Controllo di sicurezza di Windows tramite auditpol e wevtutil

L'audit di sicurezza in Windows È una di quelle attività che, se configurata correttamente, ti fa risparmiare ore di diagnostica e ti aiuta a capire cosa sta realmente succedendo ai tuoi computer e controller di dominio. Schiena comandi chiave, auditpol e wevtutilConsentono di gestire policy di audit granulari e di consultare lo schema degli eventi del canale di sicurezza con precisione chirurgica.

Tuttavia, è meglio non esagerare: attivare gli audit in modo indiscriminato Ciò genera un'enorme quantità di rumore nei log e rende difficile individuare ciò che è rilevante. L'idea è quella di sfruttare la granularità delle sottocategorie disponibile a partire da Windows Vista/Server 2008 per verificare ciò che conta (e solo ciò che conta), mantenendo al contempo la compatibilità con gli ambienti precedenti, ove applicabile.

Cosa sono auditpol e wevtutil e perché utilizzarli?

In poche parole, auditpol.exe Viene utilizzato per visualizzare e modificare i criteri di controllo di Windows per categorie e sottocategorie; mentre wevtutil.exe Consente di interrogare metadati, schemi e autorizzazioni (SDDL) dei canali evento, nonché di esportare, interrogare e gestire i log. Entrambe le operazioni richiedono una console con privilegi elevati per la maggior parte delle operazioni.

Con auditpol è possibile visualizzare la configurazione corrente e abilitare audit granulari. Ad esempio, per elencare tutte le sottocategorie disponibili: auditpol /list /subcategory:*Con wevtutil puoi esaminare i dettagli del provider di sicurezza e scaricare il suo schema di eventi in un file leggibile.

Un paio di compiti di riferimento rapido (con privilegi):

• Elenca tutte le sottocategorie audit di sicurezza:

  auditpol /list /subcategory:*

• Ottieni lo schema dal fornitore di sicurezza (messaggi, attività, livelli):

  wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true > C:\EventosAuditoria.txt

ConsiglioQuesto dump dello schema indica esattamente quali eventi esistono, quali sono i loro ID, come sono composti e su quale canale vengono pubblicati.

Evoluzione dell'auditing: da Windows Server 2003 a 2008 e versioni successive

Nei controller di dominio che eseguono Windows Server 2003, i criteri di controllo tramite GPO (Configurazione computer > Impostazioni di Windows > Criteri locali > Criteri di controllo) venivano utilizzati per abilitare categorie di alto livello come Account Logon o Object Access. Era più grossolano: sufficiente per l'operazione, ma senza la granularità delle sottocategorie.

Con Windows Vista/Server 2008 è diventata realtà la granularità: sottocategorie (ad esempio, Directory Service Replication in DS Access), che puoi visualizzare con

auditpol.exe /get /Categoria:*

Questo miglioramento ti consente di verificare esattamente ciò di cui hai bisogno, riducendo il rumore e aumentando il valore del registro.

Un esempio tipico: se si sta esaminando la replicazione di AD, è possibile attivare solo la sottocategoria Replica del servizio directory invece di tutto l'accesso DS. In questo modo vedrai eventi come 4932 (avvio sincronizzazione) con dettagli DRA di origine/destinazione, nomi NC e USN, tra gli altri dati utili.

Esempio (parafrasato) dell'evento 4932: Sincronizzazione avviata da un contesto di denominazione di Active Directory, con DRA di origine e destinazione, opzioni, ID sessione e USN di inizio. Questi metadati aiutano a tracciare il ciclo di replicazione e a rilevare anomalie.

Autorizzazioni per leggere il registro di sicurezza: gruppo Lettori registro eventi e SDDL

Per leggere il canale di sicurezza senza essere un amministratore, il metodo standard è aggiungere l'account al gruppo. Lettori registro eventi (SID: S-1-5-32-573, abbreviato ER). È la soluzione più semplice ed è solitamente sufficiente, ad esempio, per account di connettori come OpenDNS_Connector.

In scenari meno comuni, quel gruppo non dispone delle autorizzazioni predefinite sul canale di sicurezza. Per verificarlo, utilizzare:

wevtutil gl security

e cercare la linea accesso al canaleche include l'effettivo SDDL. Un esempio di sintassi:

channelAccess: O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)

Puoi anche usare controllo accessi per controllare i permessi.

Nel SDDL, 0x1 sta leggendo, 0x2 scrittura y 0x3 lettura/scritturaVerificare che la voce del gruppo ER abbia almeno 0x1. In caso contrario, modificare le autorizzazioni.

Correzioni frequenti quando mancano le autorizzazioni nel canale di sicurezza

Si wbemtest Si connette ma non mostra alcun evento. Le cause tipiche sono: la policy di audit non registra gli eventi previsti oppure l'account (ad esempio, OpenDNS_Connector) non ha l'autorizzazione per leggere il registro di sicurezza. Da lì, puoi:

Correzione 1: Ripristina i valori predefiniti

Rimuovere l'SDDL personalizzato dal registro per ripristinare le autorizzazioni predefinite del canale: elimina il valore CustomSD de

HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security

Questo metodo è veloce, anche se potrebbe avere effetti sul software che dipende da tale SDDL personalizzato.

Correzione 2: aggiorna SDDL con wevtutil

1) Ottenere le autorizzazioni correnti:

wevtutil gl security

2) Prendi la stringa /ca corrente (esempio):

/ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)

3) Calcola il SID dell'utente (sostituire con il nome reale):

wmic useraccount dove nome='OpenDNS_Connector' ottieni sid

4) Concedi la lettura aggiungendo un ACE alla stringa esistente (sostituisce ):

wevtutil sl security /ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;<SID>)

Con questo, quell'account viene letto dal canale di sicurezza senza concedere ulteriori autorizzazioni all'account.

Correzione 3: tramite GPO

Tramite direttiva di gruppo: concede all'account il diritto di Gestire i registri di controllo e di sicurezza (lettura e scrittura) in:

Configurazione computer \ Criteri \ Impostazioni di Windows \ Impostazioni di sicurezza \ Criteri locali \ Assegnazione diritti utente \ Gestisci registro di controllo e sicurezza

Dopo averlo applicato, esegui gpupdate / force nei DC. Negli ambienti Windows 2003, potrebbe essere possibile I lettori del registro eventi non esistonoQuesto GPO è il metodo principale per tale scenario.

Abilita l'accesso agli oggetti e applica le policy con auditpol

Per registrare l'accesso a file, chiavi di registro o altri oggetti, è necessario attivare il controllo corrispondente. Nei domini classici È possibile farlo dal GPO: Criterio dominio predefinito > Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Criterio di controllo, selezionando Controlla accesso agli oggetti (esito positivo e negativo). Oggi, è consigliabile combinarlo con le sottocategorie di auditpoli.

Una volta modificata la politica, forzarne l'applicazione con:

gpupdate / force

Da quel momento in poi, vedrai gli eventi di accesso agli oggetti, chi ha tentato l'accesso, se ci è riuscito e quando. Queste informazioni sono preziose per indagare su incidenti, conformità e modifiche sensibili.

Query e dumping dello schema di sicurezza con wevtutil

Per verificare quali eventi sono presenti nel provider di audit di sicurezza, eseguire:

wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true > C:\EventosAuditoria.txt

Il file include il nome del fornitoreGUID, file di risorse/messaggi, canali, livelli, attività, codici operativi e l'elenco completo degli ID evento con i relativi messaggi e campi.

Esempio di eventi di sistema di base (parafrasati): 4608 (Avvio di Windows), 4609 (Windows si spegne), 4610 (LSA ha caricato un pacchetto di autenticazione.) Questa tassonomia ti aiuta a mappare rapidamente ciò che devi controllare.

Diagnosi con wbemtest: quando esaminare i permessi e quando esaminare i criteri

Se WBEMTEST (o il connettore) non riesce a connettersi, il problema è solitamente con Autorizzazioni WMI/DCOMSe si connette ma non vede alcun evento, controlla due cose: che il la politica di audit è la registrazione Ciò che ti aspetti e che l'account utilizzato possa leggere il canale di sicurezza (gruppo Lettori registro eventi o SDDL appropriato).

Elenco degli eventi regolari per categoria e sottocategoria

Di seguito è riportato un riferimento pratico degli eventi frequenti suddivisi per sottocategoria, con messaggi riformulati per facilitarne la lettura. I documenti d'identità sono quelli ufficiali e i suoi messaggi sono equivalenti a quelli dello schema Microsoft-Windows-Security-Auditing.

Sottocategoria: Convalida delle credenziali

ID	Messaggio
4774	È stato assegnato un account di accesso.
4775	Non è stato possibile assegnare l'account di accesso.
4776	Il DC ha tentato di convalidare le credenziali dell'account.
4777	Il DC non è riuscito a convalidare le credenziali di un account.

Sottocategoria: Servizio di autenticazione Kerberos

ID	Messaggio
4768	È stato richiesto un TGT di Kerberos.
4771	Pre-autenticazione Kerberos non riuscita.
4772	Richiesta TGT Kerberos non riuscita.

Sottocategoria: Operazioni voucher di servizio Kerberos

ID	Messaggio
4769	È stato richiesto un ticket di servizio Kerberos (TGS).
4770	È stato rinnovato un ticket di servizio Kerberos.
4773	La richiesta del ticket del servizio Kerberos non è riuscita.

Categoria: Gestione account

ID	Messaggio
4783	È stato creato un gruppo di applicazioni di base.
4784	È stato modificato un gruppo di applicazioni di base.
4785	Un membro è stato aggiunto al gruppo delle applicazioni di base.
4786	Un membro del gruppo delle applicazioni di base è stato rimosso.
4787	Un utente non membro è stato aggiunto al gruppo delle applicazioni di base.
4788	Un membro del gruppo delle applicazioni di base è stato rimosso.
4789	Un gruppo di applicazioni di base è stato rimosso.
4790	È stato creato un gruppo di consultazione LDAP.
4791	È stato modificato un gruppo di applicazioni di base.
4792	Un gruppo di query LDAP è stato rimosso.

Sottocategoria: Gestione degli account di squadra

ID	Messaggio
4741	È stato creato un account di squadra.
4742	Un account di squadra è stato modificato.
4743	Un account di squadra è stato eliminato.

Sottocategoria: Gestione del gruppo di distribuzione

ID	Messaggio
4744	È stato creato un gruppo locale con sicurezza disabilitata.
4745	È stato modificato un gruppo locale con sicurezza disabilitata.
4746	Un membro è stato aggiunto al gruppo locale senza protezione.
4747	Un membro di un gruppo locale è stato allontanato senza scorta.
4748	Un gruppo locale senza sicurezza è stato rimosso.
4749	È stato creato un gruppo globale senza sicurezza.
4750	È stato modificato un gruppo globale senza sicurezza.
4751	Un membro è stato aggiunto al gruppo globale senza protezione.
4752	Un membro di un gruppo globale è stato rimosso senza misure di sicurezza.
4753	Un gruppo globale senza sicurezza è stato rimosso.
4759	È stato creato un gruppo universale senza sicurezza.
4760	È stato modificato un gruppo universale senza sicurezza.
4761	Un membro è stato aggiunto al gruppo universale senza protezione.
4762	Un membro del gruppo universale è stato rimosso senza garanzie.

Sottocategoria: Altri eventi di gestione degli account

ID	Messaggio
4739	La direttiva sul dominio è stata modificata.
4782	È stato effettuato l'accesso all'hash della password di un account.
4793	API di verifica della policy sulle password richiamata.

Sottocategoria: Amministrazione del gruppo di sicurezza

ID	Messaggio
4727	È stato creato un gruppo globale con sicurezza.
4728	Un membro è stato aggiunto al gruppo globale con sicurezza.
4729	Un membro del gruppo globale è stato rimosso in sicurezza.
4730	Un gruppo globale è stato rimosso in modo sicuro.
4731	È stato creato un gruppo di sicurezza locale.
4732	Un membro è stato aggiunto al gruppo locale con sicurezza.
4733	Un membro di un gruppo locale è stato portato via insieme alla sicurezza.
4734	Un gruppo locale è stato allontanato in sicurezza.
4735	Un gruppo locale è stato modificato con la sicurezza.
4737	Un gruppo globale è stato modificato con sicurezza.
4754	È stato creato un gruppo universale con sicurezza.
4755	Un gruppo universale è stato modificato con sicurezza.
4756	Un membro è stato aggiunto al gruppo universale con sicurezza.
4757	Un membro del gruppo universale è stato rimosso in sicurezza.
4758	Un gruppo universale è stato eliminato in modo sicuro.
4764	Il tipo di gruppo è stato modificato.

Sottocategoria: Gestione account utente

ID	Messaggio
4720	È stato creato un account utente.
4722	È stato abilitato un account utente.
4723	È stato effettuato un tentativo di modificare la password di un account.
4724	È stato effettuato un tentativo di reimpostare la password di un account.
4725	Un account utente è stato disabilitato.
4726	Un account utente è stato eliminato.
4738	Un account utente è stato modificato.
4740	Un account utente è stato bloccato.
4765	La cronologia SID è stata aggiunta a un account.
4766	Impossibile aggiungere la cronologia SID a un account.
4767	Un account utente è stato sbloccato.
4780	Sono stati definiti gli ACL per gli account nei gruppi di amministratori.
4781	Un account è stato rinominato.
4794	È stato effettuato un tentativo di stabilire la modalità DSRM.
5376	Le credenziali dell'amministratore sono state copiate (Vault/CredMan).
5377	Credenziali di amministratore ripristinate dal backup.

Categoria: Monitoraggio dettagliato

ID	Messaggio
4692	Tentativo di eseguire il backup della chiave di sessione DPAVI.
4693	Tentativo di recupero della chiave di sessione DPAPI.
4694	Tentativo di proteggere i dati verificabili.
4695	Tentativo di rimuovere la protezione dei dati verificabili.

Sottocategoria: Creazione e completamento dei processi

ID	Messaggio
4688	È stato creato un nuovo processo.
4696	Un token primario è stato assegnato a un processo.
4689	Un processo è terminato.

Sottocategoria: Eventi RPC

ID	Messaggio
5712	È stato tentato un tentativo di chiamata RPC.

Categoria: Accesso DS e servizio directory

ID	Messaggio
4928	Per l'AD è stata stabilita un'origine di replicazione NC.
4929	È stata rimossa una sorgente di replica di Active Directory NC.
4930	È stato modificato un NC di origine della replicazione dell'AD.
4931	È stata modificata una destinazione NC della replica AD.
4934	Sono stati replicati gli attributi di un oggetto AD.
4935	È stato avviato un processo di replica con errori.
4936	Un processo di replicazione si è concluso con errori.
4937	Un oggetto persistente è stato rimosso da una replica.
4662	È stata eseguita un'operazione su un oggetto directory.
5136	Un oggetto directory è stato modificato.
5137	È stato creato un oggetto directory.
5138	Un oggetto directory non è stato eliminato.
5139	Un oggetto directory è stato spostato.
4932	La sincronizzazione di un AD NC è iniziata.
4933	La sincronizzazione di un AD NC è terminata.

Categoria: Login/Logout e IPsec

ID	Messaggio
4978	La modalità estesa IPsec ha ricevuto un pacchetto di negoziazione non valido.
4979	Le SA sono state istituite in modo primario ed esteso.
4980	Le SA sono state istituite in modo primario ed esteso.
4981	Le SA sono state istituite in modo primario ed esteso.
4982	Le SA sono state istituite in modo primario ed esteso.
4983	La negoziazione estesa è fallita; l'SA principale è stato rimosso.
4984	La negoziazione estesa è fallita; l'SA principale è stato rimosso.

Sottocategoria: Modalità primaria IPsec

ID	Messaggio
4646	Modalità di mitigazione DoS IKE avviata.
4650	SA è stato stabilito in modalità principale senza modalità estesa; senza certificato.
4651	SA è stato stabilito in modalità principale senza modalità estesa; con certificato.
4652	La negoziazione fallì sostanzialmente.
4653	La negoziazione fallì sostanzialmente.
4655	Si è conclusa una SA primaria.
4976	La negoziazione in modalità principale ha ricevuto un pacchetto non valido.
5049	È stata rimossa una SA IPsec.
5453	Negoziazione IPsec non riuscita perché il servizio IKEEXT non è stato avviato.

Sottocategoria: Modalità veloce IPsec

ID	Messaggio
4654	Una rapida negoziazione IPsec è fallita.
4977	La modalità rapida ha ricevuto un pacchetto di negoziazione non valido.
5451	Fu istituita rapidamente una SA.
5452	Un'indagine SA è stata completata rapidamente.

Sottocategorie: Disconnessione e accesso

ID	Messaggio
4634	Un account è stato disconnesso.
4647	Disconnessione avviata dall'utente.
4624	Un account è connesso.
4625	Accesso non riuscito.
4648	Tentativo di accesso con credenziali esplicite.
4675	È stato applicato il filtraggio SID.

NotaGli eventi del Network Policy Server (NPS) sono disponibili a partire da Windows Vista SP1/Server 2008.

Sottocategoria: Server di criteri di rete (NPS)

ID	Messaggio
6272	NPS ha concesso l'accesso a un utente.
6273	NPS ha negato l'accesso a un utente.
6274	NPS ha respinto la richiesta di un utente.
6275	NPS ha respinto la richiesta di gestione dell'account.
6276	NPS ha messo in quarantena un utente.
6277	L'NPS ha concesso l'accesso con un periodo di prova in caso di mancato rispetto della manutenzione.
6278	A NPS è stato concesso l'accesso completo per la conformità alla manutenzione.
6279	NPS ha bloccato l'account a causa di ripetuti tentativi di accesso non riusciti.
6280	NPS ha sbloccato l'account utente.

Sottocategoria: Altri eventi di accesso/disconnessione

ID	Messaggio
4649	È stato rilevato un attacco riproduttivo.
4778	Riconnessione della sessione alla stazione Windows.
4779	Una sessione della stazione finestra è stata disconnessa.
4800	La postazione di lavoro era bloccata.
4801	La postazione di lavoro era sbloccata.
4802	Lo screensaver è stato attivato.
4803	Lo screensaver si è chiuso.
5378	La delega delle credenziali non è consentita dalla direttiva.
5632	Richiesta di autenticazione della rete Wi-Fi.
5633	Richiesta di autenticazione della rete cablata.

Sottocategoria: Accesso speciale

ID	Messaggio
4964	A gruppi speciali è stato assegnato un nuovo accesso.

Categoria: Accesso agli oggetti e controllo delle risorse

ID	Messaggio
4665	Tentativo di creare il contesto client dell'applicazione.
4666	Un'applicazione ha tentato una transazione.
4667	Il contesto client dell'applicazione è stato rimosso.
4668	Non è stato possibile inizializzare un'applicazione.

Sottocategoria: Servizi di certificazione e OCSP

Eventi chiave dell'Autorità di certificazione (CA) e del risponditore OCSP, rilevanti per ciclo di vita del certificatoPubblicazione CRL, modifiche alla configurazione, backup e ripristino:

ID	Messaggio
4868	L'amministratore del certificato ha negato una richiesta in sospeso.
4869	La CA ha ricevuto una richiesta inoltrata.
4870	La CA ha revocato un certificato.
4871	La CA ha ricevuto una richiesta di pubblicazione della CRL.
4872	La CA ha pubblicato la CRL.
4873	È stata modificata un'estensione della richiesta di certificato.
4874	Gli attributi di una richiesta sono stati modificati.
4875	La CA ha ricevuto una richiesta di chiusura.
4876	Il backup CA è stato avviato.
4877	Il backup dell'aria condizionata è stato completato.
4878	Iniziò il restauro della CA.
4879	Il restauro della CA è completato.
4880	Il servizio CA è iniziato.
4881	Il servizio di aria condizionata è stato interrotto.
4882	I permessi di sicurezza della CA sono stati modificati.
4883	È stata recuperata una chiave archiviata.
4884	Un certificato è stato importato nel database.
4885	Il filtro di controllo CA è stato modificato.
4886	La CA ha ricevuto una richiesta di certificato.
4887	L'autorità di certificazione ha approvato una domanda e rilasciato un certificato.
4888	La CA ha negato una richiesta di certificato.
4889	La CA ha chiesto informazioni sullo stato di una domanda in sospeso.
4890	Sono state modificate le impostazioni dell'amministratore del certificato.
4891	È stata modificata una voce di configurazione AC.
4892	Una proprietà della CA è stata modificata.
4893	La CA ha depositato una chiave.
4894	La CA ha importato e archiviato una chiave.
4895	La CA ha pubblicato il suo certificato su AD DS.
4896	Le righe sono state eliminate dal database dei certificati.
4897	Separazione dei compiti abilitata.
4898	La CA ha caricato un modello.
4899	La CA ha aggiornato un modello.
4900	La sicurezza del modello CA è stata aggiornata.
5120	È stato lanciato il servizio OCSP Responder.
5121	Il servizio OCSP Responder è stato arrestato.
5122	È stata modificata una voce di configurazione in OCSP.
5123	Un'altra voce di configurazione in OCSP è stata modificata.
5124	È stata aggiornata una configurazione di sicurezza OCSP.
5125	È stata inviata una richiesta al servizio OCSP.
5126	L'OCSP ha rinnovato automaticamente il certificato di firma.
5127	Il fornitore della revoca ha aggiornato correttamente le informazioni sulla revoca.

Sottocategoria: Condivisione file

ID	Messaggio
5140	È stato effettuato l'accesso a un oggetto di rete condiviso.

Sottocategoria: File system

ID	Messaggio
4664	Tentativo di creare un collegamento fisico.
4985	Lo stato di una transazione è cambiato.
5051	Un file è stato virtualizzato.

Sottocategorie: Piattaforma di filtraggio Windows (connessioni e pacchetti)

ID	Messaggio
5031	Windows Firewall ha bloccato un'app in ascolto.
5154	WFP ha consentito a un'app di ascoltare su una porta.
5155	WFP ha bloccato l'ascolto su una porta.
5156	Il WFP ha consentito una connessione.
5157	Il WFP ha bloccato una connessione.
5158	WFP ha consentito la connessione a una porta locale.
5159	Il WFP ha bloccato il collegamento a una porta locale.
5152	Il WFP ha bloccato un pacchetto.
5153	Un filtro più restrittivo ha bloccato un pacchetto.

Sottocategorie: Manipolazione degli identificatori e accesso agli oggetti

ID	Messaggio
4656	È stato richiesto un identificatore per un oggetto.
4658	Un identificatore di oggetto è stato chiuso.
4690	Tentativo di duplicare un identificatore di oggetto.
4671	Un'app ha tentato di accedere a un ordinale bloccato tramite TBS.
4691	È stato richiesto l'accesso indiretto a un oggetto.
4698	È stata creata un'attività pianificata.
4699	Un'attività pianificata è stata rimossa.
4700	È stata abilitata un'attività pianificata.
4701	Un'attività pianificata è stata disattivata.
4702	Un'attività pianificata è stata aggiornata.
5888	Un oggetto nel catalogo COM+ è stato modificato.
5889	Un oggetto è stato rimosso dal catalogo COM+.
5890	Un oggetto è stato aggiunto al catalogo COM+.

Sottocategoria: Registro

ID	Messaggio
4657	Un valore nel record è stato modificato.
5039	Una chiave di registro è stata virtualizzata.

Sottocategoria: Speciale multiuso (accesso/cancellazione)

ID	Messaggio
4659	È stato richiesto un identificatore con l'intenzione di eliminarlo.
4660	Un oggetto è stato rimosso.
4661	È stato richiesto un identificatore per un oggetto.
4663	Tentativo di accesso a un oggetto.

Categoria: Cambiamento di politica

ID	Messaggio
4715	Modifica del SACL su un oggetto.
4719	Modifica della politica di controllo del sistema.
4902	La tabella delle regole di controllo è stata creata per ogni utente.
4904	Tentativo di registrare l'origine degli eventi di sicurezza.
4905	Tentativo di ignorare la registrazione della fonte di sicurezza.
4906	CrashOnAuditFail è stato modificato.
4907	Sono state modificate le impostazioni di controllo di un oggetto.
4908	Tabella aggiornata dei gruppi di partenza speciali.
4912	La politica di controllo è cambiata per ogni utente.

Sottocategoria: Modifica della policy di autenticazione

ID	Messaggio
4706	È stato creato un nuovo trust per un dominio.
4707	A un dominio è stato assegnato un nuovo trust.
4713	La direttiva Kerberos è stata modificata.
4716	Le informazioni sul dominio attendibile sono state modificate.
4717	L'accesso al sistema di sicurezza è stato concesso a un account.
4718	L'accesso al sistema di sicurezza è stato revocato da un account.
4864	Rilevata collisione dello spazio dei nomi.
4865	Aggiunta voce di informazioni sulla foresta attendibile.
4866	La voce informativa relativa alla foresta attendibile è stata rimossa.
4867	L'ingresso alla foresta di fiducia è stato modificato.

Sottocategoria: Modifica della politica di autorizzazione

ID	Messaggio
4704	È stato assegnato un diritto utente.
4705	Un diritto utente è stato rimosso.
4714	Modifica alla politica di recupero dei dati crittografati.

Sottocategoria: Modifica della politica della piattaforma di filtraggio

Include Avvio/arresto IPsec, applicazione/caricamento di policy da AD o dal registro locale, errori del motore PAStore e modifiche nei set crittografici, regole e sottolivelli WFP:

4709	Sono stati lanciati i servizi IPsec.
4710	I servizi IPsec sono stati disabilitati.
4711	PAStore ha applicato o non è riuscito ad applicare i criteri IPsec (AD/registro/locale).
4712	IPsec ha rilevato un errore potenzialmente grave.
5040-5048	Modifiche alla configurazione IPsec: set di autenticazione e crittografia, regole di sicurezza della connessione.
5440-5444	Chiamate, filtri, provider, contesti e sottolivelli presenti all'avvio di WFP.
5446, 5448-5450	Modifiche nella chiamata/fornitore/contesto/sottolivello WFP.
5456-5468, 5471-5474, 5477	Applicazione/sondaggio/caricamento di policy IPsec ed errori associati (AD/locale).

Sottocategoria: Modifica della politica a livello di regola MPSSVC

4944-4945	Criteri e regole attivi all'avvio di Windows Firewall.
4946-4948	È stata aggiunta/modificata/eliminata una regola di eccezione del firewall.
4949	Ripristino della configurazione del firewall.
4950-4953	Modifiche alla configurazione/ignora le regole in base alla versione.
4954	GPO firewall applicato.
4956	Modifica del profilo del firewall attivo.
4957-4958	Regole non applicate a causa di incompatibilità/configurazione.
5050	Tentativo di disabilitare il firewall con un'API non supportata.

Sottocategoria: Altri eventi di modifica delle policy

4909-4910	Modifiche ai criteri locali/GPO per TBS.
5063-5070	Operazioni e modifiche nei provider/funzioni crittografiche.
5447	È stato modificato un filtro WFP.
6144	Criterio di sicurezza GPO applicato correttamente.
6145	Errori durante l'elaborazione della policy di sicurezza in GPO.

Sottocategoria: Permessi speciali multiuso

4670	Sono state modificate le autorizzazioni per un oggetto.

Categoria: Uso dei privilegi

4672	Privilegi speciali assegnati al nuovo accesso.
4673	Fu convocato un servizio privilegiato.
4674	Tentativo di operare su un oggetto privilegiato.

Categoria: Eventi di sistema e altri eventi di sistema

4960-4965	Pacchetti IPsec persi a causa di integrità/riproduzione/SPI errati o testo non crittografato.
5478-5485	Avvio/arresto del servizio IPsec, errori critici e interfaccia PnP.
5024-5037	Avvio/arresto/errori del servizio Windows Firewall e del driver.
5058-5059	Operazioni sui file chiave e migrazione dei principali.

Sottocategoria: Modifica dello stato di sicurezza

4608	Windows si sta avviando.
4616	L'ora del sistema è stata modificata.
4621	L'amministratore ha ripristinato il sistema da CrashOnAuditFail.

Sottocategoria: Estensione del sistema di sicurezza

4610	LSA ha caricato un pacchetto di autenticazione.
4611	Processo di accesso affidabile registrato presso LSA.
4614	SAM ha caricato un pacchetto di notifiche.
4622	LSA ha caricato un pacchetto di sicurezza.
4697	Un servizio è stato installato sul sistema.

Sottocategoria: Integrità del sistema

4612	Risorse interne esaurite: perdita di audit.
4615	Utilizzo non valido della porta LPC.
4618	È stato rilevato un modello di eventi di sicurezza monitorati.
4816	RPC ha rilevato una violazione dell'integrità durante la decrittazione.
5038	Integrità del codice: hash dell'immagine non valido o file alterato.
5056	È stato eseguito un test crittografico.
5057	Un'operazione crittografica primitiva non è riuscita.
5060	Operazione di verifica non riuscita.
5061	Operazione crittografica registrata.
5062	Eseguito l'autotest crittografico in modalità kernel.

Comandi di riferimento pratico (console rialzata)

Per elencare le categorie e le sottocategorie di audit:

auditpol /list /subcategory:*

Per visualizzare la configurazione di controllo effettiva:

auditpol /get /category:*

e per esportare lo schema del fornitore di sicurezza in testo:

wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true > C:\EventosAuditoria.txt

Se è necessario controllare il canale di sicurezza tramite SDDL:

wevtutil gl security

e se applicabile, regolare la stringa di accesso:

wevtutil sl security /ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)

Ricordarsi di identificare i SID dell'account con:

wmic useraccount dove name='AccountName' get sid

Negli ambienti con controller di dominio, combinare la sintonizzazione granulare con le sottocategorie utilizzando auditpol e uso giudizioso del GPO Ti consentirà di mantenere i record puliti e significativi, riducendo il tempo di analisi e di miglioramento della qualità della tua ricerca.

La chiave è trovare l'equilibrio: verificare ciò che è necessario (accesso/disconnessione, modifiche di gruppo, accesso a oggetti sensibili, DS/replica, integrità, firewall/WFPe garantire che gli account di servizio che raccolgono i registri Hanno un accesso in lettura adeguato (lettori del registro eventi o SDDL modificato). Con auditpol e wevtutil, questa amministrazione dettagliata viene realizzata senza perdere la compatibilità con le versioni precedenti quando assolutamente necessario.