Monitorare i tentativi di accesso al computer e modificare le sue impostazioni

Per eseguire questa procedura, è necessario essere connessi al computer come amministratore.

Per migliorare il livello di sicurezza del computer è possibile monitorare (o controllare) ciò che avviene sul computer. Attraverso il controllo del computer è possibile scoprire se qualcuno è riuscito ad accedervi oppure ha creato un nuovo account utente, modificato i criteri di sicurezza o aperto un documento. Questo controllo non impedisce a un pirata informatico o a un utente che ha un account sul computer di effettuare modifiche, ma segnala semplicemente quando viene effettuata una modifica e da chi.

Nella tabella seguente sono descritti i diversi tipi di eventi di cui è possibile effettuare il monitoraggio. Se si decide di monitorare uno o più di questi tipi di eventi, Windows li registra in un apposito registro che è possibile consultare tramite Visualizzatore eventi.

Evento Descrizione
Evento

Gestione degli account

Descrizione

Il controllo di questi eventi consente di scoprire se qualcuno ha modificato un nome di account, abilitato o disabilitato un account, creato o eliminato un account, modificato una password o modificato un gruppo di utenti.

Evento

Eventi di accesso

Descrizione

Il controllo di questi eventi consente di scoprire quando qualcuno si connette o si disconnette dal computer (direttamente dal computer stesso o attraverso una rete).

Evento

Accesso al servizio directory

Descrizione

Il controllo di questi eventi consente di scoprire quando qualcuno accede a un oggetto di Active Directory per il quale è stato specificato un elenco di controllo di accesso di sistema (SACL).

Evento

Accesso agli oggetti

Descrizione

Il controllo di questi eventi consente di scoprire se qualcuno ha utilizzato un file, una cartella, una stampante o un altro oggetto. Sebbene sia possibile controllare anche le chiavi del Registro di sistema, non è consigliabile farlo a meno che non si sia particolarmente esperti e non si sappia come utilizzare il Registro di sistema.

Evento

Modifica ai criteri

Descrizione

Il controllo di questi eventi consente di scoprire eventuali tentativi di modificare i criteri di sicurezza locali e se qualcuno ha modificato assegnazioni di diritti utente, criteri di controllo o criteri di attendibilità.

Evento

Uso dei privilegi

Descrizione

Il controllo di questi eventi consente di scoprire quando qualcuno esegue nel computer un'attività che è autorizzato a eseguire.

Evento

Tracciato processo

Descrizione

Il controllo di questi eventi consente di scoprire quando si verificano eventi come l'attivazione di un programma o la chiusura di un processo.

Evento

Eventi di sistema

Descrizione

Il controllo di questi eventi consente di scoprire se qualcuno ha arrestato o riavviato il computer o se un processo o un programma tenta di eseguire un'operazione senza disporre dell'autorizzazione necessaria. Se ad esempio un programma spyware tenta di modificare un'impostazione del computer senza l'autorizzazione dell'utente, il controllo degli eventi di sistema consente di registrare questo tentativo.

Mostra tutto

Per attivare il controllo degli eventi

  1. Per aprire Criteri di protezione locali, fare clic sul pulsante StartImmagine del pulsante Start, digitare secpol.msc nella casella di ricerca e quindi fare clic su secpol. Autorizzazioni di amministratore necessarieQualora venisse richiesto, fornire una password amministratore o una conferma.

  2. Nel riquadro a sinistra fare doppio clic su Criteri locali e quindi fare clic su Criteri controllo.

  3. Fare doppio clic sul tipo di evento che si desidera controllare.

  4. Selezionare la casella di controllo Operazioni riuscite o Operazioni non riuscite oppure entrambe e quindi fare clic su OK.

    • Se si seleziona la casella di controllo Operazioni riuscite, Windows registrerà ogni tentativo riuscito di completare il tipo di evento che si sta monitorando. Se ad esempio si stanno controllando gli eventi di accesso, ogni volta che qualcuno accede al computer viene considerato un evento di accesso riuscito.

    • Se si seleziona Operazioni non riuscite, verrà registrato ogni tentativo non riuscito di accedere al computer.

    • Se si selezionano entrambe le caselle di controllo Operazioni riuscite e Operazioni non riuscite, Windows registrerà tutti i tentativi di accesso.

    Il numero di eventi che può essere registrato non può superare un centro limite e se il registro di controllo diventa troppo grande, potrebbe rallentare il funzionamento del computer. Per creare spazio, è possibile eliminare eventi dal registro mentre sono visualizzati nel Visualizzatore eventi.

Per monitorare chi apre documenti

  1. Fare clic con il pulsante destro del mouse sul documento o sul file di cui si desidera tenere traccia, quindi fare clic su Proprietà.

  2. Fare clic sulla scheda Sicurezza, su Avanzate e quindi sulla scheda Controllo.

  3. Fare clic su Continua. Autorizzazioni di amministratore necessarieQualora venisse richiesto, fornire una password amministratore o una conferma.

  4. Fare clic su Aggiungi.

  5. Nella casella Immettere il nome dell'oggetto da selezionare digitare il nome dell'utente o del gruppo delle cui azioni si desidera tenere traccia e quindi fare clic su OK in tutte e quattro le finestre di dialogo aperte.

    Se si desidera monitorare tutti gli utenti o tutti i gruppi, digitare Everyone. Se si desidera monitorare una determinata persona, digitare il nome del computer seguito dal nome utente della persona oppure il nome del dominio seguito dal nome utente della persona, qualora il computer si trovi in un dominio: computer\nome utente oppure dominio\nome utente.

  6. Selezionare le caselle di controllo relative alle azioni che si desidera controllare, quindi fare clic su OK. Nella tabella seguente vengono descritte le azioni che è possibile controllare.

    Azioni controllabili relative a file

    Azione Descrizione
    Azione

    Visita cartella/Esecuzione file

    Descrizione

    Tiene traccia di quando qualcuno esegue un file di programma.

    Azione

    Visualiz. contenuto cartella/Lettura dati

    Descrizione

    Tiene traccia di quando qualcuno visualizza i dati di un file.

    Azione

    Lettura attributi

    Descrizione

    Tiene traccia di quando qualcuno visualizza gli attributi di un file, ad esempio l'attributo Sola lettura o Nascosto.

    Azione

    Lettura attributi estesi

    Descrizione

    Tiene traccia di quando qualcuno visualizza gli attributi estesi di un file. Gli attributi estesi sono definiti dal programma che ha creato il file.

    Azione

    Creazione file/Scrittura dati

    Descrizione

    Tiene traccia di quando qualcuno modifica il contenuto di un file.

    Azione

    Creazione cartelle/Aggiunta dati

    Descrizione

    Tiene traccia di quando qualcuno aggiunge dati alla fine di un file.

    Azione

    Scrittura attributi

    Descrizione

    Tiene traccia di quando qualcuno modifica gli attributi di un file.

    Azione

    Scrittura attributi estesi

    Descrizione

    Tiene traccia di quando qualcuno modifica gli attributi estesi di un file.

    Azione

    Elimina sottocartelle e file

    Descrizione

    Tiene traccia di quando qualcuno elimina una cartella.

    Azione

    Elimina

    Descrizione

    Tiene traccia di quando qualcuno elimina un file.

    Azione

    Autorizzazioni di lettura

    Descrizione

    Tiene traccia di quando qualcuno legge le autorizzazioni per un file.

    Azione

    Cambia autorizzazioni

    Descrizione

    Tiene traccia di quando qualcuno modifica le autorizzazioni associate a un file.

    Azione

    Diventa proprietario

    Descrizione

    Tiene traccia di quando qualcuno diventa proprietario di un file.

    Nota

    • La selezione della casella di controllo Controllo completo consente di selezionare tutte le azioni controllabili.

Per visualizzare registri di controllo

  1. Per aprire il Visualizzatore eventi, fare clic sul pulsante StartImmagine del pulsante Start, fare clic su Pannello di controllo, Sistema e sicurezza, Strumenti di amministrazione e quindi fare doppio clic su Visualizzatore eventi. Autorizzazioni di amministratore necessarieQualora venisse richiesto, fornire una password amministratore o una conferma.

  2. Nel riquadro a sinistra fare doppio clic su Registri di Windows e quindi fare clic su Sicurezza.

  3. Fare doppio clic su un evento per visualizzarne i dettagli.

Nota

  • Per eliminare registri, fare clic su Cancella registro nel riquadro Azioni.

Per ulteriori informazioni sul controllo di sicurezza, inclusi i criteri di controllo dettagliati, vedere la relativa pagina nel sito Web Microsoft.