Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

log con EVENTQUERY.VBS per privacy

Problemi con i sistemi operativi di casa Microsoft? Questa è la sezione che fa per te!

log con EVENTQUERY.VBS per privacy

Messaggioda EMILLENNIUM » lun gen 11, 2010 2:12 pm

Ciao a tutti,
sono nuovo e ho un bell'argomento: il decreto sulla PRIVACY.

non ditemi che son fuori tema perché la cosa è strettamente legata a Win_SRV 2003 / 2008.

Il decreto dice che siamo obbligati a tracciare i passi di login e logout dell'amministratore in un file log.
Questo lo si può fare abbastanza semplicemente attraverso il comando da prompt EVENTQUERY.VBS .

Fondamentalmente funziona tipo i filtri dell'event viever di WindowsSRV.

Ora.. le mia domande:
- qual è l'Event ID con il quale windows identifica il login e logout di un utente?
- Esistono degli EventID con i quali si distinguono le connessioni locali e quelle remote?


In alterntativa, per capire, ho bisogno di sapere come riuscire a registrare in un log file i movimenti dell'amministratore (xciò un utente del dominio) da che terminale si è collegato, a dove si è collegato, magari il modo (remoto o diretto), Data e ora...

So che nella comunità c'è gente veramente preparata.. Vi prego, non interessa solo a me, è una disposizione di legge.. pleasssseeee!!

Ringrazio in anticipo tutti..
Avatar utente
EMILLENNIUM
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: lun gen 11, 2010 11:26 am

Re: log con EVENTQUERY.VBS per privacy

Messaggioda crazy.cat » lun gen 11, 2010 2:27 pm

Nell'attesa che arrivi Al3x che forse è più preparato di me su queste cose, avevi visto queste due pagine se trovi qualcosa di utile?
http://technet.microsoft.com/en-us/libr ... 42436.aspx
http://support.microsoft.com/kb/174074
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: log con EVENTQUERY.VBS per privacy

Messaggioda EMILLENNIUM » mar gen 12, 2010 8:41 am

..ok, aspetto Al3x..
Avatar utente
EMILLENNIUM
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: lun gen 11, 2010 11:26 am

Re: log con EVENTQUERY.VBS per privacy

Messaggioda Al3x » mar gen 12, 2010 6:04 pm

Onestamente mi cogli impreparato su questo aspetto peraltro delicatissimo e sul quale discutevo con me stesso (è sì, di tanto in tanto mi pongo dei quesiti e provo a darmi delle risposte [:D] ) proprio un paio di giorni fa.
In sostanza parte tutto dal fatt oche per come è concepita l'architettura dei sistemi Microsoft, un administrator ha poteri inferiori solo all'utente System e questo gli da, con delle opportune conoscenze, la possibilità di coprire (se non quasi tutte) parte delle proprie tracce di attività svolte in un dominio.

Ritengo questo sia un limite preoccupante e non mi risulta ci sia un meccanismo che gli impedisca di fare il bello ed il cattivo tempo. Molto dipende dalla rete in cui si opera e se non ci sono delle regole e limiti adeguati, si fanno danni anche usando un computer che non si trova in dominio e che usa un account di amministratore locale. Io nel mio caso gestisco tutte le macchine a dominio e che sono di mia compentenza, da una workstation in workgroup senza grossi problemi.

Ora venendo al punto, oltre al logging degli accessi (sia remoti che locali) sarebbe opportuno monitorare anche la cancellazione degli stessi file di log, lo stop&start di alcuni servizi, le modifiche delle regole di auditing che nel complesso danno un quadro dell'eventuale attività truffaldina di un amministratore disonesto. Mi sono sempre posto il problema intravedendo una soluzione che suona un poco come una pezza ma che potrebbe essere valida: il salvataggio dei log in un server che non sia a dominio, ma del quale solo il responsabile (non l'admin) abbia le credenziali di accesso. Potrebbe benissimo trattarsi di un log server Linux ma non ho mai messo in pratica questa idea.

Se parliamo di obblighi di legge e si vuol semplicemente stare in regola (la farsa dei DPS è sotto gli occhi di tutti), credo che ravanando nella rete si trovi qualcosa in merito.
Qui potresti avere qualche indicazione anche se immagino tu abbia già letto
http://www.anipa.it/index.php?option=co ... d=1:ultime

Altro discorso è non voler passare da fessi ed effettuare un controllo degno di questo nome, e per questo credo che la soluzione migliore sia l'uso di programmi di terze parti che permettano la gestione di questi dati in maniera slegata dalle attività e dalla sfera di azione dell'amministratore di sistema.
Uno di questi è un prodotto della GFI nota principalmente per un network/vulnerability scanner che faceva furore parecchi anni fa
http://www.gfi-italia.com/eventsmanager
Nelle versioni passate l'archiviazione dei log era affidata a MSSQL, ora credo abbiano esteso il supporto ad altri DB ma la cosa importante è che l'admin non abbia le credenziali per l'acceso al programma e al motore di database altrimenti è solo una presa per i fondelli.

So bene di non averti proposto una vera soluzione ma spero in qualche modo di esserti stato comunque di aiuto
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/


Torna a Sistema Operativo

Chi c’è in linea

Visitano il forum: Nessuno e 15 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising