Pericoli e contromisure

  • Articolo

Capitolo 6: Registro eventi

Nel Registro eventi vengono registrati gli eventi del sistema, mentre nel Registro di protezione vengono registrati gli eventi di controllo. Il contenitore Registro eventi di Criteri di gruppo viene utilizzato per definire gli attributi relativi ai registri eventi per le applicazioni, la protezione e il sistema, quali la dimensione massima del registro, i diritti di accesso e le impostazioni e i criteri di gestione. Nella cartella di lavoro di Microsoft® Excel® "Configurazione dei servizi e della protezione predefinita di Windows" della presente guida vengono fornite ulteriori informazioni sulle impostazioni predefinite del Registro eventi.

In questa pagina

Impostazioni del Registro eventi Ulteriori informazioni

Impostazioni del Registro eventi

È possibile configurare le impostazioni per il Registro eventi nella seguente posizione, utilizzando l'Editor oggetti Criteri di gruppo:

Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Registro eventi\Impostazioni registri eventi

Dimensione massima registro eventi

Questa impostazione di criterio permette di specificare la dimensione massima dei registri eventi di sistema, di applicazione e di protezione. Anche se le interfacce utente (UI) dell'Editor oggetti Criteri di gruppo e dello snap-in Visualizzatore eventi MMC (Microsoft Management Console) consentono di immettere valori fino a quattro gigabyte, vi sono dei fattori che rendono la dimensione massima effettiva di questi registri molto più piccola.

Il servizio Registro eventi utilizza file mappati sulla memoria e viene eseguito come uno dei servizi sotto il processo services.exe come eventlog.dll. Quando i file vengono caricati in questo modo, l'intero file viene caricato nella memoria del computer. Tutte le versioni correnti di Microsoft Windows® hanno un limite architettonico relativamente ai file mappati sulla memoria: nessun processo può avere più di un gigabyte totale di file mappati sulla memoria. Questo significa che tutti i servizi eseguiti sotto il processo services.exe devono condividere il pool di un gigabyte. La memoria viene assegnata in blocchi contigui di 64 kilobyte e se il computer non riesce ad assegnare la memoria necessaria per espandere i file mappati sulla memoria, si verificano dei problemi.

Per il servizio Registro eventi, l'uso di file mappati sulla memoria significa che indipendentemente dalla quantità di memoria specificata dall'impostazione Dimensione massima registro eventi, è possibile che gli eventi non vengano registrati nel registro se il computer non ha memoria disponibile per il file mappato sulla memoria. Non viene visualizzato nessun messaggio di errore e gli eventi non vengono registrati nel Registro eventi oppure vengono sovrascritti su altri eventi registrati in precedenza. Nei sistemi con grandi carichi di lavoro la frammentazione dei file di registro nella memoria può causare notevoli problemi di prestazioni.

A causa di queste limitazioni, anche se il limite teorico dei file mappati sulla memoria suggerisce il contrario mentre le interfacce utente (UI) dell'Editor oggetti Criteri di gruppo e del Visualizzatore eventi consentono addirittura di specificare fino a quattro gigabyte per registro, Microsoft ha verificato che nella maggior parte dei server il limite pratico si trova intorno a 300 megabyte, ovvero 300 megabyte per tutti i registri eventi messi insieme. Con Microsoft Windows XP, nei server membro e nei server autonomi la dimensione totale dei registri degli eventi di sistema, delle applicazioni e di protezione non deve superare i 300 megabyte. Nei controller di dominio la dimensione totale di questi tre registri, più il servizio directory di Active Directory®, DNS e i registri Replica, non deve superare i 300 megabyte.

Questo limite ha causato problemi ad alcuni clienti Microsoft, la cui risoluzione richiederà modifiche fondamentali al modo in cui vengono registrati gli eventi di sistema. Microsoft si sta attivando per risolvere questi problemi nella prossima versione di Windows, riscrivendo interamente il sistema di registrazione degli eventi.

Anche se non esiste un'equazione semplice per stabilire quale dovrebbe essere la dimensione ottimale del registro per un particolare server, è possibile arrivare a una stima ragionevole. La registrazione di un evento medio richiede circa 500 byte in ogni registro e la dimensione del file di registro deve essere un multiplo di 64 KB. Stimando il numero medio di eventi generati ogni giorno per ogni tipo di registro all'interno dell'organizzazione, è possibile stabilire una dimensione approssimativa per ogni tipo di file di registro.

Se il file server genera, ad esempio, 5.000 eventi al giorno nel proprio registro di protezione e si desidera avere sempre almeno 4 settimane di dati disponibili, configurare la dimensione di questo registro su circa 70 MB (500 byte * 5000 eventi/giorno * 28 giorni = 70.000.000 byte). Controllare quindi di tanto in tanto i server nelle successive quattro settimane per verificare i calcoli e che i registri contengano eventi sufficienti in base alle proprie esigenze. Definire la dimensione del registro eventi e la permanenza dei record in base ai requisiti aziendali e di protezione stabiliti in fase di progettazione del proprio piano di protezione aziendale.

I possibili valori dell'impostazione Dimensione massima registro eventi sono:

  • Un valore in kilobyte definito dall'utente tra 64 e 4.194.240, tuttavia, deve essere un multiplo di 64.
Vulnerabilità

Se si aumenta significativamente il numero di oggetti da controllare nell'organizzazione, abilitando l'impostazione Controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezione, si corre il rischio di riempire il registro di protezione fino al massimo e di provocare quindi l'arresto del sistema. Se si verifica un arresto di questo tipo, il computer sarà inutilizzabile finché un amministratore non deselezionerà il registro di protezione. Per evitare tale arresto del sistema, è possibile disattivare l'impostazione Controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezione descritta nel Capitolo 5, "Opzioni di protezione" e aumentare la dimensione del registro di protezione. In alternativa, configurare la rotazione automatica del registro, descritta nell'articolo della Microsoft Knowledge Base "Il registro eventi interrompe la registrazione degli eventi prima che venga raggiunta la dimensione massima del registro" all'indirizzo http://support.microsoft.com/kb/312571/it.

Contromisura

È necessario attivare i criteri di dimensione del registro in tutti computer dell'organizzazione, in modo che gli utenti legittimi siano responsabili delle proprie azioni e in modo da rilevare eventuali attività non autorizzate ed eventuali problemi del computer.

Impatto potenziale

Quando i registri eventi sono pieni, non saranno più in grado di registrare le informazioni a meno che i criteri di gestione non siano impostati in modo che le voci più recenti possano essere sovrascritte su quelle meno recenti. Per evitare il rischio di perdita dei dati recenti, è possibile impostare i criteri di gestione in modo da sovrascrivere gli eventi meno recenti.

La conseguenza di questa configurazione è quella che gli eventi meno recenti vengono rimossi dai registri. I pirati informatici possono trarre vantaggio da questa impostazione creando un gran numero di eventi estranei per cancellare le tracce del loro attacco. Questi rischi possono essere in qualche modo ridotti automatizzando l'archiviazione e il backup dei dati dei registri degli eventi.

Per questo motivo, tutti gli eventi controllati in modo specifico dovrebbero essere inviati a un server utilizzando Microsoft Operations Manager (MOM) o altri strumenti di controllo automatici. Questo tipo di configurazione è particolarmente importante perché un pirata informatico che riesce a violare un server potrebbe cancellare il registro di protezione. Inviando tutti gli eventi a un server di controllo, è possibile ottenere informazioni sulle attività del pirata informatico.

Impedisci accesso guest locale a qualsiasi registro eventi

Questa impostazione di criterio determina se ai membri del gruppo Guests deve essere impedito l’accesso al registro eventi di sistema, applicazioni e protezione.

I possibili valori dell'impostazione Impedisci accesso guest locale a qualsiasi registro eventi sono:

  • Attivato

  • Disattivato

  • Non definito

Nota: questa impostazione non compare nell'oggetto Criteri del computer locale.

Questa impostazione di criterio interessa solo i computer che eseguono Windows 2000 e versioni successive di Windows.

Vulnerabilità

Un pirata informatico che riesce ad accedere a un computer con i privilegi dell'account Guest visualizzando i registri eventi può ottenere importanti informazioni sul computer. Il pirata informatico può utilizzare queste informazioni per implementare ulteriori attacchi.

Contromisura

Abilitare l'impostazione Impedisci accesso guest locale a qualsiasi registro eventi per i criteri di tutti e tre i registri eventi.

Impatto potenziale

Nessuno. Si tratta della configurazione predefinita.

Gestisci registri eventi

Questa impostazione consente di specificare per quanti giorni è necessario conservare i registri eventi di sistema, applicazione e protezione se il criterio di gestione specificato per il registro è Per giorni. Impostare questo valore solo se il registro viene archiviato a intervalli pianificati e controllare che la dimensione massima del registro sia sufficiente per l'intervallo.

I possibili valori dell'impostazione Gestisci registri eventi sono:

  • Un numero di giorni specificato dall'utente compreso tra 1 e 365.

  • Non definito

Nota: questa impostazione non compare nell'oggetto Criteri del computer locale.

Per accedere al registro di protezione, un utente deve possedere il diritto utente Gestione file registro di controllo e di protezione.

Vulnerabilità

Se si archivia il registro a intervalli pianificati:

  1. Aprire la finestra di dialogo Proprietà del criterio.

  2. Specificare il numero di giorni opportuno nell'impostazione Gestione registro applicazioni.

  3. Selezionare Sovrascrivi eventi ogni giorno per i criteri di gestione del registro eventi.

Controllare inoltre che la dimensione massima del registro sia sufficiente per l'intervallo.

Contromisura

Configurare l'impostazione Gestisci registri eventi per i criteri di tutti e tre i registri eventi su Non definito.

Impatto potenziale

Nessuno. Si tratta della configurazione predefinita.

Criteri di gestione del registro eventi

Questa impostazione di criterio determina il metodo di gestione dei registri di sistema, applicazione e protezione.

Se non si desidera archiviare il registro applicazione:

  1. Aprire la finestra di dialogo Proprietà del criterio.

  2. Selezionare la casella di controllo Definisci questa impostazione.

  3. Selezionare Sovrascrivi eventi se necessario.

Se si archivia il registro a intervalli pianificati:

  1. Aprire la finestra di dialogo Proprietà del criterio.

  2. Selezionare la casella di controllo Definisci questa impostazione.

  3. Selezionare Sovrascrivi eventi ogni giorno.

  4. Specificare il numero di giorni opportuno nell'impostazione Gestione registro applicazioni. Controllare che la dimensione massima del registro sia sufficiente per l'intervallo.

Se si desidera conservare tutti gli eventi del registro:

  1. Aprire la finestra di dialogo Proprietà del criterio.

  2. Selezionare la casella di controllo Definisci questa impostazione.

  3. Selezionare Non sovrascrivere eventi (pulizia manuale del registro).

Con questa opzione il registro deve essere pulito manualmente. Con questa configurazione, quando viene raggiunta la dimensione massima del registro, i nuovi eventi vengono eliminati.

I possibili valori dell'impostazione Criteri di gestione del registro eventi sono:

  • Sovrascrivi eventi ogni giorno.

  • Sovrascrivi eventi se necessario.

  • Non sovrascrivere eventi (pulizia manuale del registro).

  • Non definito

Nota: questa impostazione non compare nell'oggetto Criteri del computer locale.

Vulnerabilità

Se si aumenta significativamente il numero di oggetti da controllare nell'organizzazione, si corre il rischio di riempire il registro di protezione fino al massimo e di provocare quindi l'arresto del sistema. Se si verifica un arresto di questo tipo, il computer sarà inutilizzabile finché un amministratore non deselezionerà il registro di protezione. Per evitare tale arresto del sistema, è possibile disattivare l'impostazione Controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezione descritta nel Capitolo 5, "Opzioni di protezione" e aumentare la dimensione del registro di protezione.

Impostando Criteri di gestione del registro eventi su Manuale o su Sovrascrivi eventi ogni giorno, importanti eventi recenti potrebbero non venire registrati o si potrebbe verificare un attacco di tipo Denial of Service (DoS).

Contromisura

Impostare i criteri di gestione di tutti e tre i registri eventi sull'opzione Sovrascrivi eventi se necessario. In alcuni documenti viene consigliato di configurare questa impostazione su Manuale; tuttavia, l'onere causato da questa opzione a livello amministrativo è troppo alto per molte organizzazioni.

Per questo motivo, tutti gli eventi significativi devono essere inviati a un server di controllo utilizzando MOM (Microsoft Operations Manager) o altri strumenti di controllo automatici.

Impatto potenziale

Quando i registri eventi sono pieni, non saranno più in grado di registrare le informazioni a meno che i criteri di gestione non siano impostati in modo che le voci più recenti possano essere sovrascritte su quelle meno recenti.

Delega dell’acceso al registro eventi

Con Microsoft Windows Server™ 2003 è possibile personalizzare le autorizzazioni di ogni Registro eventi di un computer. Nelle versioni precedenti di Windows questo non era possibile. In alcune organizzazioni è necessario garantire ai membri del team IT l'accesso in sola lettura a uno o più registri eventi di sistema. L'elenco di controllo di accesso (ACL) viene archiviato come stringa SDDL (Security Descriptor Definition Language) in un valore REG_SZ denominato "CustomSD" per ogni registro eventi nel Registro di sistema, come mostrato di seguito:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\CustomSD Create a REG_SZ registry value O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG) (A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU) (A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)

È possibile modificare il valore e riavviare il computer in modo da rendere effettiva la nuova impostazione.

Avviso: fare attenzione quando si modificano i valori del registro perché nell'Editor del Registro di sistema non esiste una funzione del tipo "Annulla". Quando si commette un errore, le correzioni devono essere eseguite manualmente. Inoltre, nel Registro eventi è possibile configurare per errore gli ACL in modo tale che nessuno vi possa accedere. Prima di procedere, assicurarsi di aver compreso bene il linguaggio SDDL e le autorizzazioni predefinite impostate in ogni registro eventi. Inoltre, è necessario testare a fondo le modifiche prima di implementarle nell'ambiente di produzione.

Per ulteriori informazioni su come configurare la protezione dei registri eventi in Windows Server 2003, consultare "Impostazione della protezione del registro eventi localmente oppure tramite i Criteri di gruppo in Windows Server 2003" all'indirizzo http://support.microsoft.com/kb/323076/it.

Ulteriori informazioni sul linguaggio SDDL sono disponibili nell'articolo "Security Descriptor Definition Language" (in inglese) su MSDN® all'indirizzo http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/ security/security_descriptor_definition_language.asp.

Inizio pagina

Ulteriori informazioni

I seguenti collegamenti forniscono ulteriori informazioni sulla registrazione degli eventi in Windows Server 2003 e Windows XP.

Download

Scaricare la Guida a pericoli e contromisure

Notifiche di aggiornamento

Iscriversi per ottenere aggiornamenti e nuove versioni

Commenti e suggerimenti

Inviare commenti o suggerimenti

Inizio pagina