www.MegaLab.it

Molto spesso sento chiedere se esistono modi, programmi o trucchi per tenere d'occhio un utente in un sistema al fine di scoprire i movimenti che compie all'interno di Windows.

Non è né un trucco e neanche un programma, ma è una funzione interna a Windows, che prende il nome di SACL (Security Access Control List).

In questo articolo quindi vedremo come:

• Controllare quando un utente esegue l'accesso al sistema
• Controllare quando un utente si disconnette dal sistema
• Controllare quando un utente apre file/cartelle
• Controllare quando un utente crea o modifica file/cartelle
• Controllare quando un utente elimina file/cartelle
• Configurare all'utente tali permessi.

Attiviamo il controllo sugli oggetti e sugli accessi

Per prima cosa eseguiamo secpol.msc, andiamo su Criteri locali e selezioniamo Criteri di controllo.

Quello che compare sulla destra è una lista di ciò che potremmo abilitare al controllo, ossia di eventi che, se abilitati al log, verranno registrati nel Visualizzatore Eventi.

Quello che interessa a noi è poter controllare gli eventi di accesso (accesso e disconnessione al sistema) e l'accesso agli oggetti (esecuzione file, modifica, cancellazione ecc..).

Quindi in quelle due voci abilitiamo il log sia delle operazioni riuscite, sia di quelle non riuscite:

Dato l'OK chiudiamo secpol.msc e dirigiamoci nella cartella che vogliamo monitorare, andiamo sulle sue Proprietà, poi nella scheda Protezione e clicchiamo sul pulsante Avanzate, quindi spostiamoci ancora nella scheda Controllo. Ed è in questo pannello che possiamo abilitare il SACL, in pratica gli eventi che vogliamo registrare.

Pigiamo il tasto Aggiungi, nella finestra che compare clicchiamo su Avanzate, poi clicchiamo ancora su Trova... seguirà l'elencazione di tutti gli utenti e gruppi del nostro sistema.:

Scegliamo quindi il nostro utente da controllare e diamo l'OK.

Ci ritroveremo alla finestra precedente (quella delle voci di controllo SACL), dove ora, nell'apposito spazio è comparso l'utente scelto. Selezioniamo quella voce e clicchiamo su Modifica, comparirà una lista di eventi da controllare, dove li selezioneremo tutti, (sia riusciti che non riusciti).

Diamo OK ed usciamo. La configurazione è terminata. Ora il sistema registrerà gli eventi dell'utente in questione.

Visualizziamo gli eventi

Ora che abbiamo configurato il sistema per registrare gli eventi prodotti dall'utente, andiamo a controllare i log, dirigiamoci nel Visualizzatore Eventi eseguendo eventvwr.exe dal menu Esegui.

La lista degli eventi in questione è nel registro Protezione e gli eventi sono divisi in Operazioni Riuscite e Operazioni Non riuscite.

Mostrerò ora come si presenta la descrizione per ogni evento.

Controllare quando l'utente ha effettuato l'accesso a Windows

La categoria di tale evento è Accesso/fine sess. e normalmente il numero di evento è 551.

Ecco la descrizione dell'evento:

La Descrizione inizia con Accesso alla rete.

Possiamo vedere tutte le caratteristiche dell'evento (in questo caso ci interesserebbe solamente la data e l'ora dell'accesso) .

Controllare quando l'utente si disconnette da Windows (equivale all'arresto del sistema)

Questo evento risulta ovviamente nella stessa categoria della prima (Accesso/fine sess.) come medesimo è il numero di evento (551), ecco la descrizione dell'evento di chiusura del sistema:

Controllare quando un utente crea o modifica un file

La categoria di tale evento è Accesso agli oggetti e la descrizione dell'evento è la seguente.

Tipo evento: Operazioni riuscite Origine evento: Security Categoria evento: Accesso agli oggetti ID evento: 560 Data: 10/11/2009 Ora: 19.31.56 Utente: PCSAV\Saverio Computer: PCSAV Descrizione: Apertura oggetto: Server oggetto: Security Tipo oggetto: File Nome oggetto: C:\Nuova cartella\Nuovo documento di testo.txt Nuovo ID dell'handle: 1832 ID dell'operazione: {0,857599} ID del processo: 1964 Nome file di immagine: C:\WINDOWS\explorer.exe Nome utente primario: Saverio Dominio primario: PCSAV ID di accesso primario: (0x0,0x13691) Nome utente client: - Dominio client: - ID di accesso client: - Accessi READ_CONTROL SYNCHRONIZE ReadData (o ListDirectory) WriteData (o AddFile) AppendData (o AddSubdirectory o CreatePipeInstance) ReadEA WriteEA ReadAttributes WriteAttributes

La prima voce è il Tipo di Evento, che indica se l'operazione (di scrittura in questo caso) è stata portata a termine o meno (può capitare che l'utente ad esempio non abbia i permessi necessari).

Nel Nome oggetto troviamo ovviamente il file in questione; particolare attenzione va fatta invece all'ultima voce, Accessi: capiamo infatti che l'evento si tratta della scrittura di un file proprio dal suo quarto valore: WriteData (o  Add file).

Controllare quando un utente apre un file

Sempre come evento di Accesso agli oggetti ecco come si presenta la descrizione dell'evento di apertura di un file:

Tipo evento: Operazioni riuscite Origine evento: Security Categoria evento: Accesso agli oggetti ID evento: 560 Data: 07/11/2009 Ora: 15.04.01 Utente: PCSAV\Saverio Computer: PCSAV Descrizione: Apertura oggetto: Server oggetto: Security Tipo oggetto: File Nome oggetto: C: \Nuova cartella\Nuovo documento di testo.txt Nuovo ID dell'handle: 972 ID dell'operazione: {0,1676722} ID del processo: 1940 Nome file di immagine: C:\WINDOWS\explorer.exe Nome utente primario: Saverio Dominio primario: PCSAV ID di accesso primario: (0x0,0x11E71) Nome utente client: - Dominio client: - ID di accesso client: - Accessi SYNCHRONIZE ReadAttributes

Notare questa volta come si presentano i valori della voce Accessi, mentre il file in questione resta sempre indicato da Nome oggetto.

Controllare quando un utente elimina un file

Si tratta sempre di un evento Accesso agli oggetti e presenta questa descrizione:

Tipo evento: Operazioni riuscite Origine evento: Security Categoria evento: Accesso agli oggetti ID evento: 560 Data: 07/11/2009 Ora: 14.57.06 Utente: PCSAV\Saverio Computer: PCSAV Descrizione: Apertura oggetto: Server oggetto: Security Tipo oggetto: File Nome oggetto: C :\Nuova cartella\Nuovo Documento di testo.doc Nuovo ID dell'handle: 2024 ID dell'operazione: {0,1554555} ID del processo: 1940 Nome file di immagine: C:\WINDOWS\explorer.exe Nome utente primario: Saverio Dominio primario: PCSAV ID di accesso primario: (0x0,0x11E71) Nome utente client: - Dominio client: - ID di accesso client: - Accessi DELETE READ_CONTROL ReadAttributes

È sempre la voce Accessi che ci fa capire l'azione dell'utente, in questo caso DELETE indica che il file è stato eliminato.

Configurare i permessi dell'utente

Se ci siamo accorti che l'utente in questione ha avuto accesso ad un file che magari volevamo impedirgli, possiamo negargli l'accesso.

Andiamo sulle proprietà del file in questione e spostiamoci nella scheda Protezione.

Se l'utente non è presente, clicchiamo su Aggiungi, nella finestra che andiamo su Avanzate infine clicchiamo su Trova; nell'elenco degli utenti che comparirà scegliamo quindi quello interessato e confermiamo.

Ora ci ritroviamo nella finestra precedente e possiamo scegliere se consentire o negare i singoli permessi all'utente:

Ora per impedire totalmente all'utente l'accesso all'oggetto basta impostare tutti i permessi su Nega.

Se negassimo solamente Scrittura e Modifica ad esempio, l'utente potrebbe aprire tale file, ma non modificarlo

Facciamolo da riga di comando con cacls.exe

Se avete bisogno di implementare tale operazione in uno script è possibile utilizzare il programma cacls.exe

La sintassi in questione riguarda il tool CACLS.EXE, versione del file 5.1.2600.0, incluso in Windows XP SP2.

Quindi per negare l'accesso ad esempio all'utente Guest, il comando sarà:

Cacls.exe "C: \Nuova cartella\Nuovo documento di testo.txt" /T /D Guest

Abbiamo quindi compreso che grazie a questo piccolo tool incluso in Windows, possiamo editare gli ACL (Access Control List) di un oggetto anche da riga di comando.

Riempimento Registro di Protezione

Durante le prove, mi è capitato che il Registro di Protezione si riempisse, segnalandomelo nella finestra di login.

Se ciò accadesse è sufficiente accedere come amministratore, recarsi nel Registro Eventi e svuotare il registro, cliccandoci con il destro e scegliere Cancella tutti gli eventi.