Re: [ml] Attivare l' Audit sui file in windows xp

koba@xxxxxxxxxxxxx wrote:

> stavo approfondendo l'hardening di windows xp nella fattispecie e ho scaricato dal sito MS la "Windows Xp Security Guide"..ma non mi funge l'audit su file...dove sbaglio? :P
>  
prima di tutto: non aspettarti granchè. L'auditing viene fatto solo e 
unicamente in corrispondenza di due eventi: apertura di un file, 
chiusura di un file. Questo genera tonnellate di falsi positivi e falsi 
negativi - file aperti in scrittura ma mai realmente scritti, o file 
aperti in esecuzione, mappati in memoria e letti indirettamente, ecc. 
Per non parlare della quantità *industriale* di log generati in 
generale, fasulli o validi che siano - esaminare il log a mano è un 
interessante esercizio in autolesionismo...

Aiuta molto conoscere il modello di sicurezza e di gestione del 
namespace degli oggetti di Windows per interpretare il log e in generale 
capire l'auditing - *la* lettura consigliata è ovviamente il libro di 
Russinovich e Solomon, "Microsoft Windows Internals"

> per cominciare vado su pannello di controllo->strumenti di amministrazione->criteri di controllo locali->criteri locali->criteri controllo
>  
o start->run->"secpol.msc" :-)

> per prova ho chiuso esplora risorse e l'ho riaperto, ho provato ad aprire il txt..ma nell' event log non appare alcun log con ID 560 come mi sarei aspettato e come dice anche sotto la guida.
>  
stai controllando il log giusto, vero? e hai controllato che le 
impostazioni di auditing fossero state salvate? perchè io ho provato 
(Windows Server 2003 SP1) e funziona