Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Linee guida per l'auditing di Active Directory

Linee guida per l'auditing di Active Directory

Apr 21, 2021

Active Directory fornisce servizi di gestione degli account, autenticazione e autorizzazione che sono fondamentali per una solida governance degli accessi. Di conseguenza, un'adeguata Active Directory auditing è essenziale sia per la cybersecurity che per la conformità alle normative che richiedono una forte gestione degli accessi.

For example, to promptly detect insider threats, organizations need to constantly watch for the creation of new accounts and security groups and any modifications to existing users and groups, since those changes could provide unwarranted access rights that could be misused by account owners or attackers who compromise their accounts. They also must keep a close eye on user activities like logon attempts and directory changes, and identify security gaps like inactive user and computer accounts.

Tuttavia, Active Directory non audita tutti gli eventi di sicurezza per impostazione predefinita — è necessario abilitare esplicitamente l'auditing degli eventi importanti affinché vengano registrati nel registro eventi di Sicurezza e disponibili per l'inclusione in rapporti di audit e avvisi.

Questo articolo fornisce raccomandazioni per configurare l'audit nel tuo ambiente Active Directory, utilizzando il Netwrix Audit Policy Best Practices come riferimento.

Contenuti correlati selezionati

Iniziare con l'AD Auditing

L'audit di Active Directory (AD) è il processo di raccolta e analisi dei dati sui tuoi oggetti AD e Group Policy. Le organizzazioni eseguono l'audit di AD per migliorare proattivamente la sicurezza, rilevare e rispondere prontamente alle minacce e mantenere le operazioni IT in modo efficiente.

Utilizzando Audit Policy

Per specificare quali eventi di sistema e attività degli utenti tracciare, si utilizzano le impostazioni della Audit Policy in Active Directory Group Policy. Si specifica quali tipi di eventi si desidera monitorare e si selezionano le impostazioni per ciascuno. Ad esempio, è possibile registrare tutti gli eventi quando un account utente viene disabilitato o viene inserita una password errata.

Come altre impostazioni dei Group Policy setting, l'auditing è configurato utilizzando lo strumento Group Policy Management Editor (GPME) nella console Group Policy Management (GPMC). Si noti che le impostazioni di audit per i dispositivi uniti a un dominio sono impostate per impostazione predefinita a un livello relativamente basso, quindi dovrebbero essere perfezionate. Nei controller di dominio (DC), l'auditing è spesso più robusto, ma potrebbe comunque non essere al livello che necessitate.

Per effettuare l'audit di Active Directory, puoi utilizzare le impostazioni della basic (local) security audit policy o quelle della advanced security audit policy, che permettono una maggiore granularità. Microsoft non raccomanda l'uso di entrambe, poiché ciò può portare a “unexpected results in audit reporting”. Nella maggior parte dei casi, quando si attiva l'auditing avanzato, quello di base verrà ignorato, anche se in seguito si disattiva l'auditing avanzato. Si raccomanda di utilizzare l'auditing avanzato se attualmente non si sta eseguendo alcun auditing.

  • È possibile impostare le politiche di base accedendo a Configurazione del computer > Criteri > Impostazioni Windows > Impostazioni di sicurezza > Criteri locali > Criteri di controllo.
  • Le impostazioni avanzate delle policy si trovano sotto Configurazione computer > Criteri > Impostazioni Windows > Configurazione avanzata criteri di controllo > Criteri di controllo.

Ambito della Policy di Audit

È possibile definire criteri di auditing sia per l'intero dominio che per singole unità organizzative (OU). Si noti che una configurazione impostata a livello di OU ha la priorità rispetto a una configurazione a livello di dominio e la sovrascriverà in caso di conflitti. È possibile verificare le politiche risultanti utilizzando l'utilità da riga di comando auditpol.

Configurazione del Registro di Sicurezza

Dovrai anche specificare la dimensione massima e altre proprietà del registro di sicurezza utilizzando le impostazioni della politica di registrazione eventi. Per modificare le impostazioni tramite GPME, naviga in Configurazione computer > Criteri > Impostazioni Windows > Impostazioni di sicurezza > Registro eventi e fai doppio clic sul nome della politica. Secondo Microsoft, la dimensione massima consigliata per il registro in versioni moderne del sistema operativo è di 4Gb, e la dimensione massima totale consigliata per tutti i registri è di 16Gb. Puoi visualizzare i registri con Event Viewer.

Quali eventi del registro di sicurezza di AD tracciare

La chiave per un'auditing efficace è sapere quali eventi registrare. Se tracci troppi eventi, i tuoi log saranno così pieni di rumore che saranno difficili da analizzare e si sovrascriveranno rapidamente. Ma se non tracci gli eventi critici, non sarai in grado di rilevare attività malevole e indagare su incidenti di sicurezza. Ecco gli eventi raccomandati da tracciare per trovare il giusto equilibrio.

Verifica gli eventi di accesso degli account

Per rilevare tentativi non autorizzati di accesso a un dominio, è necessario esaminare gli eventi di accesso, sia quelli riusciti che quelli falliti. Audit account logon events offre un modo per tracciare gli eventi di autenticazione, come l'autenticazione NTLM e Kerberos. Non va confuso con Audit logon events, che definisce l'audit di ogni tentativo dell'utente di accedere o disconnettersi da un computer, come spiegato di seguito.

Ecco le impostazioni consigliate per la politica avanzata Audit account logon events :

  • Verifica delle credenziali di Audit: Errore
  • Verifica del servizio di autenticazione Kerberos: Successo, Fallimento
  • Verifica delle operazioni dei ticket di servizio Kerberos: Errore
  • Verifica altri eventi di accesso account: Successo, Fallimento

Si noti che gli eventi di logoff non vengono tracciati sui controller di dominio a meno che non si effettui l'accesso su quel DC specifico.

Audita gli eventi di accesso

Questa politica può registrare tutti i tentativi riusciti e falliti di accesso o disconnessione da un computer locale, sia che si tratti di un account di dominio o di un account locale. Queste informazioni sono utili per il rilevamento di intrusi e per le indagini forensi post-incidente. Microsoft fornisce descrizioni dei vari ID evento che possono essere registrati.

Le impostazioni avanzate minime raccomandate sono:

  • Verifica del blocco account: Successo, Fallimento
  • Audit Group Membership: Success
  • Audit Logoff: Successo, Fallimento
  • Audit Logon: Successo, Fallimento
  • Verifica accessi speciali: Successo, Fallimento

Gestione degli account

Monitorare attentamente tutte le modifiche agli account utente aiuta a minimizzare il rischio di interruzioni aziendali e indisponibilità del sistema.

Al minimo, si raccomanda di impostare la politica di base Audit account Management su “Successo”. Se stai utilizzando politiche di audit avanzate, usa le seguenti impostazioni:

  • Verifica della gestione dei gruppi di applicazioni: Successo, Fallimento
  • Audit della gestione degli account computer: Successo
  • Audit Distribution Group Management: Successo
  • Verifica altri eventi di gestione account: Successo
  • Audit Security Group Management: Successo
  • Audit User Account Management: Successo, Fallimento

Contenuti correlati selezionati

Accesso al servizio di Directory Management

Monitorare ciò solo se è necessario vedere quando qualcuno accede a un oggetto AD che ha la propria lista di controllo degli accessi di sistema, come un'OU. In tal caso, si raccomanda di configurare le seguenti impostazioni:

  • Verifica dell'accesso al servizio di Directory: Successo, Fallimento
  • Verifica delle modifiche al Directory Service: Successo, Fallimento

Accesso agli oggetti

Audita questo solo se hai bisogno di vedere quando qualcuno ha utilizzato privilegi per accedere, copiare, distribuire, modificare o cancellare file sui server di file. L'attivazione di questa impostazione può generare un grande volume di voci nel registro di Sicurezza, quindi usala solo se hai uno scopo specifico per quei dati. Le impostazioni avanzate consigliate sono:

  • Audit Detailed File Share: Errore
  • Audit File Share: Successo, Fallimento
  • Verifica altri eventi di accesso agli oggetti: Successo, Fallimento
  • Audit Removable Storage: Successo, Fallimento

Cambio di policy

Le modifiche improprie a un oggetto Criteri di gruppo (GPO) possono portare a incidenti di sicurezza e violazioni dei mandati di data privacy. Per ridurre il rischio, configura le seguenti impostazioni avanzate:

  • Modifica della Policy di Audit: Successo, Fallimento
  • Verifica del Cambio della Politica di Autenticazione: Successo, Fallimento
  • Audit MPSSVC Rule-Level Policy Change: Successo, Fallimento
  • Verifica altri eventi di modifica delle policy: Errore

Uso dei privilegi

Attiva questa opzione solo se desideri monitorare ogni istanza dell'utilizzo dei privilegi degli utenti. Abilitare questa policy può generare un grande volume di voci nei tuoi log di Sicurezza, quindi fallo solo se hai un'utilizzo specifico per questi dati. Per abilitare questa policy, configura quanto segue:

  • Verifica l'uso di privilegi sensibili: Successo, Fallimento

Tracciamento dei processi (talvolta chiamato Tracciamento dettagliato)

Disponibile solo nella politica di audit avanzata, questa impostazione è focalizzata sugli eventi di audit relativi ai processi, come la creazione di processi, la terminazione di processi, la duplicazione di handle e l'accesso indiretto agli oggetti. Può essere utile per le indagini sugli incidenti, ma può generare un grande volume di voci nei tuoi log di Sicurezza, quindi abilitala solo se hai un uso specifico per i dati. Le impostazioni consigliate sono:

  • Verifica dell'attività PNP: Successo
  • Processo di Audit della Creazione: Successo

Sistema

È saggio registrare tutti i tentativi di avvio, spegnimento o riavvio di un computer, così come tutti i tentativi di un processo o programma di fare qualcosa per cui non ha i permessi, come un software malevolo che cerca di modificare le impostazioni del tuo computer. Le impostazioni avanzate consigliate sono:

  • Verifica dello stato di sicurezza del cambiamento: Successo, Fallimento
  • Verifica altri eventi di sistema: Successo, Fallimento
  • Verifica dell'integrità del sistema: Successo, Fallimento
  • Estensione del Sistema di Sicurezza Audit: Successo

Contenuti correlati selezionati

Migliori pratiche di auditing di ADTop of Form

Eseguendo l'audit di Active Directory, è possibile ridurre i rischi per la sicurezza identificando e risolvendo condizioni tossiche come gruppi annidati profondamente e permessi assegnati direttamente che gli attaccanti possono sfruttare per accedere alle risorse della rete. Le seguenti migliori pratiche possono aiutare a rendere più efficace l'audit del tuo AD:

Ottenete una comprensione approfondita del vostro ambiente AD.

Inizia ottenendo risposte alle seguenti domande:

  • Quanti account e gruppi hai?
  • Quali GPOS e altri oggetti critici di Active Directory hai?
  • Chi ha i permessi per i tuoi DC e OU?

Dai priorità ai tuoi sforzi.

Tre luoghi in cui le organizzazioni spesso iniziano sono:

  • Accesso AD Privileged Access Management — Esaminare oggetti critici come i GPO.
  • Gruppi numerosi — Valutate l'accesso di gruppi numerosi come Domain Users e Everyone.
  • Accesso utente privilegiato — Determinare quali utenti hanno accesso elevato, sia attraverso l'appartenenza a gruppi potenti come Domain Admins sia tramite metodi più indiretti come l'appartenenza a gruppi nidificati.

Coinvolgi i giusti stakeholder.

Determinare quali utenti aziendali comprendono chi dovrebbe avere accesso a cosa. Ad esempio, il responsabile di un determinato dipartimento è probabile che sappia a quali risorse IT i membri del suo team necessitano di accedere per svolgere il loro lavoro e perché i permessi sono stati impostati in un certo modo.

Rivedere regolarmente l'appartenenza ai gruppi.

Innanzitutto, assicurati che solo gli utenti corretti siano membri dei Domain Admins e degli Enterprise Admins. Limitare rigorosamente l'appartenenza a questi gruppi ridurrà il rischio che un amministratore disonesto abusi del suo accesso privilegiato. È altrettanto importante, poiché minimizza il numero di account che un avversario potrebbe compromettere per ottenere immediatamente il controllo del dominio.

In secondo luogo, fate in modo che i proprietari delle attività commerciali convalidino che i membri giusti siano nei loro gruppi — e che il gruppo abbia accesso solo alle risorse di cui ha bisogno.

Ripetete queste revisioni su base regolare.

Continua a migliorare il tuo processo di auditing AD

Una volta implementate le priorità principali per l'auditing di AD, passate alle aree successive. Ad esempio, una volta stabilite revisioni regolari dell'appartenenza ai gruppi, iniziate l'auditing delle modifiche alle password di AD.

Prossimi passi

Configurare correttamente le policy di audit è un ottimo inizio, ma è solo metà della battaglia. È necessario anche essere in grado di analizzare i dati raccolti. Sfortunatamente, gli ambienti IT moderni sono così complessi e affollati che i log spesso diventano troppo grandi per essere esaminati efficacemente e il log di audit può persino sovrascrivere se stesso. Gli strumenti software monofunzione possono aiutare con compiti specifici, ma un insieme di soluzioni non può fornire la visibilità completa di cui hai bisogno per la Data Security.

Con la Netwrix Active Directory Security Solution, puoi proteggere il tuo Active Directory da un capo all'altro. Ti permetterà di:

  • Scopri i rischi per la sicurezza in Active Directory e dai priorità ai tuoi sforzi di mitigazione.
  • Rafforza le configurazioni di sicurezza in tutta la tua infrastruttura IT.
  • Rilevate e contenete tempestivamente minacce avanzate, come DCSync, NTDS.dit extraction e Golden Ticket attacks.
  • Rispondi istantaneamente alle minacce note con opzioni di allerta automatizzate.
  • Minimizza le interruzioni aziendali con un rapido recupero di Active Directory.

FAQ

Come posso abilitare l'audit degli oggetti AD?

Per abilitare l'auditing degli oggetti di Active Directory puoi:

  • Configura una policy di audit sui controller di dominio per registrare gli eventi specificati per tutti gli utenti.
  • Configura un ACL di auditing (SACL) su oggetti specifici per monitorare cambiamenti specifici su di essi.

Come configuro un'impostazione della policy di audit per un controller di dominio?

  1. Apri la console di gestione Criteri di gruppo.
  2. Fare clic con il pulsante destro del mouse sulla Direttiva Controller di Dominio Predefinito e selezionare Modifica.
  3. Naviga fino a Configurazione computer > Criteri > Impostazioni Windows > Impostazioni di sicurezza > Configurazione criteri di controllo avanzato > Criteri di controllo.
  4. Specificare le impostazioni di controllo per ogni categoria di evento che si desidera monitorare e salvare le modifiche.
  5. Aspetta che la policy si aggiorni automaticamente oppure esegui gpupdate sul DC personalmente per aggiornare la policy immediatamente.

Utilizza il Visualizzatore eventi di Windows per visualizzare gli eventi catturati.

Come faccio a configurare l'auditing per specifici oggetti AD?

  1. Apri Active Directory Users and Computers.
  2. Naviga fino all'oggetto che desideri monitorare e aprilo.
  3. Go to the Security tab.
  4. Fai clic sul pulsante Advanced.
  5. Vai alla scheda Auditing.
  6. Clicca Aggiungi.
  7. Seleziona le proprietà che vuoi monitorare.
  8. Click OK to close each window until you are back to the main ADUC screen.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Jeff Melnick

Direttore dell'Ingegneria dei Sistemi

Jeff è un ex Direttore dell'Ingegneria delle Soluzioni Globali presso Netwrix. È un blogger di Netwrix da lungo tempo, nonché relatore e presentatore. Nel blog di Netwrix, Jeff condivide lifehack, consigli e trucchi che possono migliorare notevolmente la tua esperienza di amministrazione del sistema.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza