Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseGuida
Migliori pratiche per la Policy di Audit di Windows

Migliori pratiche per la Policy di Audit di Windows

Come implementare la politica di audit

Ci sono due metodi per configurare la tua politica di audit:

  • La politica di base per l'audit di sicurezza in Windows (nota anche come impostazioni di sicurezza locali di Windows) consente di impostare l'audit per tipo di evento. Le politiche di base si trovano in Configurazione computer -> Impostazioni Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri di audit.
  • La policy di controllo di sicurezza avanzata affronta le stesse problematiche delle policy di controllo di base, ma permette di configurare l'auditing in modo granulare all'interno di ogni categoria di evento. Queste impostazioni si trovano in Configurazione computer -> Criteri -> Impostazioni di sicurezza di Windows -> Configurazione della policy di controllo avanzata -> Policy di controllo del sistema. Sembra che si sovrappongano (senza sovrascrivere) alle policy di controllo di sicurezza di base.

Microsoft consiglia alle organizzazioni di non utilizzare contemporaneamente le impostazioni di base della policy di audit e le impostazioni avanzate per la stessa categoria, perché quando viene configurata una policy di audit avanzata, essa prevarrà sempre sulle policy di audit di base, il che può causare “risultati inaspettati nei report di audit”.

Puoi visualizzare il registro di Sicurezza con l'Event Viewer.

Prima di modificare qualsiasi impostazione, dovresti:

  • Determina quali tipi di eventi vuoi sottoporre a verifica dall'elenco sottostante e specifica le impostazioni per ciascuno. Le impostazioni che specifichi costituiscono la tua politica di audit. Nota che alcuni tipi di eventi sono sottoposti a verifica per impostazione predefinita.
  • Decidete come raccogliere, conservare e analizzare i dati. Non c'è molto valore nell'accumulare grandi volumi di dati di audit se non esiste un piano di base per gestirli e utilizzarli.
  • Specificare la dimensione massima e altri attributi del registro di sicurezza utilizzando le impostazioni della politica di registrazione eventi. Un aspetto importante è la quantità di spazio di archiviazione che si può allocare per conservare i dati raccolti dall'audit. A seconda dell'impostazione scelta, i dati di audit possono riempire rapidamente lo spazio su disco disponibile.
  • Ricorda che le impostazioni di audit possono influenzare le prestazioni del computer. Pertanto, dovresti eseguire dei test di prestazione prima di implementare nuove impostazioni di audit nel tuo ambiente di produzione.
  • Se vuoi eseguire l'audit dell'accesso ai servizi di directory o all'accesso agli oggetti, configura le impostazioni della policy Audit directory service access e Audit object access.

Tipi di eventi che puoi verificare

Ecco le categorie fondamentali delle politiche di controllo della sicurezza:

  • Verifica gli eventi di accesso degli account. L'audit degli accessi utente è l'unico modo per rilevare tutti i tentativi non autorizzati di accesso a un dominio. È fondamentale verificare gli eventi di accesso — sia quelli riusciti che quelli falliti — per individuare i tentativi di intrusione. Gli eventi di logoff non vengono tracciati sui controller di dominio.
  • Verifica la gestione degli account. Monitorare attentamente tutte le modifiche agli account utente aiuta a minimizzare il rischio di interruzioni aziendali e indisponibilità del sistema.
  • Verifica l'accesso al servizio di directory. Monitora ciò solo quando è necessario vedere quando qualcuno accede a un oggetto AD che ha la propria lista di controllo degli accessi di sistema (ad esempio, un'OU).
  • Verifica gli eventi di accesso. Osservare i tentativi riusciti e falliti di accesso o disconnessione da un computer locale è utile per il rilevamento di intrusi e per le indagini forensi post-incidente.
  • Verifica l'accesso agli oggetti. Verifica ciò solo quando hai bisogno di vedere quando qualcuno ha utilizzato privilegi per accedere, copiare, distribuire, modificare o eliminare file sui server dei file.
  • Modifica della politica di audit. Modifiche improprie a un GPO possono danneggiare gravemente la sicurezza del tuo ambiente. Monitora tutte le modifiche ai GPO per ridurre il rischio di esposizione dei dati.
  • Verifica l'uso dei privilegi.Attiva questa policy quando vuoi monitorare ogni istanza dell'utilizzo dei privilegi degli utenti. Si raccomanda di impostare questa funzione in modo granulare nell'Uso dei Privilegi Sensibili delle policy di audit avanzate.
  • Monitoraggio dei processi di audit. L'audit di eventi legati ai processi, come la creazione di processi, la terminazione di processi, la duplicazione di handle e l'accesso indiretto agli oggetti, può essere utile per le indagini sugli incidenti.
  • Verifica gli eventi di sistema. Configurare la policy di audit del sistema per registrare avvii, spegnimenti e riavvii del computer, e i tentativi di un processo o programma di eseguire un'azione per cui non ha il permesso, è prezioso perché tutti questi eventi sono molto significativi. Ad esempio, se un software malevolo prova a modificare un'impostazione sul tuo computer senza il tuo permesso, l'audit degli eventi di sistema registrerebbe quell'azione.

Impostazioni consigliate per l'auditing di Windows

Si consigliano le seguenti impostazioni avanzate per l'audit della sicurezza:

Accesso all'account

  • Audit della convalida delle credenziali: Successo e Fallimento

Gestione degli account

  • Audit della gestione degli account computer: Successo e Fallimento
  • Verifica altri eventi di gestione degli account: Successo e fallimento
  • Audit Security Group Management: Successo e Fallimento
  • Audit User Account Management: Successo e Fallimento

Accesso DS (Directory Service Access)

  • Audit dell'accesso a DirectoryService: Successo e fallimento su DC
  • Audit dei cambiamenti del Directory Service: Successo e fallimento su DC

Accesso/Disconnessione

  • Verifica del blocco account: Successo
  • Audit Logoff: Successo
  • Registro di controllo accessi: Successo e Fallimento
  • Audit Special Logon: Successo e Fallimento

Accesso agli oggetti

  • Attiva queste impostazioni solo se hai un'utilità specifica per i dati che verranno registrati, poiché possono causare la generazione di un grande volume di voci nei tuoi log di Sicurezza.

Cambio di policy

  • Verifica del Cambiamento della Policy di Audit: Successo e Fallimento
  • Verifica del Cambio di Politica di Autenticazione: Successo e Fallimento

Uso dei privilegi

  • Attivate queste impostazioni solo se avete uno scopo specifico per i dati che verranno registrati, poiché possono generare un grande volume di voci nei vostri log di Sicurezza.

Tracciamento dei processi

  • Processo di Audit: Creazione riuscita
    Abilita queste impostazioni solo se hai un'utilità specifica per le informazioni che verranno registrate, poiché possono generare un grande volume di voci nei tuoi log di Sicurezza.

Sistema

  • Verifica dello Stato di Sicurezza: Successo e Fallimento
  • Audit degli altri eventi di sistema: Successo e Fallimento
  • Verifica dell'integrità del sistema: Successo e Fallimento

Cos'è la policy di audit in Windows?


La policy di audit di Windows definisce quali tipi di eventi vengono registrati nei log di Sicurezza dei server Windows. Stabilire una policy di audit efficace aiuta a individuare potenziali problemi di sicurezza, assicurare la responsabilità degli utenti e fornire prove in caso di violazione della sicurezza.

Le impostazioni consigliate per le policy di audit qui fornite sono intese come una base per gli amministratori di sistema che iniziano a definire le policy di audit di AD. Dovreste assicurarvi di considerare i rischi per la cybersecurity e i requisiti di conformità della vostra organizzazione. Inoltre, testate e perfezionate le vostre policy prima di implementarle nel vostro ambiente di produzione.

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management