Che cos'è l'esito positivo o negativo dell'audit nel Visualizzatore eventi

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Quando si tratta di Visualizzatore eventi, ci sono due tipi di risultati che puoi ottenere da un audit: successo o fallimento. Ma cosa significa ognuno? Ecco una rapida spiegazione di ciascuno.



Successo dell'audit

Un controllo riuscito indica che l'azione sottoposta a controllo è stata completata correttamente. Questo potrebbe essere qualcosa come un utente che accede a un sistema o un processo in esecuzione. In sostanza, tutto ciò che hai configurato Visualizzatore eventi per tracciare e segnalare.



Fallimento dell'audit

Un errore di controllo, d'altra parte, significa che l'azione sottoposta a controllo non è stata completata correttamente. Ciò potrebbe essere dovuto a una serie di motivi, come l'immissione di una password errata o un utente che non dispone delle autorizzazioni necessarie per eseguire l'azione. Ancora una volta, tutto ciò che hai configurato nel Visualizzatore eventi per tenere traccia e riferire può causare un errore di controllo.



Quindi ecco qua: una rapida spiegazione del successo e del fallimento dell'audit nel Visualizzatore eventi. Come sempre, se hai domande, non esitare a contattare il nostro team di esperti IT.



Per facilitare la risoluzione dei problemi, il Visualizzatore eventi integrato nel sistema operativo Windows visualizza i registri dei messaggi di sistema e dell'applicazione che includono errori, avvisi e informazioni su eventi specifici che un amministratore può analizzare per intraprendere l'azione appropriata. In questo post discutiamo Verifica riuscita o verifica non riuscita nel Visualizzatore eventi .

Che cos



Che cos'è l'esito positivo o negativo dell'audit nel Visualizzatore eventi

Nel visualizzatore eventi Controllo di successo è l'evento che registra un tentativo di accesso sicuro verificato riuscito, mentre Errore di controllo è un evento che registra un tentativo non riuscito di accesso sicuro verificato. Tratteremo questo argomento nei seguenti sottotitoli:

  1. Criteri di controllo
  2. Abilita i criteri di controllo
  3. Utilizza il visualizzatore eventi per trovare l'origine dei tentativi falliti o riusciti
  4. Alternative all'uso del Visualizzatore eventi

Diamo un'occhiata a questo in dettaglio.

Criteri di controllo

Il criterio di controllo definisce i tipi di eventi che vengono scritti nei registri di sicurezza e questi criteri generano eventi che possono avere esito positivo o negativo. Verranno generati tutti i criteri di controllo Buona fortuna eventi ; tuttavia, solo alcuni di essi genereranno Eventi di fallimento . È possibile configurare due tipi di criteri di controllo, vale a dire:

  • Politica di controllo di base dispone di 9 categorie di criteri di controllo e 50 sottocategorie di criteri di controllo che possono essere abilitate o disabilitate secondo necessità. Di seguito è riportato un elenco di 9 categorie di criteri di controllo.
    • Controlla gli eventi di accesso all'account
    • Controlla gli eventi di accesso
    • Controllo della gestione dell'account
    • Controllo dell'accesso al servizio di directory
    • Controllo dell'accesso agli oggetti
    • Modifica della politica di controllo
    • Utilizzo dei privilegi di controllo
    • Monitoraggio del processo di audit
    • Eventi di sistema di controllo. Questa impostazione dei criteri determina se controllare quando un utente riavvia o arresta il computer o quando si verifica un evento che influisce sulla sicurezza del sistema o sul registro di sicurezza. Per ulteriori informazioni e relativi eventi di accesso, consultare la documentazione Microsoft all'indirizzo Learn.microsoft.com/Basic-Audit-System-Events .
  • Politica di controllo avanzata che ha 53 categorie, quindi è consigliato in quanto è possibile definire una politica di controllo più granulare e registrare solo gli eventi rilevanti, il che è particolarmente utile quando si genera un numero elevato di registri.

Gli errori di controllo si verificano in genere quando una richiesta di accesso non riesce, sebbene possano anche essere causati da modifiche ad account, oggetti, criteri, privilegi e altri eventi di sistema. I due eventi più comuni sono:

  • ID evento 4771: preautenticazione Kerberos non riuscita . Questo evento viene generato solo sui controller di dominio e non viene generato se Non richiedere la preautenticazione Kerberos l'opzione è impostata per l'account. Per ulteriori informazioni su questo evento e su come risolvere questo problema, vedere Documentazione Microsoft .
  • ID evento 4625: Impossibile accedere all'account . Questo evento viene generato quando un tentativo di accesso all'account fallisce e l'utente è già bloccato. Per ulteriori informazioni su questo evento e su come risolvere questo problema, vedere Documentazione Microsoft .

Leggere : Come controllare l'arresto e il registro di avvio in Windows

Abilita i criteri di controllo

Abilita i criteri di controllo

È possibile abilitare i criteri di controllo sui computer client o server tramite l'Editor Criteri di gruppo locali o la Console Gestione criteri di gruppo oppure Editor dei criteri di sicurezza locali . Su un server Windows nel tuo dominio, crea un nuovo oggetto Criteri di gruppo o modifica un oggetto Criteri di gruppo esistente.

Sul computer client o server, nell'Editor criteri di gruppo, vai al seguente percorso:

|_+_|

Sul computer client o server, nei criteri di sicurezza locali, passare al percorso seguente:

|_+_|
  • In Criteri di controllo nel riquadro destro, fare doppio clic sul criterio di cui si desidera modificare le proprietà.
  • Nel pannello delle proprietà è possibile abilitare il criterio per Buona fortuna O Rifiuto secondo il vostro requisito.

Leggere : Come ripristinare tutte le impostazioni dei criteri di gruppo locali sui valori predefiniti in Windows

Utilizza il visualizzatore eventi per trovare l'origine dei tentativi falliti o riusciti

Utilizzare il Visualizzatore eventi per trovare l

Gli amministratori e gli utenti generici possono aprire il Visualizzatore eventi su un computer locale o remoto con le autorizzazioni appropriate. Il Visualizzatore eventi registrerà ora un evento ogni volta che si verifica un evento di errore o di successo, sia sul computer client che sul dominio del server. L'ID evento attivato durante la registrazione di un evento non riuscito o riuscito è diverso (vedere di seguito). Criteri di controllo sezione precedente). Puoi andare a Visualizzatore eventi > Diario Windows > Sicurezza . Il pannello al centro elenca tutti gli eventi configurati per l'auditing. Dovrai esaminare gli eventi registrati per trovare tentativi falliti o riusciti. Una volta trovati, puoi fare clic con il pulsante destro del mouse sull'evento e selezionarlo Proprietà dell'evento Più dettagli.

Leggere : utilizzare il Visualizzatore eventi per controllare l'uso non autorizzato di un computer Windows.

Alternative all'uso del Visualizzatore eventi

In alternativa all'utilizzo del Visualizzatore eventi, esistono diversi software Event Log Manager di terze parti che possono essere utilizzati per aggregare e correlare i dati degli eventi da una varietà di fonti, inclusi i servizi cloud. Una soluzione SIEM è l'opzione migliore se è necessario raccogliere e analizzare dati da firewall, sistemi di prevenzione delle intrusioni (IPS), dispositivi, applicazioni, switch, router, server e altro ancora.

cronologia della riga di comando di Windows

Spero che troverai questo post abbastanza informativo!

Ora leggi : come abilitare o disabilitare la registrazione sicura degli eventi in Windows

Perché è importante controllare sia i tentativi di accesso riusciti che quelli falliti?

È fondamentale controllare gli eventi di accesso, indipendentemente dal fatto che abbiano avuto successo o meno, per rilevare i tentativi di intrusione, poiché il controllo degli accessi degli utenti è l'unico modo per rilevare tutti i tentativi di accesso al dominio non autorizzati. Gli eventi di disconnessione non vengono registrati nei controller di dominio. È anche altrettanto importante tenere traccia dei tentativi di accesso ai file non riusciti, poiché viene creata una voce di controllo ogni volta che un utente tenta senza successo di accedere a un oggetto del file system che ha un SACL corrispondente. Questi eventi sono necessari per tenere traccia dell'attività di oggetti file sensibili o preziosi e richiedono un monitoraggio aggiuntivo.

Leggere : Rafforza la politica della password di accesso a Windows e la politica di blocco dell'account

Come abilitare i registri degli errori di controllo in Active Directory?

Per abilitare i registri degli errori di controllo in Active Directory, è sufficiente fare clic con il pulsante destro del mouse sull'oggetto di Active Directory che si desidera controllare e selezionare Caratteristiche . Selezionare Sicurezza scheda e quindi selezionare Avanzate . Selezionare Verifica scheda e quindi selezionare Aggiungere . Per visualizzare i registri di controllo in Active Directory, fare clic su Inizia > Sicurezza del sistema > Strumenti di gestione > Visualizzatore eventi . In Active Directory, il controllo è il processo di raccolta e analisi di oggetti AD e dati di criteri di gruppo per migliorare in modo proattivo la sicurezza, rilevare e rispondere rapidamente alle minacce e mantenere le operazioni IT senza intoppi.

Categoria
Registri Eventi
Raccomandato
Skype non riesce ad accedere alla scheda audio
Skype non riesce ad accedere alla scheda audio
Finestre
Get/eSCL/ScannerStatus HTTP/1.1 Host: localhost Errore della stampante
Get/eSCL/ScannerStatus HTTP/1.1 Host: localhost Errore della stampante
Stampante
Come aggiungere il filtro a discesa in Excel?
Come aggiungere il filtro a discesa in Excel?
Blog
Impossibile connettersi a Xbox Live; Risolvi il problema della rete Xbox Live su Windows 10
Impossibile connettersi a Xbox Live; Risolvi il problema della rete Xbox Live su Windows 10
Generale
Messaggi Popolari
Chi Siamo
Prankmike Fornisce Suggerimenti, Linee Guida, Istruzioni Per Windows 10, Le Funzioni E Il Software Libero.
Categorie
I Più Visti
Copyright © 2024Tutti I Diritti Riservati | prankmike.com | Politica Sulla Riservatezza