I sistemi operativi Windows dispongono di strumenti che ci consentono di eseguire più azioni sul sistema operativo come limitare l'accesso, impedire la modifica del programma, nascondere elementi di sistema e molto altro.
Una delle opzioni più pratiche e fondamentali per effettuare una corretta gestione del sistema è verificare quale utente ha effettuato l'accesso al sistema per verificare se sono state apportate modifiche non autorizzate da qualcuno in particolare o mantenendo un controllo dettagliato per le attività di gestione, controllo o sicurezza.
Solvetic analizzerà come possiamo osservare quali utenti hanno avuto accesso al sistema operativo con informazioni di accesso dettagliate. Con il seguente video tutorial potrai aiutarti, tramite audit, a verificare chi e a che ora ha effettuato l'accesso a un computer che gestisci e quindi prevenire o risolvere problemi di sicurezza in Windows 10.
1. Abilita il controllo dell'accesso in Windows 10
Il primo passaggio da eseguire è abilitare la registrazione degli eventi associati agli avvii, che per impostazione predefinita è disabilitata in Windows. Per questo dobbiamo accedere all'editor dei criteri di gruppo che è disponibile solo per le edizioni Pro, Enterprise ed Education di Windows 10, le versioni Pro ed Enterprise di Windows 7 e Windows 8.
Passo 1
Per accedervi utilizzeremo la seguente combinazione di tasti e nella finestra visualizzata eseguiremo il comando gpedit.msc. Premiamo Invio o Accetta.
+ R
gpedit.msc
Passo 2
Nella finestra visualizzata andiamo al seguente percorso:
- Configurazione dell'attrezzatura
- Impostazioni di Windows
- Impostazioni di sicurezza
- Direttive locali
- Direttiva sull'audit
INGRANDIRE
Passaggio 3
Nella colonna di destra selezioneremo la policy denominata Verifica eventi di accesso, faremo doppio clic su di essa e verrà visualizzata la seguente finestra in cui possiamo attivare due tipi di eventi di accesso:
CorrettoQuando la sessione inizia senza intoppi
SbagliatoQuando la password o l'utente vengono immessi in modo errato e la sessione non può essere avviata
Passaggio 4
Fare clic su Applica e OK per salvare le modifiche. Possiamo vedere che la configurazione è stata eseguita correttamente:
INGRANDIRE
2. Accedi agli eventi di accesso in Windows 10
Il prossimo passo è accedere al Visualizzatore eventi che tutte le edizioni di Windows portano per analizzare i rispettivi accessi.
Passo 1
Per accedere al visualizzatore eventi, in questo caso in Windows 10, abbiamo le seguenti alternative:
Passo 2
Una volta che accediamo al Visualizzatore eventi, andiamo nel percorso "Registri / Sicurezza di Windows" e vedremo quanto segue:
INGRANDIRE
Passaggio 3
In questo visualizzatore dobbiamo concentrarci sul codice 4624 che è associato agli accessi e quando lo localizziamo possiamo fare doppio clic su di esso per conoscerne le informazioni in dettaglio:
Possiamo trovare dettagli come
- Nome della squadra
- Dominio a cui appartiene
- ID evento selezionato
- Livello di priorità dell'evento
- Utente
- Data e ora in cui è stato eseguito l'accesso al sistema
- Equipaggiamento interessato
Nella parte superiore possiamo visualizzare molti più dettagli associati all'account
Passaggio 4
Se non vogliamo cercare manualmente gli ID associati ai login, è possibile creare una vista personalizzata che filtri solo quell'evento. Per questo facciamo clic sul pulsante Crea visualizzazione personalizzata e selezioniamo l'opzione Sicurezza nella casella Registri eventi e inseriamo l'ID nel rispettivo campo:
Passaggio 5
Fare clic su OK, assegneremo un nome a detta vista e potremo vedere tutti gli eventi di quel particolare ID:
INGRANDIRE
Con questo processo potremo conoscere nel dettaglio quale utente e in quale data esatta ha avuto accesso al sistema per prendere le misure necessarie.
