Presenza ripetuta degli ID evento 560 e 562 nel registro eventi di protezione

Traduzione articoli Traduzione articoli
Identificativo articolo: 841001 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Dopo avere configurato i criteri di gruppo o i criteri di protezione locali affinché controllino l'accesso a un oggetto, nel registro eventi di protezione compaiono molti eventi simili ai seguenti:

Origine evento: Protezione
Categoria evento: Accesso agli oggetti
ID evento: 560
Data: data
Ora: ora
Tipo: Operazioni riuscite
Utente: ESEMPIO\nomeutente
Computer: nome_computer
Descrizione:
Apertura oggetto:
Server oggetto: Protezione
Tipo oggetto: Tipo_Oggetto
Nome oggetto: Tipo_Oggetto
Nuovo ID dell'handle: 104
ID operazione: {0,252360}
ID processo: 1156
Nome utente primario: nomeutente
Dominio primario: ESEMPIO
ID di accesso primario: (ID_accesso)
Nome utente client:
Dominio client:
ID di accesso client:
Accessi
<Elenco degli accessi>
Privilegi



Origine evento: Protezione
Categoria evento: Accesso agli oggetti
ID evento: 562
Data: data
Ora: ora
Tipo: Operazioni riuscite
Utente: ESEMPIO\nomeutente
Computer: nome_computer
Descrizione:
Handle chiuso:
Server oggetto: Protezione
ID dell'handle: 104
ID processo: 1156


Questi eventi compaiono se per l'oggetto che si sta controllando non è stato configurato l'elenco di controllo di accesso di protezione (SACL). Gli eventi vengono inoltre registrati se l'elenco SACL è stato configurato ma non per tutti gli accessi elencati. Gli eventi vengono ad esempio registrati se un utente o un programma legge una sottochiave del Registro di sistema e non è stata selezionata la casella di controllo Controllo lettura o Query valore nella voce di controllo relativa a tale sottochiave.

Nota Per ulteriori informazioni su come configurare il controllo, vedere la sezione "Informazioni".

Cause

Questo problema può verificarsi in presenza di una delle seguenti condizioni:
  • Si attiva l'impostazione Controlla l'accesso degli oggetti di sistema globale dei criteri di protezione locali. Se si attiva questa impostazione, vengono generati molti eventi di controllo, che in genere sono eventi di protezione di origine con ID evento 560 e con tipo di oggetto evento, mutante, processo, sezione, semaforo, thread o token. Questi eventi sono interessanti solo per uno sviluppatore di sistemi. In genere l'impostazione Controlla l'accesso degli oggetti di sistema globale dei criteri di protezione locali non è attivata.
  • Si attiva il controllo in un controller di dominio. Se si attiva il controllo in un controller di dominio, vengono generati eventi di controllo che di solito contengono riferimenti ai seguenti tipi di oggetto:
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    Questi eventi indicano che gli oggetti SAM (Gestione account di protezione, Security Accounts Manager) hanno elenchi di controllo di accesso di protezione (SACL) e che è in corso una notevole attività SAM. Generalmente questi eventi hanno luogo solo in un controller di dominio.
  • Si utilizza un'applicazione che apre troppo spesso gli oggetti soggetti a controllo o che li apre con un accesso di livello superiore a quello richiesto dall'applicazione stessa. Ad esempio, l'applicazione richiede l'accesso con controllo completo mentre è sufficiente l'accesso in sola lettura. Quando si manifesta questo comportamento, possono essere generati eventi in cui il processo di riferimento è sempre la stessa applicazione.

Risoluzione

Per risolvere il problema, utilizzare uno dei metodi seguenti:

Metodo 1

Disattivare l'impostazione Controlla l'accesso degli oggetti di sistema globale dei criteri di protezione locali se precedentemente attivata. A questo scopo, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare gpedit.msc, quindi scegliere OK.
  2. Individuare la seguente voce:
    Radice console\Criteri Computer locale\Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Opzioni di protezione
  3. Fare doppio clic sul criterio Controlla l'accesso degli oggetti di sistema globale, fare clic su Disabilitati in Impostazioni criteri locali, quindi scegliere OK.
  4. Scegliere Esci dal menu Console, quindi riavviare il computer.

Metodo 2

Utilizzare lo snap-in ADSI Edit per rimuovere le voci soggette a controllo dell'elenco SACL relativo a un oggetto SAM qualora sia stato attivato il controllo in un controller di dominio. A questo scopo, attenersi alla procedura descritta di seguito.

Nota Lo snap-in ADSI Edit si trova nella cartella Support del CD di Windows 2000.

Avviso Se si utilizza lo snap-in ADSI Edit, l'utilità LDP o qualsiasi altro client LDAP versione 3 e si modificano in modo errato gli attributi degli oggetti di Active Directory, potrebbero insorgere gravi problemi che possono richiedere la reinstallazione di Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 o di Windows ed Exchange. Microsoft non garantisce che i problemi derivanti dall'errata modifica degli attributi di oggetti di Active Directory possano essere risolti. La modifica di tali attributi è a rischio e pericolo dell'utente.
  1. Accedere al controller di dominio mediante un account con credenziali di amministratore del dominio.
  2. Fare clic sul pulsante Start, scegliere Esegui, digitare adsiedit.msc, quindi scegliere OK.
  3. Nella console di gestione di ADSI Edit fare clic con il pulsante destro del mouse su ADSI Edit e scegliere Connect to.
  4. Nella finestra di dialogo Connection verificare che sia selezionata l'opzione Distinguished Name, quindi digitare quanto segue nel campo Distinguished Name:
    CN=Server,CN=System,DC=Nome_Dominio,DC=Estensione_Dominio.
  5. Selezionare l'opzione Default (Domain or Server that you logged in to) e scegliere OK.
  6. Nella console di gestione di ADSI Edit fare clic con il pulsante destro del mouse sulla cartella CN=Server,CN=System,DC=Nome_Dominio,DC=Estensione_Dominio, quindi scegliere Properties.
  7. Nella finestra di dialogo delle proprietà di CN=Server,CN=System,DC=Nome_Dominio,DC=Estensione_Dominio fare clic sulla scheda Security.
  8. Fare clic su Advanced, quindi scegliere la scheda Auditing.
  9. Deselezionare la casella di controllo Allow inheritable auditing entries from parent to propagate to this object.
  10. Quando viene visualizzato il messaggio riportato di seguito, scegliere Remove.

    You are preventing any inheritable auditing entries from propagating to this object. What do you want to do?
  11. Scegliere OK due volte per salvare l'impostazione e chiudere la finestra di dialogo delle proprietà di CN=Server,CN=System,DC=Nome_Dominio,DC=Estensione_Dominio.

Metodo 3

Configurare l'applicazione personalizzata affinché apra gli oggetti soggetti a controllo solo quando necessario. Ad esempio, configurare l'applicazione personalizzata affinché richieda solo l'accesso minimo necessario. Se l'applicazione personalizzata richiede solo l'accesso in lettura per uno specifico oggetto, assegnare solo l'accesso in lettura. In questo caso, non è necessario l'accesso con controllo completo.

Informazioni

In Windows 2000 il controllo è implementato in base all'accesso richiesto da un utente o da un programma. Se un utente o un programma accede a un oggetto con un account che ha un livello controllabile di accesso all'oggetto, in Windows viene generato il corrispondente evento di controllo. Se ad esempio si configura un programma con accesso in scrittura a un oggetto ed è stato configurato il controllo per gli eventi di scrittura, viene generato un evento di controllo di scrittura quando il programma accede all'oggetto. Questo comportamento ha luogo anche se il programma non esegue un'operazione di scrittura in una sottochiave del Registro di sistema. In questo caso tale evento di controllo viene generato perché il programma è potenzialmente in grado di scrivere in un oggetto.

In Windows è implementato questo metodo di controllo per rispettare gli standard di certificazione Common Criteria e, precedentemente, gli standard di certificazione C2. Per ulteriori informazioni sui requisiti di controllo C2, vedere la guida A Guide to Understanding Audit in Trusted Systems disponibile in lingua inglese al seguente indirizzo:
http://www.fas.org/irp/nsa/rainbow/tg001.htm
La sezione 6.1.1 di questa guida è dedicata agli eventi controllabili e contiene i due seguenti eventi controllabili:
  • Introduzione di oggetti nello spazio degli indirizzi di un utente
  • Eliminazione di oggetti dallo spazio degli indirizzi di un utente
In Windows, l'ID evento 560 rappresenta il primo evento, mentre l'ID evento 562 rappresenta il secondo evento.

Per ulteriori informazioni sugli standard di certificazione Common Criteria, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/windows2000/techinfo/planning/commoncriteria.asp
Per ulteriori informazioni sul controllo delle chiavi del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
315416 Utilizzo dei Criteri di gruppo per controllare le chiavi del Registro di sistema in Windows 2000
Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
816915 Nuovo schema di assegnazione dei nomi per i pacchetti di soluzioni rapide di Microsoft Windows
824684 Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft
Microsoft fornisce informazioni su come contattare altri produttori allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono soggette a modifica senza preavviso. Microsoft non si assume alcuna responsabilità sull'accuratezza delle informazioni relative al contatto con altri produttori.

Proprietà

Identificativo articolo: 841001 - Ultima modifica: lunedì 16 aprile 2007 - Revisione: 2.3
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
Chiavi: 
kbbug kbfix kbqfe kbenv kbeventlog kbprb kbwin2000presp5fix KB841001
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com