetto. Può essere utile per documentare le autorizzazioni, ad esempio le appartenenze ai gruppi, che consentono o impediscono il verificarsi di un determinato evento controllabile.

  • Impostazioni avanzate dei criteri di controllo. È possibile utilizzare queste 53 nuove impostazioni al posto delle nove impostazioni di controllo di base disponibili in Criteri locali\Criteri controllo per consentire agli amministratori di determinare in modo più specifico i tipi di attività che desiderano controllare e di eliminare le attività di controllo non necessarie che possono rendere i registri di controllo difficili da gestire e decifrare.

Questi miglioramenti vengono descritti in modo più dettagliato nelle sezioni seguenti.

Informazioni sui miglioramenti apportati al controllo

In Windows XP gli amministratori dispongono di nove categorie di eventi di controllo della sicurezza, che possono monitorare per determinare l'esito positivo, l'esito negativo o entrambi. Tali eventi corrispondono ad ambiti piuttosto ampi e possono essere generati da molte azioni simili, alcune delle quali possono produrre un numero elevato di voci del registro eventi.

In Windows Vista® e Windows Server 2008 il numero di eventi controllabili è stato aumentato da 9 a 53, per consentire agli amministratori maggiore selettività nel determinare il numero e i tipi di eventi da controllare. A differenza dei nove eventi di base di Windows XP, questi nuovi eventi di controllo non sono integrati in Criteri di gruppo e possono essere distribuiti solo utilizzando script di accesso generati con lo strumento da riga di comando Auditpol.exe.

In Windows Server 2008 R2 e Windows 7 tutte le funzionalità di controllo sono state integrate in Criteri di gruppo. In questo modo, gli amministratori possono configurare, distribuire e gestire queste impostazioni in Console Gestione Criteri di gruppo o nello snap-in Criteri di sicurezza locali per un dominio, un sito o un'unità organizzativa (OU). Windows Server 2008 R2 e Windows 7 consentono ai professionisti IT di tenere traccia in modo più semplice dei momenti in cui attività significative e definite con precisione si verificano nella rete.

I miglioramenti apportati ai criteri di controllo in Windows Server 2008 R2 e Windows 7 consentono agli amministratori di collegare regole business e criteri di controllo. L'applicazione di impostazioni dei criteri di controllo a domini o unità organizzative, ad esempio, consentirà agli amministratori di documentare la conformità ad alcune regole, ad esempio:

  • Tenere traccia di tutte le attività dell'amministratore dei gruppi in server con informazioni finanziarie.

  • Tenere traccia di tutti i file cui accedono gruppi definiti di dipendenti.

  • Verificare l'applicazione dell'elenco di controllo di accesso di sistema corretto a ogni file, cartella e chiave del Registro di sistema quando viene eseguito l'accesso a tali elementi.

Utenti interessati a questa funzionalità

I miglioramenti apportati al controllo in Windows Server 2008 R2 e Windows 7 rispondono alle esigenze dei professionisti IT responsabili di implementazione, gestione e monitoraggio della sicurezza delle risorse fisiche e delle informazioni di un'organizzazione.

Queste impostazioni consentono agli amministratori di determinare gli aspetti seguenti:

  • Chi accede alle risorse

  • Quali sono le risorse oggetto di accesso

  • Quando e dove è stato eseguito l'accesso alle risorse

  • Come è stato ottenuto l'accesso

La consapevolezza dell'importanza della sicurezza e il desiderio di disporre di record per l'analisi forense rappresentano i fattori motivanti alla base di tale ricerca. La qualità di queste informazioni viene richiesta e valutata dai responsabili del controllo in un numero sempre maggiore di organizzazioni.

Note speciali

Alle diverse attività associate ai miglioramenti apportati al controllo in Windows Server 2008 R2 e Windows 7 si applicano alcune considerazioni speciali:

  • Creazione di criteri di controllo. Per creare criteri avanzati di controllo della sicurezza di Windows, è necessario utilizzare Console Gestione Criteri di gruppo o lo snap-in Criteri di sicurezza locali in un computer che esegue Windows Server 2008 R2 o Windows 7. È possibile utilizzare Console Gestione Criteri di gruppo in un computer che esegue Windows 7 dopo avere installato Strumenti di amministrazione remota del server.

  • Applicazione delle impostazioni dei criteri di controllo. Se si utilizza Criteri di gruppo per applicare le impostazioni avanzate dei criteri di controllo e le impostazioni di accesso agli oggetti globale, i computer client devono eseguire Windows Server 2008 R2 o Windows 7. Solo i computer che eseguono Windows Server 2008 R2 o Windows 7, inoltre, possono implementare dati di report sul motivo di accesso.

  • Sviluppo di un modello di criteri di controllo. Per pianificare impostazioni avanzate di controllo della sicurezza e impostazioni di accesso agli oggetti globale, è necessario utilizzare Console Gestione Criteri di gruppo con un controller di dominio che esegue Windows Server 2008 R2.

  • Distribuzione dei criteri di controllo. Dopo avere sviluppato un oggetto Criteri di gruppo che include impostazioni avanzate di controllo della sicurezza, è possibile distribuirlo utilizzando controller di dominio che eseguano qualsiasi sistema operativo server Windows. Se, tuttavia, non è possibile includere i computer client che eseguono Windows 7 in un'unità organizzativa distinta, è consigliabile utilizzare il filtro di Strumentazione gestione Windows (WMI) per garantire che le impostazioni avanzate dei criteri vengano applicate solo ai computer client che eseguono Windows 7.

noteNota
Le impostazioni avanzate dei criteri di controllo possono essere applicate anche a computer client che eseguono Windows Vista. I criteri di controllo per questi computer client, tuttavia, devono essere creati e applicati separatamente tramite script di accesso di Auditpol.exe.

ImportantImportante
L'utilizzo delle impostazioni di base dei criteri di controllo disponibili in Criteri locali\Criteri controllo insieme alle impostazioni avanzate disponibili in Configurazione avanzata dei criteri di controllo può provocare risultati imprevisti. È pertanto consigliabile evitare di combinare questi due insiemi di impostazioni. Se si utilizzano le impostazioni di Configurazione avanzata dei criteri di controllo, è consigliabile attivare l'impostazione Controllo: imposizione delle impostazioni di sottocategoria del criterio di controllo (Windows Vista o versione successiva) per sostituire le impostazioni di categoria del criterio di controllo in Criteri locali\Opzioni di sicurezza. Questa impostazione evita conflitti tra impostazioni simili facendo in modo che il controllo della sicurezza di base venga ignorato.  

Per pianificare e distribuire criteri di controllo degli eventi di sicurezza, inoltre, gli amministratori devono determinare alcuni elementi correlati all'approccio operativo e strategico, ad esempio:

  • Motivi per cui sono necessari i criteri di controllo

  • Attività ed eventi più importanti per l'organizzazione

  • Tipi di eventi di controllo che è possibile omettere dalla strategia di controllo

  • Tempo degli amministratori e numero di risorse di rete da dedicare a generazione, raccolta e archiviazione degli eventi, nonché all'analisi dei dati

Edizioni che includono questa funzionalità

Tutte le versioni di Windows Server 2008 R2 e Windows 7 in grado di elaborare Criteri di gruppo possono essere configurate per l'utilizzo di questi miglioramenti apportati al controllo della sicurezza. Le versioni di Windows Server 2008 R2 e Windows 7 che non supportano l'aggiunta a un dominio non possono accedere a tali funzionalità. Non vi sono differenze nel supporto del controllo della sicurezza tra versioni a 32 bit e a 64 bit di Windows 7.

Nuove funzionalità incluse

Windows Server 2008 R2 e Windows 7 offrono le nuove funzionalità seguenti: Controllo di accesso agli oggetti globale, impostazioni relative al motivo di accesso e impostazioni avanzate dei criteri di controllo.

Controllo di accesso agli oggetti globale

Il controllo di accesso agli oggetti globale consente agli amministratori di definire elenchi di controllo di accesso di sistema (SACL) per tipo di oggetto per il file system o il Registro di sistema. Il SACL specificato viene quindi automaticamente applicato a ogni oggetto del tipo desiderato.

In questo modo, i responsabili del controllo possono verificare che ogni risorsa nel sistema sia protetta da criteri di controllo semplicemente visualizzando il contenuto dell'impostazione dei criteri di controllo di accesso agli oggetti globale. Un'impostazione, ad esempio, per tenere traccia di tutte le modifiche apportate dagli amministratori dei gruppi sarà sufficiente per indicare che i criteri sono attivati.

I SACL di risorsa sono inoltre utili per gli scenari di diagnostica. L'impostazione di criteri di controllo di accesso agli oggetti globale per registrare tutte le attività per un utente specifico e l'attivazione dei criteri di controllo degli errori di accesso in una risorsa (file system o Registro di sistema), ad esempio, consentono agli amministratori di identificare rapidamente l'oggetto che nega l'accesso a un utente in un sistema.

noteNota
Se in un computer sono configurati sia un SACL per file o cartelle sia un criterio di controllo di accesso agli oggetti globale (o un SACL per singole impostazioni del Registro di sistema e un criterio di controllo di accesso agli oggetti globale), il SACL per file o cartelle effettivo verrà derivato dalla combinazione del SACL per file o cartelle e del criterio di controllo di accesso agli oggetti globale. Ciò significa che viene generato un evento di controllo se un'attività corrisponde al SACL per file o cartelle o al criterio di controllo di accesso agli oggetti globale.

Impostazioni relative al motivo di accesso

Vi sono numerosi eventi da controllare in Windows ogni volta che un'operazione ha esito positivo o negativo. Tali eventi includono in genere l'utente, l'oggetto e l'operazione, ma non il motivo per cui l'operazione è stata consentita o negata. Gli scenari di supporto e analisi forense sono stati migliorati in Windows Server 2008 R2 e Windows 7 tramite la registrazione del motivo, in base ad autorizzazioni specifiche, per cui qualcuno ha avuto accesso alle risorse aziendali.

Impostazioni avanzate dei criteri di controllo

In Windows Server 2008 R2 e Windows 7 è possibile configurare e distribuire criteri di controllo avanzati tramite Criteri di gruppo di dominio, che consentono di ridurre overhead e costi di gestione e migliorare significativamente la flessibilità e l'efficacia del controllo della sicurezza.

Nelle sezioni seguenti vengono descritti i nuovi eventi e le nuove categorie di eventi disponibili nel nodo Configurazione avanzata dei criteri di controllo di Criteri di gruppo.

Eventi di accesso account

Gli eventi inclusi in questa categoria consentono di documentare i tentativi del dominio di autenticare i dati degli account in un controller di dominio o in un sistema di gestione degli account di sicurezza (SAM) locale. A differenza degli eventi di accesso e fine sessione, che tengono traccia dei tentativi di accesso a un computer specifico, gli eventi inclusi in questa categoria indicano il database degli account utilizzato.

 

Impostazione Descrizione

Convalida delle credenziali

Consente di controllare gli eventi generati dai test di convalida sulle credenziali di accesso degli account utente.

Operazioni ticket di servizio Kerberos

Consente di controllare gli eventi generati dalle richieste di ticket di servizio Kerberos.

Altri eventi di accesso account

Consente di controllare gli eventi generati dalle risposte alle richieste di credenziali, diverse dalla convalida di credenziali o ticket Kerberos, inviate per l'accesso di un account utente.           

Servizio di autenticazione Kerberos

Consente di controllare gli eventi generati da richieste di ticket di concessione ticket (TGT) di autenticazione Kerberos.

Eventi di gestione account

È possibile utilizzare le impostazioni incluse in questa categoria per monitorare le modifiche apportate ad account e gruppi di utenti e computer.

 

Impostazione Descrizione

Gestione account utente

Consente di controllare le modifiche apportate agli account utente.

Gestione account computer

Consente di controllare gli eventi generati dalle modifiche apportate agli account computer, ad esempio per la creazione, la modifica o l'eliminazione di un account computer.                                        

Gestione gruppi di sicurezza

Consente di controllare gli eventi generati dalle modifiche apportate ai gruppi di sicurezza.

Gestione gruppi di distribuzione

Consente di controllare gli eventi generati dalle modifiche apportate ai gruppi di distribuzione.

noteNota
Gli eventi inclusi in questa sottocategoria vengono registrati solo nei controller di dominio.

Gestione gruppi di applicazioni

Consente di controllare gli eventi generati dalle modifiche apportate ai gruppi di applicazioni.

Altri eventi di gestione account

Consente di controllare gli eventi generati da altre modifiche degli account utente non incluse in questa categoria.

Eventi di registrazione dettagliati

È possibile utilizzare gli eventi di registrazione dettagliati per monitorare le attività di singole applicazioni in modo da determinare l'utilizzo di un computer e le attività degli utenti in tale computer.

 

Impostazione Descrizione

Creazione di processi

Consente di controllare gli eventi generati alla creazione o all'avvio di un processo. Viene controllato anche il nome dell'applicazione o dell'utente che ha creato il processo.

Chiusura di processi                           

Consente di controllare gli eventi generati al termine di un processo.

Attività DPAPI

Consente di controllare gli eventi generati all'invio di richieste di crittografia o decrittografia all'API di protezione dei dati (DPAPI). Tale API viene utilizzata per proteggere informazioni riservate, ad esempio sulle password o le chiavi archiviate. Per ulteriori informazioni sull'interfaccia DPAPI, vedere la pagina relativa alla protezione dei dati di Windows.

Eventi RPC

Consente di controllare le connessioni RPC in ingresso.

Eventi di accesso DS

Gli eventi di accesso DS offrono un audit trail di basso livello dei tentativi di accesso e modifica di oggetti in Servizi di dominio Active Directory®. Questi eventi vengono registrati solo nei controller di dominio.

 

Impostazione Descrizione

Accesso al servizio directory

Consente di controllare gli eventi generati all'accesso a un oggetto di Servizi di dominio Active Directory.

Vengono registrati solo gli accessi agli oggetti di Servizi di dominio Active Directory con un SACL corrispondente.

Gli eventi inclusi in questa sottocategoria sono simili agli eventi Accesso al servizio directory disponibili nelle versioni precedenti di Windows.

Modifiche servizio directory

Consente di controllare gli eventi generati dalle modifiche apportate a oggetti di Servizi di dominio Active Directory. Gli eventi vengono registrati alla creazione, all'eliminazione, alla modifica, allo spostamento o all'annullamento dell'eliminazione di un oggetto.                                

Replica servizio directory

Consente di controllare la replica tra due controller di dominio Servizi di dominio Active Directory.

Replica dettagliata servizio directory

Consente di controllare gli eventi generati dalla replica dettagliata di Servizi di dominio Active directory tra controller di dominio.

Eventi di accesso/fine sessione

Gli eventi di accesso e fine sessione consentono di tenere traccia dei tentativi di accesso a un computer in modo interattivo o tramite una rete. Questi eventi sono particolarmente utili per tenere traccia dell'attività degli utenti e identificare potenziali attacchi nelle risorse di rete.

 

Impostazione Descrizione

Accesso

Consente di controllare gli eventi generati dai tentativi di accesso degli account utente in un computer.

Fine sessione

Consente di controllare gli eventi generati dalla chiusura di una sessione di accesso. Questi eventi si verificano nel computer in cui è stato eseguito l'accesso. Per un accesso interattivo, l'evento di controllo della sicurezza viene generato nel computer in cui l'account utente ha eseguito l'accesso.

Blocco account

Consente di controllare gli eventi generati da un tentativo non riuscito di accedere a un account bloccato.

Modalità principale IPSec

Consente di controllare gli eventi generati dai protocolli IKE (Internet Key Exchange) e Authenticated IP (Authenticated Internet Protocol) durante le negoziazioni in modalità principale.

Modalità rapida IPsec

Consente di controllare gli eventi generati dai protocolli IKE (Internet Key Exchange) e Authenticated IP (Authenticated Internet Protocol) durante le negoziazioni in modalità rapida.

Modalità estesa IPSec

Consente di controllare gli eventi generati dai protocolli IKE (Internet Key Exchange) e Authenticated IP (Authenticated Internet Protocol) durante le negoziazioni in modalità estesa.

Accesso speciale

Consente di controllare gli eventi generati da accessi speciali.

Altri eventi di accesso/fine sessione                  

Consente di controllare altri eventi correlati ad accesso e fine sessione non inclusi nella categoria Accesso/fine sessione.

Server dei criteri di rete

Consente di controllare gli eventi generati da richieste di accesso utente RADIUS (IAS) e Protezione accesso alla rete. Può trattarsi di richieste di concessione, negazione, annullamento, quarantena, blocco e sblocco.

Eventi di accesso agli oggetti

Gli eventi di accesso agli oggetti consentono di tenere traccia dei tentativi di accesso a oggetti o tipi di oggetti specifici in una rete o un computer. Per controllare un file, una directory, una chiave del Registro di sistema o qualsiasi altro oggetto, è necessario attivare la categoria Accesso agli oggetti per gli eventi riusciti o di errore. È necessario, ad esempio, attivare la sottocategoria File system per controllare le operazioni sui file e la sottocategoria Registro di sistema per controllare l'accesso al Registro di sistema.

È difficile dimostrare a un responsabile del controllo esterno che questo criterio è attivato. Non vi sono metodi semplici per verificare che in tutti gli oggetti ereditati siano impostati i SACL appropriati.

 

Impostazione Descrizione

File system

Consente di controllare i tentativi degli utenti di accedere a oggetti del file system. Viene generato un evento di controllo della sicurezza solo per gli oggetti dotati di SACL e solo se il tipo di accesso richiesto, ad esempio Scrittura, Lettura o Modifica, e l'account che ha inviato la richiesta corrispondono alle impostazioni nel SACL.

Registro di sistema

Consente di controllare i tentativi di accesso a oggetti del Registro di sistema. Viene generato un evento di controllo della sicurezza solo per gli oggetti dotati di SACL e solo se il tipo di accesso richiesto, ad esempio Lettura, Scrittura o Modifica, e l'account che ha inviato la richiesta corrispondono alle impostazioni nel SACL.

Oggetto kernel

Consente di controllare i tentativi di accesso al kernel di sistema, inclusi mutex e semafori. Solo gli oggetti del kernel con un SACL corrispondente generano eventi di controllo della sicurezza.

noteNota
L'impostazione Controllo: controlla l'accesso di oggetti di sistema globale consente di controllare il SACL predefinito degli oggetti del kernel.

SAM

Consente di controllare gli eventi generati dai tentativi di accesso a oggetti del sistema di gestione degli account di sicurezza (SAM).

Servizi di certificazione

Consente di controllare le operazioni di Servizi certificati Active Directory.

Generato dall'applicazione

Consente di controllare le applicazioni che generano eventi utilizzando le API (Application Programming Interface) di controllo di Windows. Le applicazioni progettate per utilizzare le API di controllo di Windows utilizzano questa sottocategoria per registrare eventi di controllo correlati alla propria funzione.

Manipolazione handle

Consente di controllare gli eventi generati all'apertura o alla chiusura di un handle a un oggetto. Solo gli oggetti con un SACL corrispondente generano eventi di controllo della sicurezza.

Condivisione file

Consente di controllare i tentativi di accesso a una cartella condivisa. Non viene tuttavia generato alcun evento di controllo della sicurezza quando viene creata o eliminata una cartella o quando vengono modificate le autorizzazioni condivise di una cartella.

Condivisione file dettagliata

Consente di controllare i tentativi di accesso a file e cartelle in una cartella condivisa. L'impostazione Condivisione file dettagliata registra un evento ogni volta che si accede a un file o a una cartella, mentre l'impostazione Condivisione file registra solo un evento per ogni connessione stabilita tra un client e una condivisione file. Gli eventi di controllo Condivisione file dettagliata includono informazioni dettagliate sulle autorizzazioni o altri criteri utilizzati per concedere o negare l'accesso.

Mancata elaborazione pacchetti Piattaforma filtro Windows              

Consente di controllare i pacchetti ignorati da Piattaforma filtro Windows.

Connessione a Piattaforma filtro Windows

Consente di controllare le connessioni consentite o bloccate da Piattaforma filtro Windows.

Altri eventi di accesso agli oggetti

Consente di controllare gli eventi generati dalla gestione di processi dell'Utilità di pianificazione o di oggetti COM+.

Eventi di modifica dei criteri

Gli eventi di modifica dei criteri consentono di tenere traccia delle modifiche apportate a importanti criteri di sicurezza in un sistema locale o una rete. Poiché i criteri vengono in genere stabiliti dagli amministratori per proteggere le risorse di rete, qualsiasi modifica o tentativo di modifica di tali criteri può rivelarsi un aspetto importante della gestione della sicurezza per una rete.

 

Impostazione Descrizione

Modifica del criterio di controllo

Consente di controllare le modifiche nelle impostazioni dei criteri di controllo della sicurezza.

Modifica criteri di autenticazione

Consente di controllare gli eventi generati dalle modifiche apportate ai criteri di autenticazione.

Modifica criteri di autorizzazione

Consente di controllare gli eventi generati dalle modifiche apportate ai criteri di autorizzazione.

Modifica criteri a livello di regola MPSSVC

Consente di controllare gli eventi generati dalle modifiche nelle regole dei criteri utilizzate da Windows Firewall.

Modifica criteri Piattaforma filtro Windows

Consente di controllare i criteri generati dalle modifiche apportate a Piattaforma filtro Windows.

Altri eventi di modifica criteri

Consente di controllare gli eventi generati da altre modifiche dei criteri di sicurezza non controllate nella categoria Modifica criterio.                                                       

Eventi di utilizzo dei privilegi

I privilegi in una rete vengono concessi per utenti e computer per attività definite completate. Gli eventi di utilizzo dei privilegi consentono di tenere traccia dell'utilizzo di determinati privilegi in uno o più computer.

 

Impostazione Descrizione

Utilizzo privilegi sensibili

Consente di controllare gli eventi generati dall'utilizzo di privilegi sensibili (diritti utente), ad esempio l'esecuzione come parte del sistema operativo, il backup di file e directory, la rappresentazione di un computer client o la generazione di controlli della sicurezza.

Utilizzo privilegi non sensibili                   

Consente di controllare gli eventi generati dall'utilizzo di privilegi non sensibili (diritti utente), ad esempio l'accesso in locale o con una connessione Desktop remoto, la modifica dell'ora di sistema o la rimozione di un computer da un alloggiamento di espansione.

Altri eventi di utilizzo di privilegi

Non utilizzata.

Eventi di sistema

Gli eventi di sistema consentono di tenere traccia di modifiche di alto livello apportate a un computer non incluse in altre categorie e con possibili implicazioni sulla sicurezza.

 

Impostazione Descrizione

Modifica stato sicurezza

Consente di controllare gli eventi generati dalle modifiche apportate allo stato di sicurezza del computer.

Estensione sistema di sicurezza

Consente di controllare gli eventi correlati ai servizi o alle estensioni del sistema di sicurezza.                                                                    

Integrità sistema

Consente di controllare gli eventi che violano l'integrità del sottosistema di sicurezza.

Driver IPsec

Consente di controllare gli eventi generati dal driver di filtro IPsec.

Altri eventi di sistema

Consente di controllare uno degli eventi seguenti:

  • Avvio e arresto di Windows Firewall.

  • Elaborazione dei criteri di sicurezza da parte di Windows Firewall.

  • Operazioni sui file di chiave di crittografia e di migrazione.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft