Monitorare i tentativi di accesso al computer e modificare le sue impostazioni
Per eseguire questa procedura, è necessario essere connessi al computer come amministratore.
Per migliorare il livello di sicurezza del computer è possibile monitorare (o controllare) ciò che avviene sul computer. Attraverso il controllo del computer è possibile scoprire se qualcuno è riuscito ad accedervi oppure ha creato un nuovo account utente, modificato i criteri di sicurezza o aperto un documento. Questo controllo non impedisce a un pirata informatico o a un utente che ha un account sul computer di effettuare modifiche, ma segnala semplicemente quando viene effettuata una modifica e da chi.
Nella tabella seguente sono descritti i diversi tipi di eventi di cui è possibile effettuare il monitoraggio. Se si decide di monitorare uno o più di questi tipi di eventi, Windows li registra in un apposito registro che è possibile consultare tramite Visualizzatore eventi.
|
Evento
| |
Descrizione
|
|
Gestione degli account
| |
Il controllo di questi eventi consente di scoprire se qualcuno ha modificato un nome di account, abilitato o disabilitato un account, creato o eliminato un account, modificato una password o modificato un gruppo di utenti.
|
|
Eventi di accesso
| |
Il controllo di questi eventi consente di scoprire quando qualcuno si connette o si disconnette dal computer (direttamente dal computer stesso o attraverso una rete).
|
|
Accesso al servizio directory
| |
Il controllo di questi eventi consente di scoprire quando qualcuno accede a un oggetto di Active Directory per il quale è stato specificato un elenco di controllo di accesso di sistema (SACL).
|
|
Accesso agli oggetti
| |
Il controllo di questi eventi consente di scoprire se qualcuno ha utilizzato un file, una cartella, una stampante o un altro oggetto. Sebbene sia possibile controllare anche le chiavi del Registro di sistema, non è consigliabile farlo a meno che non si sia particolarmente esperti e non si sappia come utilizzare il Registro di sistema.
|
|
Modifica ai criteri
| |
Il controllo di questi eventi consente di scoprire eventuali tentativi di modificare i criteri di sicurezza locali e se qualcuno ha modificato assegnazioni di diritti utente, criteri di controllo o criteri di attendibilità.
|
|
Uso dei privilegi
| |
Il controllo di questi eventi consente di scoprire quando qualcuno esegue nel computer un'attività che è autorizzato a eseguire.
|
|
Tracciato processo
| |
Il controllo di questi eventi consente di scoprire quando si verificano eventi come l'attivazione di un programma o la chiusura di un processo.
|
|
Eventi di sistema
| |
Il controllo di questi eventi consente di scoprire se qualcuno ha arrestato o riavviato il computer o se un processo o un programma tenta di eseguire un'operazione senza disporre dell'autorizzazione necessaria. Se ad esempio un programma spyware tenta di modificare un'impostazione del computer senza l'autorizzazione dell'utente, il controllo degli eventi di sistema consente di registrare questo tentativo.
|
-
Per aprire Criteri di protezione locali, fare clic sul pulsante Start
, digitare secpol.msc nella casella di ricerca e quindi fare clic su secpol.
Qualora venisse richiesto, fornire una password amministratore o una conferma.
-
Nel riquadro a sinistra fare doppio clic su Criteri locali e quindi fare clic su Criteri controllo.
-
Fare doppio clic sul tipo di evento che si desidera controllare.
-
Selezionare la casella di controllo Operazioni riuscite o Operazioni non riuscite oppure entrambe e quindi fare clic su OK.
-
Se si seleziona la casella di controllo Operazioni riuscite, Windows registrerà ogni tentativo riuscito di completare il tipo di evento che si sta monitorando. Se ad esempio si stanno controllando gli eventi di accesso, ogni volta che qualcuno accede al computer viene considerato un evento di accesso riuscito.
-
Se si seleziona Operazioni non riuscite, verrà registrato ogni tentativo non riuscito di accedere al computer.
-
Se si selezionano entrambe le caselle di controllo Operazioni riuscite e Operazioni non riuscite, Windows registrerà tutti i tentativi di accesso.
Il numero di eventi che può essere registrato non può superare un centro limite e se il registro di controllo diventa troppo grande, potrebbe rallentare il funzionamento del computer. Per creare spazio, è possibile eliminare eventi dal registro mentre sono visualizzati nel Visualizzatore eventi.
-
Fare clic con il pulsante destro del mouse sul documento o sul file di cui si desidera tenere traccia, quindi fare clic su Proprietà.
-
Fare clic sulla scheda Sicurezza, su Avanzate e quindi sulla scheda Controllo.
-
Fare clic su Continua.
Qualora venisse richiesto, fornire una password amministratore o una conferma.
-
Fare clic su Aggiungi.
-
Nella casella Immettere il nome dell'oggetto da selezionare digitare il nome dell'utente o del gruppo delle cui azioni si desidera tenere traccia e quindi fare clic su OK in tutte e quattro le finestre di dialogo aperte.
Se si desidera monitorare tutti gli utenti o tutti i gruppi, digitare Everyone. Se si desidera monitorare una determinata persona, digitare il nome del computer seguito dal nome utente della persona oppure il nome del dominio seguito dal nome utente della persona, qualora il computer si trovi in un dominio: computer\nome utente oppure dominio\nome utente.
-
Selezionare le caselle di controllo relative alle azioni che si desidera controllare, quindi fare clic su OK. Nella tabella seguente vengono descritte le azioni che è possibile controllare.
Azioni controllabili relative a file
|
Azione
| |
Descrizione
|
|
Visita cartella/Esecuzione file
| |
Tiene traccia di quando qualcuno esegue un file di programma.
|
|
Visualiz. contenuto cartella/Lettura dati
| |
Tiene traccia di quando qualcuno visualizza i dati di un file.
|
|
Lettura attributi
| |
Tiene traccia di quando qualcuno visualizza gli attributi di un file, ad esempio l'attributo Sola lettura o Nascosto.
|
|
Lettura attributi estesi
| |
Tiene traccia di quando qualcuno visualizza gli attributi estesi di un file. Gli attributi estesi sono definiti dal programma che ha creato il file.
|
|
Creazione file/Scrittura dati
| |
Tiene traccia di quando qualcuno modifica il contenuto di un file.
|
|
Creazione cartelle/Aggiunta dati
| |
Tiene traccia di quando qualcuno aggiunge dati alla fine di un file.
|
|
Scrittura attributi
| |
Tiene traccia di quando qualcuno modifica gli attributi di un file.
|
|
Scrittura attributi estesi
| |
Tiene traccia di quando qualcuno modifica gli attributi estesi di un file.
|
|
Elimina sottocartelle e file
| |
Tiene traccia di quando qualcuno elimina una cartella.
|
|
Elimina
| |
Tiene traccia di quando qualcuno elimina un file.
|
|
Autorizzazioni di lettura
| |
Tiene traccia di quando qualcuno legge le autorizzazioni per un file.
|
|
Cambia autorizzazioni
| |
Tiene traccia di quando qualcuno modifica le autorizzazioni associate a un file.
|
|
Diventa proprietario
| |
Tiene traccia di quando qualcuno diventa proprietario di un file.
|
-
Per aprire il Visualizzatore eventi, fare clic sul pulsante Start, fare clic su Pannello di controllo, Sistema e sicurezza, Strumenti di amministrazione e quindi fare doppio clic su Visualizzatore eventi.
Qualora venisse richiesto, fornire una password amministratore o una conferma.
-
Nel riquadro a sinistra fare doppio clic su Registri di Windows e quindi fare clic su Sicurezza.
-
Fare doppio clic su un evento per visualizzarne i dettagli.
Per ulteriori informazioni sul controllo di sicurezza, inclusi i criteri di controllo dettagliati, vedere la relativa pagina nel sito Web Microsoft.
