Fabrizio Grossi
4.4. Verifica delle attività.
L'operato degli amministratori di sistema deve essere oggetto,
con cadenza almeno annuale, di un'attività di verifica da parte
dei titolari del trattamento, in modo da controllare la sua
rispondenza alle misure organizzative, tecniche e di sicurezza
rispetto ai trattamenti dei dati personali previste dalle norme
vigenti.
4.5. Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli
accessi logici (autenticazione informatica) ai sistemi di
elaborazione e agli archivi elettronici da parte degli
amministratori di sistema. Le registrazioni (access log) devono
avere caratteristiche di completezza, inalterabilità e possibilità
di verifica della loro integrità adeguate al raggiungimento dello
scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere
conservate per un congruo periodo, non inferiore a sei mesi.
Nei sistemi operativi Microsoft, da windows NT in
poi, è possibile registrare gli accessi al computer
e agli oggetti (file, cartelle) nel computer.
Per attivare la registrazione è necessario usare le
Group Policy:
Se i computer fanno parte di un dominio, è possibile
usare Group Policy a livello di dominio, valide per
tutti i computer del dominio o della Organizational
Unit
Se i computer fanno parte di un Workgroup è
possibile utilizzare le Group Policy locali. Bisogna
configurare le Group Policy locali per ogni computer
E’ possibile registrare varie operazioni, tra cui:
Accesso al computer (evento di logon)
Accesso agli oggetti
E’ possibile registrare i tentativi di accesso che hanno
avuto successo o quelle che sono state bloccate
Quando un utente accede a un computer viene registrato, il
tentativo di accesso nel Registro Eventi di Windows.
Il Registro Eventi di Windows è diviso in varie sezione, dove
vengono registrati le differenti tipologie di eventi. Per la
registrazione degli accessi logici e agli oggetti bisogna far
riferimento alla sezione Protezione
E’ possibile accedere al Registro Eventi di Windows usando il
Visualizzatore Eventi
Se un utente accede a un computer che fa parte di un dominio,
usando un account di dominio, vengono registrati due eventi
un due Registri Eventi di Windows:
Un Evento di Accesso nel Registro Eventi di Windows del computer
fisico a cui l’utente sta cercando di accedere
Un Evento Accesso Account nel Registro Eventi di Windows del
Domain Controller presso cui l’utente si sta autenticando
Se un utente accede a un computer che fa parte di un
Workgroup, usando un account locale, viene registrato un
Evento di Accesso nel Registri Eventi di Windows del computer.
Event ID: 528
Type: Success Audit
Description: Successful Logon:
User Name: %1
Domain: %2
Logon ID: %3
Logon Type: %4
Logon Process: %5
Authentication Package: %6
Workstation Name: %7
Event ID: 529
Type: Failure Audit
Description: Logon Failure:
Reason: Unknown user name or bad password
User Name: %1
Domain: %2
Logon Type: %3
Logon Process: %4
Authentication Package: %5 Workstation Name: %6
For a complete list and more info:
http://support.microsoft.com/kb/174074/en-us
http://support.microsoft.com/default.aspx?scid=kb;en-us;274176
Per monitorare l’accesso agli oggetti, è necessario:
attivare la registrazione tramite le Group Policy
Specificare, negli oggetti (file o cartelle) che si
vogliono monitorare, gli eventi da registrare. E’
possibile controllare varie tipologie di accessi:
Lettura
Scrittura
Modifica
Cancellazione
Per tutte le tipologie di accesso è possibile registrare
se il tentativo ha avuto successo o è stato bloccato
Salvare in modo regolare i log su un supporto esterno al quale l’amministratore non abbia
accesso.
Per aziende con requisiti più stringenti:
System Center Operations Manager 2007 con Audit Collection Services
Una volta registrati gli accessi con tutte le informazioni necessarie (completezza) nei log con le
Group Policy , ACS permette di raccogliere i log di sicurezza in tempo reale e attraverso un canale
crittografato (inalterabilità) dai vari server e postazioni di lavoro distribuiti in azienda e collezionarli in
un unico database (SQL Server) sul quale possono essere mantenuti e acceduti da persone
identificate e diverse dagli amministratori dei sistemi (verifica dell’integrità del contenuto
informativo).
“…… Il Servizio di Audit Collection incluso in Operations Manager 2007,
rappresenta una parte piccola ma critica delle più complesse soluzioni di
compliance. Audit Collection Services raccogli i dati che potrebbero essere
oggetto di auditing per verificare l’aderenza a regolamenti specifici. Nonostante
nessuno strumento o tecnologia possa fornire una soluzione complete di
compliance, strumenti come Operations Manager 2007 forniscono soluzioni a
problemi specifici come la raccolta dei dati…….La funzione di Audit Forwarder fa
parte dell’agent di Operations Manager 2007. Di default, è disabilitato, ma può
essere abilitato dalla console di Operations Manager per i sistemi che devono
essere oggetti della registrazione. Sfruttando l’agent di Operations Manager
2007, il forwarder usa il meccanismo di sicurezza per le comunicazioni verso il
server attraverso un canale crittografato e mutuamente autenticato. Questo
previene eventuali manipolazioni dei dati raccolti mantenendone quindi
l’integrità …”