Il tuo indirizzo IP è 162.158.62.204     

Log amministratori di sistema su Windows

Scritto da Alessio Carta il . Inserito in Windows Server . Visite: 28957

Le nuove prescrizioni riguardanti il trattamento dei dati, introdotte con un provvedimento del 27 novembre 2008 ("Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema") e rese obbligatorie tramite proroga a partire dal 15 Dicembre 2009, prevedono l'obbligo di conservare gli "access log" riguardanti gli amministratori di sistema per almeno sei mesi in archivi immodificabili e inalterabili. Con tali obblighi, l'individuazione degli amministratori di sistema riveste un’elevata importanza, diventando una delle scelte fondamentali all'interno di un'azienda. Le nuove misure nascono dalla volontà di assicurare un maggiore controllo su chi di fatto interagisce con informazioni critiche aziendali ed effettua attività che ricadono nella definizione di "trattamento di dati personali", adempimenti tipici dell’operato degli amministratori di sistema e già richiamati all'interno dell'allegato B del Codice Privacy.

I log generati dai sistemi di autenticazione contengono generalmente riferimenti allo "username" utilizzato, alla data e all'ora dell'evento (timestamp), una descrizione dell'evento con informazioni sul sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato.

I log devono avere le caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità; le registrazioni devono avere i riferimenti temporali certi e la descrizione dell'evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi. La caratteristica di completezza è riferita all'insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali. L'analisi dei rischi aiuta a valutare l'adeguatezza delle misure di sicurezza in genere, e anche delle misure tecniche per garantire attendibilità ai log qui richiesti.

 

Il provvedimento del Garante  prevede, come forma minima di documentazione dell'uso di un sistema informativo, la generazione dei log degli "accessi" ( login) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare un regime rigoroso di registrazione degli usage data dei sistemi informativi. Il provvedimento non chiede in alcun modo che vengano registrati dati sull'attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema.

 

Relativamente all'obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client, intesi come "postazioni di lavoro informatizzate". In linea di massima tale requisito può essere soddisfatto tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l'uso di strumenti software o hardware aggiuntivi. Per coloro che gestiscono la loro rete tramite un dominio Microsoft, il tracciamento degli accessi effettuato con gli Event Viewer dei controller di dominio è sufficiente. Per il mondo Linux le cose si complicano poiché i log di Linux sono dei file di testo editabili. Ad ogni modo il Garante suggerisce nella FAQ n. 4 che “sarà con valutazione del titolare che dovrà essere considerata l'idoneità degli strumenti disponibili oppure l'adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l'utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell'integrità delle registrazioni”, mentre nella FAQ n.12 afferma che, essendo la caratteristica di inalterabilità dei log già disponibile nei più diffusi sistemi operativi (questo è vero per i log criptati e non editabili di Windows, non  per quelli di Linux), il requisito può essere soddisfatto esportando periodicamente i dati di log su supporti di memorizzazione non riscrivibili, affinché non vengano sovrascritti prima di 6 mesi.

 

Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del Codice e con i principi della protezione dei dati personali, il requisito del provvedimento è comunque soddisfatto.

 

Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate. Per tutti i DB Server dove è possibile un accesso diretto al DB, ad esempio tramite una console di amministrazione, occorre tracciare gli access log. Per le versione complete dei vari Oracle e MS SQL server i log di accesso sono all’interno del DB, criptati con un sistema simile a quello dei log di Windows e non vengono mai sovrascritti: ogni volta che si effettua il backup del DB vengono salvati anche i log. Al contrario per le versioni “Express” di questi DB non è prevista una gestione dei log simile a quella appena descritta. Nei DB Server appartenenti al mondo open source (es. Mysql e Firebird) i log di sistema sono dei files di testo, per cui si presentano le stesse problematiche che affliggono i sistemi operativi open.

 

L'accesso a livello applicativo non rientra nel perimetro degli adeguamenti, in quanto l'accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati.

 

Implementare il provvedimento su Windows

Vediamo ora come utilizzare le funzionalità di controllo di Windows Server per tracciare le attività degli utenti sia a livello di singolo sistema che a livello di dominio Active Directory, in funzione del Provvedimento del Garante appena descritto.

Tutti gli eventi di sicurezza dei sistemi Windows sono registrati nel Registro di Protezione del Visualizzatore Eventi (Event Viewer Security log). I criteri di controllo possono essere configurati per i soli controller di dominio o per tutte le macchine dell’intero dominio. Nel primo caso la console di gestione è raggiungibile dagli Strumenti di Amministrazione, Criterio di protezione del controller di dominio, Criteri Locali, Criteri di Controllo. Nel secondo caso, dagli Strumenti di Amministrazione bisogna scegliere la voce Criterio di protezione del dominio, le voci successive sono le stesse.

 

Gli eventi di auditing possono essere divisi in due categorie:

  • Operazioni riuscite (Success Events): indicano operazioni completate con successo dal sistema operativo
  • Operazioni non riuscite (Failure Events): indicano tentativi di operazioni non riusciti

 

 

I criteri di controllo da attivare (vanno attivate sia le operazioni riuscite che quelle non riuscite) per soddisfare i requisiti minimi richiesti dal Garante sono:

 

  • Controlla eventi accesso account (Account Logon Events) – consente di tenere traccia degli eventi relativi all’accesso ed alla disconnessione degli utenti nel dominio. Infatti quando un utente tenta di accedere al dominio utilizzando un account di dominio, viene registrato un evento di tipo Accesso Account (Account Logon) nel controller di dominio, non nel computer in cui è stato effettuato il tentativo di accesso. Questo comportamento è dovuto al fatto che l'autenticazione viene effettuata dal controller di dominio.

  • Controlla eventi di accesso (Logon Events) - Questa impostazione di protezione specifica se controllare o meno ogni evento di accesso o disconnessione dal sistema in uso. In pratica, quando un utente locale viene autenticato da un computer, viene generato un evento di accesso, registrato nel registro di protezione del computer stesso. Ci si può facilmente confondere tra Eventi di accesso ed Eventi di accesso account: la differenza è che nel primo caso gli eventi sono generati nella macchina in cui viene utilizzato l'account, nel secondo caso sono generati nella macchina che autentica l'account (controller di dominio). Ad esempio, se sono attivate sia la categoria Controlla eventi accesso account che la categoria Controlla eventi di accesso, per gli accessi che utilizzano un account di dominio verrà generato sia un evento di accesso account sul controller di dominio, sia un evento di accesso o di fine sessione sul PC.

 

Ciascuna voce di registro è classificata per tipo e contiene un'intestazione e una descrizione dell'evento.

 

system_event

 

L'intestazione evento contiene le seguenti informazioni relative all'evento:

  • Data: data in cui si è verificato l'evento.
  • Ora: ora in cui si è verificato l'evento.
  • Utente: nome dell'utente connesso quando si è verificato l'evento.
  • Computer: nome del computer su cui si è verificato l'evento.
  • ID evento: numero che identifica il tipo di evento. L'ID permette di entrare nel dettaglio sull'analisi di un determinato evento. Ad esempio, relativamente ad un accesso, possiamo sapere se si tratta di un accesso via rete, di un accesso in terminal, etc..
  • Origine: origine dell'evento. Può essere il nome di un programma, di un componente di sistema o di un singolo componente di un'applicazione di grandi dimensioni.
  • Tipo: può essere uno dei cinque tipi tra Errore, Avviso, Informazione, Operazioni riuscite oppure Operazioni non riuscite.
  • Categoria: classificazione dell'evento basata sull'origine.

 

ID relativi agli eventi di accesso account (account logon), registrati sui controller di dominio

 

ID Evento

Descrizione

672

È stato rilasciato e convalidato un ticket AS (Authentication Service).

 

673

È stato concesso un ticket TGS (Ticket Granting Service).

 

674

Un'identità di protezione ha rinnovato un ticket AS o TGS.

 

675

Autenticazione preliminare non riuscita. Questo evento viene generato in un Centro distribuzione chiave (KDC) quando l'utente digita una password errata.

 

676

Richiesta di ticket di autenticazione non riuscita.

 

677

Non è stato concesso un ticket TGS.

 

678

L'account è stato associato a un account di dominio.

 

681

Errore di accesso. È stato effettuato un tentativo di accesso di un account di dominio.

 

682

L'utente si è riconnesso a una sessione di Terminal Server disconnessa.

 

683

L'utente ha interrotto la sessione di Terminal Server senza disconnettersi.

 

 

 

 

ID relativi agli eventi di accesso sulle singole macchine (logon events)

 

 

ID Evento

 

Descrizione

528

Un utente si è connesso al computer. Nell'evento viene indicato anche il tipo di accesso, indicato da un valore "type" secondo la tabella riportata di seguito:


Tipo di accesso

Titolo dell'accesso

Descrizione

2

Interattivo

Un utente si è connesso al computer.

3

Rete

Un utente o un computer si sono connessi a questo computer dalla rete.

4

Batch

Il tipo di accesso batch viene utilizzato dai server batch, dove possono essere eseguiti processi per conto di un utente senza richiederne l'intervento diretto.

5

Servizio

È stato avviato un servizio da Gestione controllo servizi.

7

Sblocco

La workstation è stata sbloccata.

8

Testo non crittografato in rete

Un utente si è connesso a questo computer dalla rete. La password dell'utente è stata inoltrata al pacchetto di autenticazione in un formato privo di hash. L'autenticazione predefinita crea pacchetti di tutte le credenziali con hash prima di inviarle attraverso la rete. Le credenziali non attraversano la rete in formato solo testo.

9

Nuove credenziali

Un chiamante ha clonato il token corrente e ha specificato nuove credenziali per le connessioni in uscita. La nuova sessione di accesso possiede la stessa identità locale, ma utilizza credenziali diverse per le altre connessioni di rete.

10

RemoteInteractive

Un utente si è connesso in remoto a questo computer utilizzando Servizi terminal o Desktop remoto.

11

CachedInteractive

Un utente si è connesso a questo computer con credenziali di rete archiviate localmente nel computer. Il controller di dominio non è stato contattato per verificare le credenziali.


 

529

Errore di accesso. È stato effettuato un tentativo di accesso con un nome utente sconosciuto o con un nome utente noto ma password errata.

 

530

Errore di accesso. È stato effettuato un tentativo di accesso con un account utente oltre il tempo consentito.

 

531

Errore di accesso. È stato effettuato un tentativo di accesso con un account disattivato.

 

532

Errore di accesso. È stato effettuato un tentativo di accesso con un account scaduto.

 

533

Errore di accesso. È stato effettuato un tentativo di accesso da parte di un utente non autorizzato all'accesso al computer.

 

534

Errore di accesso. L'utente ha tentato di connettersi con un tipo di accesso non consentito.

 

535

Errore di accesso. La password dell'account specificato è scaduta.

 

536

Errore di accesso. Il servizio Accesso rete non è attivo.

 

537

Errore di accesso. Il tentativo di accesso non è riuscito per altri motivi.

In alcuni casi, il motivo dell'errore di accesso può essere sconosciuto.

538

È stato completato il processo di disconnessione per un utente.

 

539

Errore di accesso. L'account è stato bloccato durante il tentativo di accesso.

 

540

Un utente si è connesso alla rete.

 

541

È stata completata l'autenticazione IKE (Internet Key Exchange) in modalità principale tra il computer locale e l'identità peer elencata, stabilendo così un'associazione di protezione, oppure è stato definito un canale di dati con la modalità rapida.

 

542

È stato terminato il canale di dati.

 

543

È stata terminata la modalità principale. Questo evento può verificarsi in seguito alla scadenza dell'intervallo dell'associazione di protezione (l'impostazione predefinita è 8 ore), a modifiche di criteri o alla chiusura del peer.

544

L'autenticazione in modalità principale non è riuscita perché il peer non ha fornito un certificato valido oppure la firma digitale non è stata convalidata.

 

545

L'autenticazione in modalità principale non è riuscita per un errore Kerberos o per una password non valida.

 

546

L'associazione di protezione IKE non è riuscita perché il peer ha inviato una proposta non valida. È stato ricevuto un pacchetto contenente dati non validi.

 

547

Si è verificato un errore durante l'handshake IKE.

 

548

Errore di accesso. L'ID di protezione (SID) di un dominio attendibile non corrisponde al SID dell'account di dominio del client.

 

549

Errore di accesso. Tutti i SID corrispondenti a spazi dei nomi non attendibili sono stati esclusi con un filtro durante l'autenticazione tra insiemi di strutture.

 

550

Messaggio di notifica che potrebbe indicare un possibile attacco di tipo Denial of service.

 

551

L'utente ha avviato il processo di disconnessione.

 

552

L'utente si è connesso a un computer utilizzando credenziali esplicite mentre era già connesso come utente diverso.

 

682

L'utente si è riconnesso a una sessione di Terminal Server disconnessa.

 

683

L'utente ha interrotto la sessione di Terminal Server senza disconnettersi. Questo evento viene generato quando l'utente è connesso a una sessione di Terminal Server in rete. Viene visualizzato sul server terminal.

 

Esportazione e conservazione dei LOG

Il Garante prevede, come forma minima di documentazione dell'uso di un sistema informativo, l'archiviazione dei log per almeno sei mesi, in condizioni di ragionevole sicurezza e con strumenti adatti. Nella FAQ n. 4 si dice che “sarà con valutazione del titolare che dovrà essere considerata l'idoneità degli strumenti disponibili oppure l'adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata ...”.

Il requisito può essere soddisfatto esportando periodicamente i dati di log su supporti di memorizzazione non riscrivibili, tramite script o manualmente, affinché non vengano sovrascritti prima di 6 mesi. In alternativa esistono soluzioni open-source e commerciali.

Una soluzione che consiglio è quella di EventLog Analyzer, della ManageEngine, una soluzione commerciale web-based ed agentless per la gestione dei syslog e degli event log. EventLog Analyzer raccoglie, analizza, archivia e genera report sugli event log generati da host Windows e syslog da hosts UNIX, Router & Switches ed altri dispositivi. Ne esiste una versione FREE per la gestione di un massimo di 5 host.

A questo punto, per una soluzione a costo zero, sarebbe sufficiente catturare i log generati sui controller di dominio (gli ID dal 528 al 540 e dal 672 al 683) e mettere sotto il controllo del programma i soli controller di dominio e l'eventuale file-server.  Per rendere il tutto a norma, bisognerebbe inserire, sul DPS aziendale e sull'informativa da consegnare agli utenti, l'assoluto divieto di conservare dati sensibili sulle postazioni client. In generale, tutti i dati dovrebbero essere salvati esclusivamente sul file-server sottoposto al monitoraggio dei log.

 

Carattristiche
Analisi e archiviazione degli EventLog e dei Syslog
Supporto per sistemi Windows, UNIX/Linux, AS/400 e dispositivi di rete, e qualunque dispositivo Syslos
Application Log Management: MSSQL, Oracle, VMWare, IIS W3C WebServer & FTP, DHCP
Report Access Log: Logon, Logoff, Logon Attempts
Inalterabilità e protezione dei Log: Hashing, Timestamping e crittografia
Reports predefiniti e possibilità di creare nuovi report personalizzabili
Trend Analysis
Access Log: raccolta, analisi, archiviazione e reporting
Report specifici richiesti dalle normative GLBA, HIPAA, PCI, SOX, e legge sulla privacy
Allarmi, notifiche(email, SMS) ed esecuzione di script/programmi
SNMP traps
Analisi dei log per la sicurezza
Possibilità di schedulare la generazione e l’invio dei report
Esportazione report in diversi formati
Dashboard per l’amministratore con gli indicatori principali
Interfaccia web-based
AgentLess
Supporto per MSSQL e MySQL come backend DB
Filtri degli eventi e compressione degli archivi
Pianificazione della raccolta degli eventi
Report per utenti privilegiati
Ricerca Avanzata degli eventi
Importazione pianificata dei log remoti via FTP/SFTP
Raccolta dei log generati nei periodi di downtime del log collector
Rebranding
Viste personalizzate e viste differenziate per utente
Autenticazione integrate con AD
IBM AS/400: analisi dei log, filtri, Report, Alert, Archiviazione e Import

Commenti  

# Alim 2017-03-23 17:35
Prova AEROADMIN, io uso 3 anni. È veloce e, soprattutto, sicuro per il telecomando.
Rispondi

Aggiungi commento


Codice di sicurezza
Aggiorna

Utilizzando questo sito accetti l'uso di cookie per analisi, contenuti personalizzati e pubblicità mirata (tramite Google AdSense). Clicca qui per maggiori informazioni