HOW TO: Abilitare e applicare il controllo della protezione di Windows

Traduzione articoli Traduzione articoli
Identificativo articolo: 300549 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo č stato precedentemente pubblicato con il codice di riferimento I300549
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritta la procedura per abilitare e applicare il controllo della protezione di Windows.

Abilitazione del controllo della protezione di Windows

Č importante proteggere le proprie risorse di informazioni e servizi da accessi non autorizzati rendendole invece disponibili agli utenti autorizzati. In questo articolo viene descritto come utilizzare le funzioni di protezione di Windows 2000 per controllare l'accesso alle risorse.

Č possibile configurare i registri protezione in modo che vengano registrate le informazioni relative agli eventi di accesso a file, directory o server. Il livello di protezione viene impostato utilizzando Criteri controllo in Microsoft Management Console (MMC) e gli eventi sottoposti a controllo vengono registrati nel registro protezione di Windows. Nel registro protezione possono essere registrati eventi di protezione diversi, quali tentativi di accesso riusciti o non riusciti, eventi correlati all'utilizzo delle risorse, quali ad esempio creazione, apertura o eliminazione di file. Č necessario accedere come amministratore per definire gli eventi che dovranno essere registrati e visualizzati nel registro protezione.

IMPORTANTE: prima che sia possibile controllare l'accesso a file e cartelle in Windows 2000, č necessario utilizzare lo snap-in Criteri di gruppo per abilitare l'impostazione Controlla accesso agli oggetti in Criteri controllo. Se infatti questa impostazione non viene abilitata, in fase di configurazione del controllo per file e cartelle verrā visualizzato un messaggio di errore e non verrā eseguito il controllo di alcun file o cartella. Una volta abilitato il controllo in Criteri di gruppo, visualizzare il registro protezione nel Visualizzatore eventi per passare in rassegna eventuali tentativi riusciti o meno di accedere ai file e alle cartelle controllate.

Per abilitare il controllo della protezione di Windows:
  1. Accedere a Windows 2000 utilizzando un account con diritti di amministratore. Se si desidera concedere ad altri utenti i diritti per impostare il controllo, vedere la sezione "Abilitare un altro account per la configurazione del controllo" nella sezione "Riferimenti" al termine di questo articolo.
  2. Assicurarsi che lo snap-in Criteri di gruppo sia installato, in caso contrario installarlo attenendosi alle istruzioni riportate nella sezione "Installare lo snap-in Criteri di gruppo" nella sezione "Riferimenti" al termine di questo articolo.
  3. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Pannello di controllo.
  4. Fare doppio clic su Strumenti di amministrazione.
  5. Fare doppio clic su Criteri di protezione locali per avviare lo snap-in MMC Impostazioni criteri di protezione locali.
  6. Fare doppio clic su Criteri locali per espanderlo, quindi fare doppio clic su Criteri controllo.
  7. Nel riquadro destro fare doppio clic sul criterio da abilitare o disabilitare.
  8. Fare clic sulle caselle di controllo Success (tentativo riuscito di accedere a risorse sottoposte a controllo della protezione) e Fail (tentativo non riuscito di accedere a risorse sottoposte a controllo della protezione) per connessioni e disconnessioni. Ad esempio, con questa impostazione un tentativo riuscito di un utente di connettersi al sistema verrā registrato come evento "Controllo riuscito", mentre il tentativo non riuscito di accedere a un'unitā di rete, verrā registrato come evento "Controllo non riuscito".
  9. Se si imposta il controllo per un server Web che esegue Microsoft Internet Information Services (IIS) versione 5.0, vedere l'elenco dei controlli da impostare nella sezione "Raccomandazioni per il controllo di un server Web che esegue Windows 2000 e IIS 5.0" nella sezione "Riferimenti" al termine di questo articolo.
NOTA: se si č un membro di un dominio e a livello di dominio č definito un criterio, le impostazioni di tale criterio verranno ignorate a favore delle impostazioni del criterio locale.

Se č abilitata Active Directory, gli amministratori potranno controllare l'accesso ad Active Directory, il che determinerā la registrazione nel registro eventi del servizio directory di tentativi di controllo riusciti e non riusciti. Questo registro eventi č presente solo nei controller di dominio Windows 2000.

Per abilitare il controllo di Active Directory:
  1. Accedere a Windows 2000 utilizzando un account con diritti di amministratore. Se si desidera assegnare ad altri utenti diritti di impostazione del controllo, vedere la sezione "Riferimenti" al termine di questo articolo.
  2. Assicurarsi che lo snap-in Criteri di gruppo sia installato, in caso contrario installarlo attenendosi alle istruzioni riportate nella sezione seguente.
  3. Avviare lo snap-in Utenti e computer di Active Directory facendo clic sul pulsante Start, scegliendo Programmi e quindi Strumenti di amministrazione.
  4. Scegliere Caratteristiche avanzate dal menu Visualizza.
  5. Fare clic con il pulsante destro del mouse sul contenitore Controller di dominio, quindi scegliere Proprietā.
  6. Fare clic sulla scheda Criteri di gruppo.
  7. Fare clic sulla scheda relativa ai criteri predefiniti del controller di dominio e scegliere Modifica.
  8. Fare doppio clic sui seguenti elementi per aprirli: Configurazione computer, Impostazioni di Windows, Impostazioni protezione, Criteri locali e Criteri controllo.
  9. Nel riquadro destro aprire Controlla accesso al servizio directory.
  10. Fare clic sulle opzioni appropriate: Controlla tentativi riusciti, Controlla tentativi non riusciti o entrambe.
  11. Se si imposta il controllo per un server Web che esegue Microsoft Internet Information Services (IIS) versione 5.0, vedere l'elenco dei controlli da impostare nella sezione "Raccomandazioni per il controllo di un server Web che esegue Windows 2000 e IIS 5.0" nella sezione "Riferimenti" al termine di questo articolo.
NOTA: in Windows 2000 i controller di dominio eseguono il polling delle modifiche ai criteri ogni cinque minuti. Le modifiche vengono comunicate agli altri controller di dominio presenti nell'organizzazione in base a tale intervallo, a cui va naturalmente aggiunto il tempo necessario per la replica.

NOTA: se le caselle di controllo in Accesso nella finestra di dialogo Voci di controllo non sono disponibili oppure se il pulsante Rimuovi non č disponibile nella finestra di dialogo Impostazioni controllo di accesso, significa che il controllo č stato ereditato dalla cartella superiore. Dato che il registro protezione dispone di una dimensione limitata, č importante selezionare attentamente i file e le cartelle da sottoporre a controllo considerando anche la quantitā di spazio su disco che si desidera destinare al registro protezione. La dimensione massima č definita nel Visualizzatore eventi.

Controllo eventi in Windows 2000 Server

2.1 Impostazione, visualizzazione, modifica o rimozione del controllo di file e cartelle in Windows

Il controllo viene configurato al fine di rilevare e registrare gli eventi relativi alla protezione, ad esempio i tentativi da parte degli utenti di accedere a un file o a una cartella di natura confidenziale. Quando si sottopone a controllo un oggetto, ogni volta che si verifica un determinato tipo di accesso a tale oggetto, viene scritta una voce nel registro controllo di Windows 2000. Č possibile scegliere gli oggetti, le azioni o i tipi di azioni da sottoporre a controllo. Una volta impostato il controllo, č possibile tenere traccia degli utenti che accedono agli oggetti e analizzare le violazioni alla protezione. L'itinerario di controllo consente di visualizzare chi ha eseguito determinate azioni e chi ha tentato di eseguire azioni non autorizzate.

Per impostare il controllo:
  1. Avviare Esplora risorse di Windows facendo clic sul pulsante Start e scegliendo Programmi, Accessori ed Esplora risorse, quindi trovare il file o la cartella da sottoporre a controllo.
  2. Fare clic con il pulsante destro del mouse sul file o sulla cartella, scegliere Proprietā, quindi fare clic sulla scheda Protezione.
  3. Fare clic su Avanzate e scegliere la cartella Controllo.
  4. Eseguire le operazioni appropriate descritte di seguito:
    1. Per impostare il controllo per un nuovo gruppo o un nuovo utente:
      1. Scegliere il pulsante Aggiungi. Nella casella Nome digitare il nome dell'utente da sottoporre a controllo.
      2. Scegliere OK per aprire automaticamente la finestra di dialogo Voci di controllo.
    2. Per visualizzare o modificare il controllo per un gruppo o utente esistente, fare clic sul nome, quindi scegliere Visualizza/Modifica.
    3. Per rimuovere il controllo per un gruppo o utente esistente, fare clic sul nome, quindi scegliere Rimuovi.
  5. In Accesso fare clic su Riuscito, Non riuscito o su entrambi a seconda del tipo di accesso da sottoporre a controllo.
  6. Se si desidera impedire ai file e alle sottocartelle presenti nella struttura di ereditare queste voci di controllo, fare clic per selezionare la casella di controllo Applica queste voci di controllo.

2.2 Controllo di accessi non autorizzati

Č possibile rilevare tentativi di accesso non autorizzato nel registro protezione di Windows. Questi tentativi possono essere visualizzati come voci di registro di avviso o di errore. I registri protezione possono anche essere archiviati e utilizzati in un secondo momento.

Per rilevare possibili problemi della protezione analizzando il registro protezione di Windows:
  1. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Pannello di controllo.
  2. Fare doppio clic su Strumenti di amministrazione, quindi su Gestione computer.
  3. Espandere Utilitā di sistema, quindi Visualizzatore eventi.
  4. Fare clic su Registro protezione.

    NOTA: se non č possibile visualizzare il registro protezione significa che l'account utente che si sta utilizzando non dispone di diritti adeguati per eseguire tale operazione. Questo problema si verifica in quanto i criteri di protezione del dominio hanno la precedenza rispetto ai criteri di protezione locali, il che significa che č possibile essere connessi come amministratore del computer locale, ma non avere comunque accesso al registro protezione del computer. Per ottenere tali diritti, contattare l'amministratore della rete. Per ulteriori informazioni sui criteri di protezione, vedere la documentazione di Windows.
  5. Ispezionare i registri alla ricerca di eventuali eventi di protezione sospetti, tra cui:
    • Tentativi di accesso non validi.
    • Utilizzo non riuscito di privilegi.
    • Tentativi non riusciti di accedere e modificare file bat o cmd.
    • Tentativi di alterare i privilegi di protezione o il registro controllo.
    • Tentativi di arrestare il server.

Operazioni con i registri protezione di Windows

3.1 Archiviare un registro protezione di Windows

Per archiviare un registro protezione di Windows:
  1. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Pannello di controllo.
  2. Fare doppio clic su Strumenti di amministrazione, quindi su Gestione computer.
  3. Espandere Utilitā di sistema, quindi Visualizzatore eventi.
  4. Fare clic su Protezione.
  5. Scegliere Salva file registro con nome dal menu File.
  6. Nella finestra di dialogo Salva con nome fare clic sulla directory in cui si desidera salvare il file, quindi assegnare un nome al file.
NOTA: il registro protezione puō essere salvato come file di eventi (evt), come file di testo (txt) o come file delimitato da virgole (csv).

3.2 Aprire un registro protezione di Windows archiviato

Per aprire un registro protezione di Windows archiviato:
  1. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Pannello di controllo.
  2. Fare doppio clic su Strumenti di amministrazione, quindi su Gestione computer.
  3. Espandere Utilitā di sistema, quindi Visualizzatore eventi.
  4. Scegliere Protezione dal menu File registro.
  5. Scegliere Apri file registro dal menu Azioni.
  6. Nella finestra di dialogo Apri fare clic sul file registro precedentemente salvato oppure cambiare la posizione nell'elenco Cerca per trovare il file.
  7. Nell'elenco Tipo registro fare clic su Protezione.
  8. Scegliere OK per aprire il file nel Visualizzatore.

Precauzioni

Poiché il registro protezione ha una dimensione limitata, selezionare attentamente i file e le cartelle da sottoporre a controllo considerando anche la quantitā di spazio su disco che si desidera destinare al registro protezione. La dimensione massima č definita nel Visualizzatore eventi.

IMPORTANTE: prima che Windows 2000 possa controllare l'accesso a file e cartelle, č necessario utilizzare lo snap-in Criteri di gruppo per abilitare l'impostazione Controlla accesso agli oggetti in Criteri controllo. Se infatti questa impostazione non viene abilitata, in fase di configurazione del controllo per file e cartelle verrā visualizzato un messaggio di errore e non verrā eseguito il controllo di alcun file o cartella. Una volta abilitato il controllo in Criteri di gruppo, visualizzare il registro protezione nel Visualizzatore eventi per passare in rassegna eventuali tentativi riusciti o meno di accedere ai file e alle cartelle controllate.

RIFERIMENTI

Installare lo snap-in Criteri di gruppo

Per poter utilizzare le funzioni di controllo descritte in questo articolo č necessario installare lo snap-in Criteri di gruppo. Questo snap-in non č incluso nella console Gestione computer e pertanto č necessario creare una nuova console appositamente per questo snap-in. Per ulteriori informazioni sull'aggiunta degli snap-in MMC, vedere la documentazione di Windows 2000.

Per creare un nuova console MMC e aggiungere lo snap-in Criteri di gruppo:
  1. Fare clic sul pulsante Start, quindi scegliere Esegui. Nella finestra di dialogo Esegui digitare mmc per avviare la nuova console MMC.
  2. Scegliere Aggiungi/rimuovi snap-in dal menu Console.
  3. Nella finestra di dialogo Aggiungi/rimuovi snap-in scegliere il pulsante Aggiungi.
  4. Nella finestra di dialogo Aggiungi snap-in autonomo fare clic su Criteri di gruppo dall'elenco degli snap-in disponibili. Scegliere il pulsante Aggiungi.
  5. Nella finestra di dialogo Selezione oggetto Criteri di gruppo scegliere Fine per controllare il computer locale oppure Sfoglia per trovare il computer da sottoporre a controllo.
  6. Se si sceglie Sfoglia, passare al punto 7, se si sceglie Fine, passare al punto 9.
  7. Nella finestra di dialogo Ricerca oggetto Criteri di gruppo fare clic sulla scheda Computer, fare clic su Altro computer, cercare il computer da sottoporre a controllo, quindi scegliere OK.
  8. Nella finestra di dialogo relativa alla selezione degli oggetti criteri di gruppo scegliere Fine.
  9. Chiudere la finestra di dialogo Aggiungi snap-in autonomo.
  10. Scegliere OK.
  11. Scegliere Salva dal menu Console per salvare la nuova console sul disco rigido. Questa sarā la console che verrā utilizzata per configurare le funzioni di controllo.

Abilitare un altro account per la configurazione del controllo

Per impostazione predefinita solo i membri del gruppo Administrators dispongono dei privilegi per configurare il controllo. Č tuttavia possibile delegare il compito di configurare il controllo degli eventi server a un altro account utente concedendogli il diritto "Gestisci controllo e registro di protezione" in Criteri di gruppo.

Per abilitare l'account a configurare il controllo:
  1. Nella console dei criteri di gruppo creata espandere i menu elencati di seguito nell'ordine indicato:
    1. Configurazione computer
    2. Impostazioni di Windows
    3. Impostazioni protezione
    4. Criteri locali
    5. Assegnazione diritti utente
  2. Fare clic su Gestisci controllo e registro di protezione, su Azioni e quindi su Protezione.
  3. Nella finestra di dialogo Gestisci controllo e registro di protezione scegliere Aggiungi.

    NOTA: se il pulsante Aggiungi non č disponibile, fare clic per deselezionare la casella di controllo Escludi dal criterio locale per abilitare il pulsante Aggiungi.
  4. Fare clic sull'utente o sul gruppo desiderato nell'elenco e scegliere Aggiungi. Scegliere OK.

Raccomandazioni per il controllo di un server Web che esegue Windows 2000 e IIS 5.0

Nel caso di un computer basato su Windows 2000 Server che esegue IIS 5.0, si consiglia di sottoporre a controllo gli eventi Windows riportati di seguito. "Controlla tentativi riusciti" indica che si č interessati agli eventi riusciti, mentre "Controlla tentativi non riusciti" agli eventi non riusciti. "Attivato" significa che l'evento č sottoposto a controllo, mentre "Disattivato" che non č sottoposto a controllo.

Nell'elenco che segue vengono forniti suggerimenti di controllo per i diversi eventi che possono verificarsi in un computer basato su Windows 2000 che č allo stesso tempo un server Web IIS:
  • Accesso account
    Controlla tentativi riusciti: Attivato

    Controlla tentativi non riusciti: Attivato
  • Gestione account
    Controlla tentativi riusciti: Disattivato

    Controlla tentativi non riusciti: Attivato
  • Accesso al servizio directory
    Controlla tentativi riusciti: Disattivato

    Controlla tentativi non riusciti: Attivato
  • Accesso
    Controlla tentativi riusciti: Attivato

    Controlla tentativi non riusciti: Attivato
  • Accesso agli oggetti
    Controlla tentativi riusciti: Disattivato

    Controlla tentativi non riusciti: Disattivato
  • Modifica criterio
    Controlla tentativi riusciti: Attivato

    Controlla tentativi non riusciti: Attivato
  • Uso del privilegio
    Controlla tentativi riusciti: Disattivato

    Controlla tentativi non riusciti: Attivato
  • Tracciato processo
    Controlla tentativi riusciti: Disattivato

    Controlla tentativi non riusciti: Disattivato
  • Sistema
    Controlla tentativi riusciti: Disattivato

    Controlla tentativi non riusciti: Disattivato

Proprietā

Identificativo articolo: 300549 - Ultima modifica: giovedė 18 marzo 2004 - Revisione: 3.0
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
Chiavi: 
kbhowtomaster kbperformance w2000iis KB300549
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com