Punto informatico Network
Canali
20090302164352_1526382042_20090302164335_1404156847_parental.png

Monitorare ogni azione di un utente

14/01/2010
- A cura di
Tecniche Avanzate - Vediamo come è possibile registrare ogni evento generato da un utente, da quando accede al sistema, alla creazione, modifica o eliminazione di un file. Capiamo quindi come comportarci di conseguenza.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

utente (1) , monitorare (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 124 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Molto spesso sento chiedere se esistono modi, programmi o trucchi per tenere d'occhio un utente in un sistema al fine di scoprire i movimenti che compie all'interno di Windows.

Non è né un trucco e neanche un programma, ma è una funzione interna a Windows, che prende il nome di SACL (Security Access Control List).

In questo articolo quindi vedremo come:

  • Controllare quando un utente esegue l'accesso al sistema
  • Controllare quando un utente si disconnette dal sistema
  • Controllare quando un utente apre file/cartelle
  • Controllare quando un utente crea o modifica file/cartelle
  • Controllare quando un utente elimina file/cartelle
  • Configurare all'utente tali permessi.

Attiviamo il controllo sugli oggetti e sugli accessi

Per prima cosa eseguiamo secpol.msc, andiamo su Criteri locali e selezioniamo Criteri di controllo.

Quello che compare sulla destra è una lista di ciò che potremmo abilitare al controllo, ossia di eventi che, se abilitati al log, verranno registrati nel Visualizzatore Eventi.

Secpol1.png

Quello che interessa a noi è poter controllare gli eventi di accesso (accesso e disconnessione al sistema) e l'accesso agli oggetti (esecuzione file, modifica, cancellazione ecc..).

Quindi in quelle due voci abilitiamo il log sia delle operazioni riuscite, sia di quelle non riuscite:

Secpol2.png

Dato l'OK chiudiamo secpol.msc e dirigiamoci nella cartella che vogliamo monitorare, andiamo sulle sue Proprietà, poi nella scheda Protezione e clicchiamo sul pulsante Avanzate, quindi spostiamoci ancora nella scheda Controllo. Ed è in questo pannello che possiamo abilitare il SACL, in pratica gli eventi che vogliamo registrare.

Sacl.png

Pigiamo il tasto Aggiungi, nella finestra che compare clicchiamo su Avanzate, poi clicchiamo ancora su Trova... seguirà l'elencazione di tutti gli utenti e gruppi del nostro sistema.:

Utenti.png

Scegliamo quindi il nostro utente da controllare e diamo l'OK.

Ci ritroveremo alla finestra precedente (quella delle voci di controllo SACL), dove ora, nell'apposito spazio è comparso l'utente scelto. Selezioniamo quella voce e clicchiamo su Modifica, comparirà una lista di eventi da controllare, dove li selezioneremo tutti, (sia riusciti che non riusciti).

Diamo OK ed usciamo. La configurazione è terminata. Ora il sistema registrerà gli eventi dell'utente in questione.

Visualizziamo gli eventi

Ora che abbiamo configurato il sistema per registrare gli eventi prodotti dall'utente, andiamo a controllare i log, dirigiamoci nel Visualizzatore Eventi eseguendo eventvwr.exe dal menu Esegui.

La lista degli eventi in questione è nel registro Protezione e gli eventi sono divisi in Operazioni Riuscite e Operazioni Non riuscite.

Mostrerò ora come si presenta la descrizione per ogni evento.

Controllare quando l'utente ha effettuato l'accesso a Windows

La categoria di tale evento è Accesso/fine sess. e normalmente il numero di evento è 551.

Ecco la descrizione dell'evento:

Accessosistema.png

La Descrizione inizia con Accesso alla rete.

Possiamo vedere tutte le caratteristiche dell'evento (in questo caso ci interesserebbe solamente la data e l'ora dell'accesso) .

Controllare quando l'utente si disconnette da Windows (equivale all'arresto del sistema)

Questo evento risulta ovviamente nella stessa categoria della prima (Accesso/fine sess.) come medesimo è il numero di evento (551), ecco la descrizione dell'evento di chiusura del sistema:

Chiusurasistema.png

Controllare quando un utente crea o modifica un file

La categoria di tale evento è Accesso agli oggetti e la descrizione dell'evento è la seguente.

La prima voce è il Tipo di Evento, che indica se l'operazione (di scrittura in questo caso) è stata portata a termine o meno (può capitare che l'utente ad esempio non abbia i permessi necessari).

Nel Nome oggetto troviamo ovviamente il file in questione; particolare attenzione va fatta invece all'ultima voce, Accessi: capiamo infatti che l'evento si tratta della scrittura di un file proprio dal suo quarto valore: WriteData (o  Add file).

Controllare quando un utente apre un file

Sempre come evento di Accesso agli oggetti ecco come si presenta la descrizione dell'evento di apertura di un file:

Notare questa volta come si presentano i valori della voce Accessi, mentre il file in questione resta sempre indicato da Nome oggetto.

Controllare quando un utente elimina un file

Si tratta sempre di un evento Accesso agli oggetti e presenta questa descrizione:

È sempre la voce Accessi che ci fa capire l'azione dell'utente, in questo caso DELETE indica che il file è stato eliminato.

Configurare i permessi dell'utente

Se ci siamo accorti che l'utente in questione ha avuto accesso ad un file che magari volevamo impedirgli, possiamo negargli l'accesso.

Andiamo sulle proprietà del file in questione e spostiamoci nella scheda Protezione.

Schedaprotezione.png

Se l'utente non è presente, clicchiamo su Aggiungi, nella finestra che andiamo su Avanzate infine clicchiamo su Trova; nell'elenco degli utenti che comparirà scegliamo quindi quello interessato e confermiamo.

Ora ci ritroviamo nella finestra precedente e possiamo scegliere se consentire o negare i singoli permessi all'utente:

Listaaccessi.png

Ora per impedire totalmente all'utente l'accesso all'oggetto basta impostare tutti i permessi su Nega.

Se negassimo solamente Scrittura e Modifica ad esempio, l'utente potrebbe aprire tale file, ma non modificarlo

Facciamolo da riga di comando con cacls.exe

Se avete bisogno di implementare tale operazione in uno script è possibile utilizzare il programma cacls.exe

La sintassi in questione riguarda il tool CACLS.EXE, versione del file 5.1.2600.0, incluso in Windows XP SP2.

Cacls.png

Quindi per negare l'accesso ad esempio all'utente Guest, il comando sarà:

Cacls.exe "C: \Nuova cartella\Nuovo documento di testo.txt" /T /D Guest

Abbiamo quindi compreso che grazie a questo piccolo tool incluso in Windows, possiamo editare gli ACL (Access Control List) di un oggetto anche da riga di comando.

Riempimento Registro di Protezione

Durante le prove, mi è capitato che il Registro di Protezione si riempisse, segnalandomelo nella finestra di login.

Se ciò accadesse è sufficiente accedere come amministratore, recarsi nel Registro Eventi e svuotare il registro, cliccandoci con il destro e scegliere Cancella tutti gli eventi.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    © Copyright 2024 BlazeMedia srl - P. IVA 14742231005

    • Gen. pagina: 0.23 sec.
    •  | Utenti conn.: 67
    •  | Revisione 2.0.1
    •  | Numero query: 42
    •  | Tempo totale query: 0.06