Pericoli e contromisure

Articolo
11/22/2018

Capitolo 3: Criteri di controllo

Il registro di controllo registra una voce per ogni azione specifica eseguita dall'utente. Ad esempio, la modifica di un file o di un criterio può comportare la creazione di una voce nel registro di controllo che riporta l'azione eseguita, l'account utente associato e la data e l'ora dell'azione. È possibile controllare sia le azioni completate che quelle non riuscite.

Lo stato del sistema operativo e le applicazioni di un computer sono dinamiche. Ad esempio, è possibile modificare temporaneamente i livelli di protezione, per consentire la risoluzione immediata di un problema amministrativo o di rete. Tuttavia, capita che tali modifiche vengano dimenticate e in seguito non annullate. Se non si ripristinano i livelli di protezione iniziali, il computer potrebbe non soddisfare più i requisiti aziendale.

Attraverso analisi svolte con regolarità (come parte di un programma aziendale di gestione della protezione) l'amministratore può assicurare un livello adeguato di protezione dei computer. Tali analisi si concentrano su informazioni estremamente specifiche, relative a tutti gli aspetti della protezione di un computer, che gli amministratori possono utilizzare per regolare i livelli di protezione. Cosa più importante, queste informazioni possono aiutare a identificare eventuali problemi di protezione del computer che si possono presentare nel tempo.

I controlli di protezione sono estremamente importanti per le reti aziendali, perché i registri di controllo possono fornire la sola indicazione di una violazione della protezione. Quando viene rilevata una violazione, adeguate impostazioni di controllo generano un registro di controllo contenente informazioni importanti sull'evento.

Le informazioni relative alle operazioni non riuscite offrono spesso più informazioni rispetto alle operazioni riuscite, in quanto di solito indicano errori. Ad esempio, l'accesso riuscito a un computer viene considerato normale. Tuttavia, se vi sono molti tentativi di accesso al sistema non riusciti, può significare che qualcuno sta tentando di introdursi nel sistema utilizzando le credenziali dell'account di un altro utente. Il registro eventi registra gli eventi del computer e i sistemi operativi Microsoft Windows sono dotati di registri eventi suddivisi per applicazione, eventi di protezione ed eventi di sistema. Nel Registro di protezione vengono registrati gli eventi di controllo. Il contenitore Registro eventi di Criteri di gruppo viene utilizzato per definire gli attributi relativi ai registri eventi per le applicazioni, la protezione e il sistema, quali dimensione massima del registro, diritti di accesso e impostazioni e criteri di gestione. Questa guida contiene la cartella di lavoro di Microsoft Excel, "Windows Default Security and Services Configuration", che riporta le impostazioni predefinite.

Prima di implementare un qualsiasi processo di controllo, è necessario determinare come raccogliere, organizzare e analizzare i dati. Grandi volumi di dati di controllo hanno poco valore, se non esiste un piano di base che sia in grado di sfruttarli. Inoltre, le impostazioni di controllo possono influire sulle prestazioni del computer. L'effetto di una determinata combinazione di impostazioni può risultare trascurabile sul computer di un utente finale, mentre può risultare significativo su un server con un notevole carico di lavoro. È, pertanto, consigliabile eseguire alcune prove sulle prestazioni prima di implementare nuove impostazioni di controllo nell'ambiente di produzione.

È possibile configurare le impostazioni del criterio di controllo all'interno dell'Editor oggetti Criteri di gruppo nella posizione seguente:

Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali \Criteri di controllo

In questa pagina

Impostazioni di controllo Esempio di un controllo: risultati di un evento di accesso utente Ulteriori informazioni

Impostazioni di controllo

Le vulnerabilità, le contromisure e l'impatto potenziale di tutte le impostazioni di controllo sono identici, perciò saranno illustrati soltanto una volta nel paragrafo seguente. La descrizione di ciascuna impostazione è seguita da una breve spiegazione.

Le opzioni per ciascuna delle impostazioni di controllo sono:

Operazione riuscita. Viene generata una voce di controllo quando l'azione richiesta ha esito positivo.
Operazione non riuscita. Viene generata una voce di controllo quando l'azione richiesta ha esito negativo.
Nessun controllo. Non viene generata alcuna voce di controllo per l'azione associata.

Vulnerabilità

Se non vengono configurate impostazioni di controllo, sarà difficile o impossibile stabilire cosa è accaduto in caso di un problema di protezione. Tuttavia, se le impostazioni di controllo sono configurate in maniera che troppe attività autorizzate generino eventi, il registro eventi di protezione si riempirà di dati inutili. Inoltre, quando le impostazioni di controllo sono configurate per esaminare troppi oggetti, le prestazioni del computer possono risentirne.

Contromisura

È necessario attivare gli opportuni criteri di protezione in tutti computer dell'organizzazione, in modo che gli utenti legittimi siano responsabili delle proprie azioni e per poter rilevare eventuali attività non autorizzate.

Impatto potenziale

Se non si configura alcuna impostazione di controllo o se le stesse sono troppo permissive, non si otterranno sufficienti analisi legali di rete nel caso di un problema di protezione su un computer dell'organizzazione. Se al contrario, le impostazioni di controllo sono troppo rigide, le voci di importanza critica nel registro di protezione rischiano di essere oscurate da voci prive di significato e le prestazioni del computer potrebbero essere seriamente danneggiate. Le aziende che operano in determinati settori regolamentati potrebbero avere obblighi legali per la registrazione di determinati eventi e attività.

Controlla eventi accesso account

Questa impostazione del criterio determina se controllare ogni istanza di apertura e chiusura della sessione utente su un computer diverso da quello destinato alla registrazione di eventi e alla convalida degli account. Se si configura questa impostazione del criterio, è possibile specificare se controllare gli eventi riusciti e non riusciti o non controllare alcun tipo di evento. Quando un tentativo di accesso account ha esito positivo viene creata una voce di controllo contenente informazioni utili, sia per fini amministrativi sia per determinare chi ha effettuato l'accesso a un determinato computer in caso di violazione della protezione. Quando un tentativo di accesso non riesce, i controlli di operazioni non riuscite generano una voce nel registro di controllo, utile per rivelare un tentativo di intrusione. Tuttavia, questa impostazione potrebbe provocare una condizione di tipo DoS (Denial of Service). Quando l'impostazione Controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezione è attiva, un pirata informatico può generare milioni di accessi non riusciti, riempire il registro eventi di protezione e imporre l'arresto del computer.

Se in un controller del dominio si configura l'impostazione Controlla eventi accesso account su Operazioni riuscite, una voce viene creata per ogni utente convalidato dal controller del dominio, anche se l'utente accede a una workstation o a un server che fa parte del dominio.

Controlla gestione degli account

Questa impostazione del criterio determina se controllare ogni evento di gestione di account sul computer. Esempi di eventi di gestione di account sono:

Creazione, modifica o eliminazione di un account utente o di un gruppo.
Ridenominazione, disattivazione o attivazione di un account utente.
Impostazione o modifica di una password.

Se si configura l'impostazione Controlla gestione degli account, è possibile specificare se controllare gli eventi riusciti e non riusciti o non controllare alcun tipo di evento. Quando un evento di gestione di account ha esito positivo viene creata una voce di controllo e il controllo degli eventi riusciti deve essere abilitato su tutti i computer dell'organizzazione. Nel reagire ai problemi di protezione, è importante che l'organizzazione sia in grado di individuare il responsabile della creazione, della modifica o dell'eliminazione di un account. Quando un evento di gestione di account ha esito negativo viene creata una voce di controllo per l'evento non riuscito.

Controlla accesso al servizio directory

Questa impostazione del criterio determina se controllare l'accesso utente a un oggetto del servizio directory Active Directory cui è associato un elenco di controllo accesso di sistema (SACL). Un SACL contiene l'elenco di utenti e gruppi le cui azioni sugli oggetti devono essere sottoposte a controllo in una rete basata su Microsoft Windows.

Se si configura l'impostazione Controlla accesso al servizio directory, è possibile specificare se controllare gli eventi riusciti e non riusciti o non controllare alcun tipo di evento. Quando un utente riesce ad accedere a un oggetto Active Directory per cui è stato specificato un SACL (che rende il controllo dell'utente obbligatorio) viene creata una voce di controllo per l'evento riuscito. Quando un utente non riesce ad accedere a un oggetto di Active Directory per cui è stato specificato un SACL (controllo obbligatorio) viene creata una voce di controllo per l'evento non riuscito. (Entrambi i tipi di voci di controllo vengono creati prima che l'utente riceva notifica della riuscita o meno della richiesta.) Se si attiva questa impostazione del criterio e si configurano i SACL per gli oggetti della directory, si rischia di generare un volume elevato di voci nei registri di protezione dei controller del dominio. Si consiglia di attivare queste impostazioni solo se si intende utilizzare le informazioni generate.

Nota: per impostare un SACL su un oggetto Active Directory è possibile utilizzare la scheda Protezione nella finestra di dialogo Proprietà dell'oggetto in questione. La stessa cosa vale per l'impostazione Controlla accesso agli oggetti, che però si applica soltanto agli oggetti Active Directory e non agli oggetti del file system e del registro.

Controlla eventi di accesso

Questa impostazione del criterio determina se controllare ogni istanza di apertura e chiusura sessione e connessione di rete del computer che riporta gli eventi nel registro di controllo. Se si registrano gli eventi di accesso account riusciti su un controller di dominio, i tentativi di accesso alla workstation non generano controlli di accesso. Gli eventi di accesso sono generati soltanto da tentativi di accesso interattivi e di rete al controller di dominio. In breve, gli eventi di accesso account vengono generati sul computer in cui si trova l'account; gli eventi di accesso vengono invece generati sul computer in cui si verifica il tentativo di accesso.

Se si configura l'impostazione Controlla eventi di accesso, è possibile specificare se controllare gli eventi riusciti e non riusciti o non controllare alcun tipo di evento. Quando un tentativo di accesso ha esito positivo viene creata una voce di controllo contenente informazioni utili sia per fini amministrativi sia per determinare chi ha effettuato l'accesso a un determinato computer in caso di violazione della protezione. Quando un tentativo di accesso non riesce, i controlli di operazioni non riuscite generano una voce nel registro di controllo, utile per rivelare un tentativo di intrusione. Tuttavia, questa configurazione crea anche una condizione per un possibile attacco DoS, in quanto un pirata informatico potrebbe generare milioni di eventi di accesso non riusciti, riempire il registro eventi di protezione e imporre l'arresto del server.

Controlla accesso agli oggetti

Questa impostazione del criterio determina se controllare l'evento di un utente che tenta l'accesso a un oggetto, ad esempio un file, una cartella, una chiave del registro di sistema o a una stampante, cui è associato un SACL che specifica il controllo obbligatorio.

Se si configura l'impostazione Controlla accesso agli oggetti, è possibile specificare se controllare gli eventi riusciti e non riusciti o non controllare alcun tipo di evento. Quando un utente riesce ad accedere a un oggetto per cui è stato specificato un SACL, viene creata una voce di controllo per l'evento riuscito. Quando un utente non riesce ad accedere a un oggetto per cui è stato specificato un SACL, viene creata una voce di controllo per l'evento non riuscito; durante le normali operazioni di sistema è possibile che si abbiano eventi non riusciti. Ad esempio, molte applicazioni, come Microsoft Word, tentano sempre di aprire file con privilegi di lettura e scrittura. Se le applicazioni non sono in grado di completare le operazioni richieste, tentano di aprire i file con privilegi di sola lettura. Se si attiva il controllo delle operazioni non riuscite e si specifica il SACL appropriato, anche un simile evento verrà registrato tra gli eventi non riusciti.

In Microsoft Windows Server 2003 con Service Pack 1 (SP1) è possibile accedere alle operazioni di controllo per gli oggetti archiviati nel metabase dell'IIS (Internet Information Server). Per attivare il controllo dell'oggetto del metabase, è necessario abilitare Controlla accesso agli oggetti sul computer di destinazione e quindi impostare i SACL sugli oggetti specifici del metabase di cui si desidera controllare l'accesso.

Se si configura l'impostazione del criterio Controlla accesso agli oggetti e i SACL sugli oggetti, verrà generato un volume elevato di voci nei registri di protezione dei computer dell'organizzazione. Si consiglia, pertanto, di attivare queste impostazioni solo se si intende utilizzare le informazioni registrate.

Nota: suddividere in due fasi il processo di attivazione della capacità di controllo di un oggetto, come un file, una cartella, una stampante o una chiave del Registro di sistema di Windows Server 2003. Dopo aver attivato il criterio di controllo accesso agli oggetti, è necessario determinare gli oggetti il cui accesso si desidera monitorare e, di conseguenza, modificare i SACL ad essi associati. Ad esempio, per controllare i tentativi effettuati dagli utenti di aprire un determinato file, è possibile configurare l'attributo Operazioni riuscite o Operazioni non riuscite direttamente nel file che si desidera controllare utilizzando Esplora risorse o Criteri di gruppo.

Modifica del criterio di controllo

Questa impostazione del criterio determina se controllare tutti gli eventi di modifica ai criteri di assegnazione dei diritti utente, ai criteri Windows Firewall, ai criteri di controllo o ai criteri di trust.

Se si configura l'impostazione Modifica del criterio di controllo, è possibile specificare se controllare gli eventi riusciti e non riusciti o non controllare alcun tipo di evento. Quando una modifica ai criteri di assegnazione dei diritti utente, ai criteri di controllo o ai criteri di trust ha esito positivo, viene creata una voce di controllo per l'evento riuscito. Queste informazioni di controllo sono utili sia per fini amministrativi sia per determinare il responsabile della modifica di un criterio nel dominio o in un singolo computer. Quando una modifica ai criteri di assegnazione dei diritti utente, ai criteri di controllo o ai criteri di trust ha esito negativo, viene creata una voce di controllo per l'evento non riuscito.

Se si attiva l'impostazione Modifica del criterio di controllo in Windows XP con SP2 e Windows Server 2003 con SP1, si attiva anche la registrazione delle modifiche alla configurazione del componente Windows Firewall.

Controlla uso dei privilegi

Questa impostazione del criterio determina se controllare ogni istanza di esercizio del diritto utente da parte di un utente.

Se si configura l'impostazione Controlla uso dei privilegi, è possibile specificare se controllare gli eventi riusciti e non riusciti o non controllare alcun tipo di evento. Quando l'esercizio di un diritto utente ha esito positivo viene creata una voce di controllo per l'evento riuscito. Quando l'esercizio di un diritto utente ha esito negativo, viene creata una voce di controllo per l'evento non riuscito. Se si attiva questa impostazione del criterio, il volume di eventi generati può essere molto elevato e gli eventi potrebbero essere difficili da organizzare. Questa impostazione deve essere attivata solo se si ha un piano su come utilizzare le informazioni generate.

Gli eventi di controllo non sono generati per essere utilizzati dai seguenti diritti utente, anche se sono state specificate le operazioni riuscite e le operazioni non riuscite per questa impostazione del criterio:

Ignora controllo visite
Debug di programmi
Creazione di un oggetto token
Replace process-level token
Generazione controlli di protezione
Backup di file e directory
Ripristina file e directory

Controlla tracciato processo

Questa impostazione del diritto determina se controllare le informazioni dettagliate dei tracciati di eventi quali l’attivazione di programmi, l’uscita da processi, la duplicazione di handle e l’accesso indiretto agli oggetti.

Se si configura l'impostazione Controlla tracciato processo, è possibile specificare se controllare gli eventi riusciti e non riusciti o non controllare alcun tipo di evento. Quando il processo analizzato ha esito positivo, viene creata una voce di controllo per l'evento riuscito. Quando il processo analizzato ha esito negativo, viene creata una voce di controllo per l'evento non riuscito.

Se si attiva Controlla tracciato processo in Windows XP con SP2 e Windows Server 2003 con SP1, verranno registrate le informazioni sulla modalità di funzionamento e lo stato del componente Windows Firewall.

Se attiva, l'impostazione Controlla tracciato processo genera un volume elevato di eventi. Questa impostazione del criterio è di solito configurata su Nessun controllo. Tuttavia, le informazioni generate da questa impostazione del criterio possono risultare molto utili nel caso di un problema, in quanto forniscono un registro dettagliato dei processi avviati con i riferimenti di data e ora di avvio.

Controlla eventi di sistema

Questa impostazione del criterio determina se controllare i riavvii o gli arresti di un computer eseguiti da un utente o il verificarsi di eventi che interessano la protezione del sistema o il registro di protezione.

Se si configura l'impostazione Controlla eventi di sistema, è possibile specificare se controllare gli eventi riusciti e non riusciti o non controllare alcun tipo di evento. Quando un evento ha esito positivo, viene creata una voce di controllo per l'evento riuscito. Quando un evento ha esito negativo, viene creata una voce di controllo per l'evento non riuscito. Si consiglia di configurare l'impostazione del criterio su Abilitato per tutti i computer dell'organizzazione, in quanto vengono registrati pochi eventi aggiuntivi se entrambe le opzioni di operazioni riuscite e non riuscite sono attive per gli eventi di sistema e per la rilevanza di questi eventi.

Inizio pagina

Esempio di un controllo: risultati di un evento di accesso utente

Dopo aver acquisito familiarità con le varie impostazioni di controllo disponibili in Windows, può essere utile esaminare un esempio specifico. I controlli vengono eseguiti su un singolo computer, invece di utilizzare una prospettiva più olistica, di solito preferita dagli amministratori aziendali. Siccome gli eventi vengono registrati sui singoli computer, è necessario esaminare i registri di protezione di più computer e quindi correlare i dati per determinare quanto accaduto.

Da questo momento in poi, nel capitolo verranno illustrati gli eventi chiave registrati nel registro eventi del controller di dominio, del file server e del computer dell'utente finale nel momento in cui un utente autorizzato riesce ad accedere al computer e ai file di una cartella condivisa che si trova sul file server. Per una maggiore chiarezza descrittiva, sono stati riportati solo gli eventi chiave; gli altri eventi generati da queste attività sono stati omessi. I nomi degli account e delle risorse utilizzati in questo esempio sono i seguenti:

Dominio = DOM
Controller di dominio = DC1
File Server = FS1
Computer utente finale = XP1
Utente = John
Cartella condivisa su FS1 = Share
Documento nella cartella condivisa = document.txt

Registri utente sul computer

Eventi registrati nel computer dell'utente finale
- Success Audit for Event ID 528, user Logon/Logoff for user DOM\John at computer XP1.
Eventi registrati nel controller di dominio
- Success Audit for Event ID 540, user Logon/Logoff for user DOM\John at computer DC1.
Eventi registrati nel file server
- Non pertinente.

Eventi registrati nel computer dell'utente finale
- Non pertinente.
Eventi registrati nel controller di dominio
- Success Audit for Event ID 673, Account logon for user John@DOM.com for service name FS1$.
- Success Audit for Event ID 673, Account logon for user FS$@DOM.com for service name FS1$.
- Success Audit for Event ID 673, Account logon for user XP1$@DOM.com for service name FS1$.
  
  Nota: queste sono tutte richieste di ticket di servizio del protocollo di autenticazione Kerberos.
Eventi registrati nel file server
- Success Audit for Event ID 540, user Logon/Logoff for user DOM\John at computer FS1.
- Success Audit for Event ID 560, Object Access for user DOM\John to the object named C:\Share with access types READ_CONTROL, ReadData (or ListDirectory), ReadEA, and ReadAttributes.
- Success Audit for Event ID 560, Object Access for user DOM\John to the object named C:\Share\document.txt with access types READ_CONTROL, ReadData (or ListDirectory), ReadEA, and ReadAttributes.

L'utente apre il file document.txt

Eventi registrati nel computer dell'utente finale
- Non pertinente.
Eventi registrati nel controller di dominio
- Non pertinente.
Eventi registrati nel file server
- Success Audit for Event ID 560, Object Access for user DOM\John to the object named C:\Share\document.txt with access types READ_CONTROL, ReadData (or ListDirectory), WriteDate (or AddFile), AppendDate (or AddSubdirectory or CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, and WriteAttributes.
- Success Audit for Event ID 560, Object Access for user DOM\John to the object named C:\Share\document.txt with access types ReadAttributes.
- Success Audit for Event ID 560, Object Access for user DOM\John to the object named C:\Share with access types ReadAttributes.

L'utente salva il file document.txt

Eventi registrati nel computer dell'utente finale
- Non pertinente.
Eventi registrati nel controller di dominio
- Non pertinente.
Eventi registrati nel file server
- Success Audit for Event ID 560, Object Access for user DOM\John to the object named C:\Share\document.txt with access types SYNCHRONIZE, ReadData (or ListDirectory), WriteDate (or AddFile), AppendDate (or AddSubdirectory or CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, and WriteAttributes.
- Success Audit for Event ID 560, Object Access for user DOM\John to the object named C:\Share\document.txt with access types READ_CONTROL, SYNCHRONIZE and ReadData (or ListDirectory).

Questo esempio, per quanto sembri complicato, è stato molto semplificato. I passaggi effettuati genererebbero un elevato numero di eventi di apertura e chiusura sessione e di uso dei privilegi nel controller di dominio e nel file server. Quando un utente apre un file, vengono generati anche centinaia di eventi di accesso agli oggetti e ogni volta che l'utente salva il file se ne creano molti altri. L'utilizzo dei dati di controllo può essere difficile senza il supporto di strumenti automatici, come Microsoft Operations Manager.