Il monitoraggio dell'accesso alle risorse controllate e delle eventuali modifiche apportate ai criteri di autorizzazione consente di tenere traccia di possibili problemi di sicurezza, di garantire l'affidabilità dell'utente e di offrire prove in caso di violazione della sicurezza.

Tipi di controllo

Con Gestione autorizzazioni è possibile utilizzare due tipi di controllo: il controllo in fase di esecuzione e il controllo delle modifiche all'archivio autorizzazioni.

Controllo in fase di esecuzione

Il controllo in fase di esecuzione include due aspetti:

  • Controllo dell'inizializzazione delle applicazioni in fase di esecuzione, che genera controlli all'apertura di un'applicazione.

  • Controllo di verifica dell'accesso e del contesto client in fase di esecuzione, che genera controlli alla creazione di un contesto client e ogni volta che il client richiede un controllo di accesso. Le verifiche di accesso sono basate sul metodo AccessCheck descritto nella sezione relativa all'autorizzazione di Platform SDK. Per ulteriori informazioni sulle API correlate alle autorizzazioni, vedere la pagina relativa all'autorizzazione (https://go.microsoft.com/fwlink/?linkid=64031).

È possibile configurare il controllo in fase di esecuzione per la registrazione delle operazioni riuscite, delle operazioni non riuscite o di entrambi i tipi.

Controllo delle modifiche all'archivio autorizzazioni

Se si abilita il controllo delle modifiche all'archivio autorizzazioni, i controlli vengono generati ogni volta che viene modificato l'archivio autorizzazioni. Il controllo comprende la registrazione di tutti gli eventi, sia in caso di operazioni riuscite che non riuscite.

Per il controllo delle modifiche all'archivio autorizzazioni, Gestione autorizzazioni supporta il file system NTFS (per gli archivi autorizzazioni basati su XML), Servizi di dominio Active Directory, Active Directory Lightweight Directory Services e Microsoft SQL Server.

Individuare gli eventi di controllo

Per visualizzare gli eventi di controllo generati da Gestione autorizzazioni, aprire i registri eventi nel computer appropriato:

  • Gli eventi di controllo in fase di esecuzione vengono registrati nel registro sicurezza del computer client in cui viene eseguita l'applicazione.

  • Gli eventi di controllo delle modifiche all'archivio autorizzazioni vengono registrati nel registro sicurezza in cui si trova l'archivio stesso.

    • Nel caso di un archivio autorizzazioni basato su XML, i record di controllo sono disponibili nel Visualizzatore eventi del computer in cui è fisicamente archiviato il file XML.

    • Nel caso di un archivio autorizzazioni che utilizza Servizi di dominio Active Directory o Active Directory Lightweight Directory Services, i record si trovano nel Visualizzatore eventi del controller di dominio o del server Active Directory Lightweight Directory Services a cui è stato effettuato l'accesso.

    • Nel caso di un archivio autorizzazioni basato su SQL, i record si trovano nel Visualizzatore eventi del computer che ospita SQL Server.

Disponibilità del controllo

La disponibilità del controllo dipende dai seguenti fattori:

  • Se l'archivio autorizzazioni è basato su Servizi di dominio Active Directory, Active Directory Lightweight Directory Services, XML o SQL.

  • Se il controllo viene configurato a livello di archivio di autorizzazioni, di applicazione o di ambito.

Nella tabella riportata di seguito è descritta la disponibilità dei due tipi di controllo.

Livello Controllo in fase di esecuzione disponibile in Controllo in fase di esecuzione configurabile a questo livello in Controllo delle modifiche all'archivio autorizzazioni disponibile in

Archivio autorizzazioni

  • XML

  • Servizi di dominio Active Directory e Active Directory Lightweight Directory Services

  • SQL Server

  • XML

  • Servizi di dominio Active Directory e Active Directory Lightweight Directory Services

  • SQL Server

  • XML

  • Servizi di dominio Active Directory e Active Directory Lightweight Directory Services

  • SQL Server

Applicazione

  • XML

  • Servizi di dominio Active Directory e Active Directory Lightweight Directory Services

  • SQL Server

  • XML

  • Servizi di dominio Active Directory e Active Directory Lightweight Directory Services

  • SQL Server

  • Servizi di dominio Active Directory e Active Directory Lightweight Directory Services

  • SQL Server

Ambito

  • XML

  • Servizi di dominio Active Directory e Active Directory Lightweight Directory Services

  • SQL Server

Non disponibile (configurato a livello di applicazione)

  • Servizi di dominio Active Directory e Active Directory Lightweight Directory Services

  • SQL Server

Per utilizzare il controllo è necessario selezionare la casella di controllo appropriata nella scheda Controllo. Per attivare il controllo in fase di esecuzione, selezionare la casella di controllo Controllo inizializzazione applicazione in fase di esecuzione. Per attivare il controllo delle modifiche all'archivio autorizzazioni, selezionare la casella di controllo Controllo contesto client e verifica accesso in fase di esecuzione.

Configurare il sistema per consentire il controllo

Prima di implementare il controllo, è necessario stabilire un criterio di controllo. Un criterio di controllo specifica le categorie di eventi di sicurezza che si desidera controllare. Per impostazione predefinita, quando si installa Windows per la prima volta tutte le categorie di controllo sono disabilitate.

Per determinare le applicazioni e gli ambiti da controllare, è necessario disporre del privilegio Gestione file registro di controllo e di sicurezza nel computer in cui si trova l'archivio di autorizzazioni. A tale scopo, è in genere necessario effettuare l'accesso come membro del gruppo Administrators predefinito oppure specificare la password di un amministratore quando viene richiesta.

Se l'archivio autorizzazioni è basato su XML, è necessario specificare il controllo dell'accesso agli oggetti. Se l'archivio autorizzazioni è basato su Servizi di dominio Active Directory o Active Directory Lightweight Directory Services, è necessario specificare il controllo dell'accesso al servizio di directory.

Per generare controlli di verifica dell'accesso e del contesto client in fase di esecuzione, gli utenti di applicazioni che utilizzano Gestione autorizzazioni devono disporre del privilegio Generazione di controlli di sicurezza. Se l'utente dell'applicazione non dispone di tale privilegio, non verrà registrato alcun evento di controllo.

Abilitare il controllo dell'accesso agli oggetti

Per impostazione predefinita, il controllo dell'accesso agli oggetti è disattivato. Per attivare questo tipo di controllo, è necessario utilizzare Criteri di gruppo a livello del dominio, del controller di dominio o di un'altra unità organizzativa applicabile in Servizi di dominio Active Directory o Active Directory Lightweight Directory Services. È inoltre possibile utilizzare i criteri di sicurezza locale.

Se l'archivio autorizzazioni basato su XML risiede in un controller di dominio, la posizione più appropriata per l'attivazione del controllo dell'accesso agli oggetti è l'oggetto Criteri di gruppo Criterio controller di dominio predefiniti. Se l'archivio autorizzazioni basato su XML si trova in una workstation o in un server membro, è possibile modificare l'oggetto Criteri di gruppo locale del computer in modo da impostare il criterio di sicurezza locale, ma tali impostazioni saranno valide soltanto fino al successivo aggiornamento delle impostazioni di sicurezza di Criteri di gruppo. Questo può rivelarsi utile se si generano i controlli una sola volta. Se invece si prevede di generare controlli di sicurezza con regolarità, è consigliabile modificare un altro oggetto Criteri di gruppo applicabile al computer tramite Servizi di dominio Active Directory.

Per abilitare il controllo dell'accesso agli oggetti, configurare gli oggetti seguenti:

  • Per un computer locale

    1. Aprire l'Editor Criteri di gruppo locali.

    2. Nell'albero della console fare doppio clic su Configurazione computer, Impostazioni di Windows, Impostazioni sicurezza, Criteri locali e Criteri controllo.

    3. Fare clic su Controlla accesso agli oggetti.

    4. Nel riquadro dei dettagli selezionare le caselle di controllo Definisci le impostazioni relative ai criteri, Operazioni riuscite e Operazioni non riuscite.

  • Solo per i controller di dominio

    1. Fare clic sul pulsante Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi fare doppio clic su Criterio di sicurezza del controller di dominio.

    2. Nell'albero della console fare doppio clic su Configurazione computer, Impostazioni di Windows, Impostazioni sicurezza, Criteri locali e Criteri controllo.

    3. Fare clic su Controlla accesso agli oggetti.

    4. Nel riquadro dei dettagli selezionare le caselle di controllo Definisci le impostazioni relative ai criteri, Operazioni riuscite e Operazioni non riuscite.

  • Per un dominio o un'unità organizzativa

    1. Aprire la Console Gestione Criteri di gruppo.

    2. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera controllare e quindi scegliere Modifica.

    3. Nell'albero della console fare doppio clic su Configurazione computer, Criteri, Impostazioni sicurezza, Criteri locali e Criteri controllo.

    4. Fare clic su Controlla accesso agli oggetti.

    5. Nel riquadro dei dettagli selezionare le caselle di controllo Definisci le impostazioni relative ai criteri, Operazioni riuscite e Operazioni non riuscite.

Ulteriori considerazioni

  • Per poter modificare le impostazioni dei criteri basati sul dominio è necessario installare la Console Gestione Criteri di gruppo. Tale console è una funzionalità aggiuntiva di Windows Server 2008 che può essere installata utilizzando Server Manager.

  • Se si modifica l'oggetto Criteri di gruppo locale, la casella di controllo Definisci le impostazioni relative ai criteri non verrà visualizzata nell'Editor Criteri di gruppo locali. Verrà visualizzata solo se si modificano oggetti Criteri di gruppo archiviati in Servizi di dominio Active Directory.

  • Se le caselle di controllo Operazioni riuscite e Operazioni non riuscite non sono disponibili, è probabile che la casella di controllo Definisci le impostazioni relative ai criteri sia stata selezionata tramite criteri di sicurezza operanti a un livello superiore nella struttura di Servizi di dominio Active Directory. In questo caso, è necessario individuare il punto in cui è stata selezionata la casella di controllo Definisci le impostazioni relative ai criteri e deselezionarla. Per trovare questa impostazione, esaminare gli oggetti Criteri di gruppo relativi al computer in questione.

Abilitare il controllo dell'accesso al servizio di directory

Per impostazione predefinita, il controllo dell'accesso al servizio di directory è disattivato. Per attivarlo, è necessario utilizzare Criteri di gruppo a livello del dominio, del controller di dominio o di un'altra unità organizzativa applicabile in Servizi di dominio Active Directory.

Per abilitare il controllo dell'accesso agli oggetti, espandere i nodi seguenti: Configurazione computer, Impostazioni di Windows, Impostazioni sicurezza, Criteri locali, Criteri controllo e quindi fare doppio clic su Controlla accesso al servizio directory.

Selezionare le caselle di controllo Definisci le impostazioni relative ai criteri, Operazioni riuscite e quindi Operazioni non riuscite.

Ulteriori considerazioni

  • Se le caselle di controllo Operazioni riuscite e Operazioni non riuscite non sono disponibili, è probabile che la casella di controllo Definisci le impostazioni relative ai criteri sia stata selezionata tramite criteri di sicurezza operanti a un livello superiore in Servizi di dominio Active Directory. In questo caso, è necessario individuare il punto in cui è stata selezionata la casella di controllo Definisci le impostazioni relative ai criteri e deselezionarla. Per trovare questa impostazione, esaminare gli oggetti Criteri di gruppo relativi al controller di dominio.

  • Dopo avere modificato gli oggetti Criteri di gruppo, eseguire il comando gpupdate per rendere immediatamente effettive le modifiche.

Controllo abilitato per ereditarietà

Qualsiasi controllo impostato per ereditarietà viene eseguito indipendentemente dall'impostazione locale. Nel caso di un archivio autorizzazioni memorizzato in Servizi di dominio Active Directory, ad esempio, i criteri di controllo possono essere ereditati da un'unità organizzativa padre di Servizi di dominio Active Directory. Nel caso di un archivio autorizzazioni basato su XML, vengono applicati i criteri di controllo della cartella contenente il file XML.


Argomenti della Guida