Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Appendice A - Esclusione degli eventi superflui
Aggiornato: 23 maggio 2005
Nella seguente tabella sono elencati gli eventi che in genere vengono esclusi dai controlli del monitoraggio della protezione perché si verificano molto raramente e non forniscono inoltre alcuna informazione utile.
**Nota: **l'esclusione di qualsiasi informazione da un controllo implica ovviamente un aumento del rischio. Questo aspetto, tuttavia, deve essere valutato rispetto alla frequenza degli eventi e al carico di lavoro risultante sull'agente di analisi.
Tabella A.1. Riduzione del carico di lavoro sul sistema di archiviazione mediante la rimozione di eventi
| ID evento | Occorrenza | Commenti |
|---|---|---|
| 538 | Fine sessione dell'utente | Questo evento non indica necessariamente il momento in cui l'utente ha smesso di utilizzare il computer. Se ad esempio l'utente spegne il computer senza prima disconnettersi oppure si verifica un'interruzione nella connessione di rete a una condivisione, è possibile che nel computer l'operazione di disconnessione non venga registrata affatto o che venga registrata solo quando il computer rileva che la connessione è interrotta. |
| 551 | Disconnessione avviata dall'utente | Utilizzare l'evento 538, che consente di verificare la disconnessione. |
| 562 | Handle di oggetto chiuso | Questo evento viene sempre registrato come operazione riuscita. |
| 571 | Contesto client eliminato da Gestione autorizzazioni | Si tratta di un evento normale quando si utilizza Gestione autorizzazioni. |
| 573 | Generazione di un evento di controllo non di sistema con API di autorizzazione (Authorization Application Programming Interface) | Comportamento normale. |
| 577 578 | Servizio privilegiato chiamato, operazione su un oggetto privilegiato | Questi eventi con volumi elevati in genere non contengono informazioni sufficienti per comprendere l'accaduto o per consentire di prendere decisioni operative. |
| 594 | Handle di oggetto duplicato | Comportamento normale. |
| 595 | Accesso indiretto a un oggetto | Comportamento normale. |
| 596 | Backup della chiave master della protezione dati | Con le impostazioni predefinite, questo evento si verifica automaticamente ogni 90 giorni. |
| 597 | Ripristino della chiave master della protezione dati | Comportamento normale. |
| 624 642 | Evento 624 in cui il valore del campo Utente è System, seguito dall'evento 642 in cui il valore del campo Nome account di destinazione è IUSR_machinename o IWAM_machinename e il valore del campo Nome utente chiamante è machinename$. | Questa sequenza di eventi indica che un amministratore ha installato IIS nel computer. |
| 624 630 642 | Il valore del campo Utente è System e tutti e tre gli eventi hanno lo stesso timestamp e il valore del campo Nome nuovo account/Nome account di destinazione è HelpAssistant e il valore del campo Nome utente chiamante è DCname$ | Questa sequenza di eventi viene generata quando un amministratore installa Active Directory in un computer su cui è in esecuzione Windows Server 2003. |
| 624 o 642 | Il valore del campo Utente è ExchangeServername$ e il campo Nome account di destinazione contiene un identificatore univoco globale (GUID) | Questo evento si verifica la prima volta che un server di Exchange viene portato in linea generando automaticamente le cassette postali di sistema. |
| 624 | Il campo Nome utente chiamante contiene un qualsiasi utente e il valore del campo Nome nuovo account è machinename$ | Un utente del dominio ha creato o connesso un nuovo account del computer nel dominio. Questo evento è accettabile se gli utenti hanno la facoltà di aggiungere computer a un dominio. In caso contrario, è necessaria un'analisi approfondita. |
| 627 | Il valore del campo Utente è System, il valore del campo Nome account di destinazione è TsInternetUser e il valore del campo Nome utente chiamante è in genere DCname$ | Si tratta di eventi normali in un computer su cui è in esecuzione Servizi terminal. |
| 672 | Richiesta di ticket Kerberos AS | Se si ricevono eventi di accesso 528 e 540 da tutti i computer, è possibile che l'evento 672 non contenga alcuna informazione utile aggiuntiva, poiché registra semplicemente che è stato concesso un ticket Kerberos TGT. Affinché si verifichi un accesso, deve comunque esistere un ticket di servizio concesso (evento 673). |
| 680 | Accesso account | Se si ricevono eventi di accesso 528 e 540 da tutti i computer, è possibile che l'evento 680 non contenga alcuna informazione utile aggiuntiva, poiché registra semplicemente la convalida delle credenziali dell'account. Un ulteriore evento di accesso registra le informazioni relative all'accesso effettuato dall'utente. |
| 697 | Chiamata all'API di controllo criterio password | Comportamento normale. |
| 768 | Conflitto di spazio dei nomi nell'insieme di strutture | Evento non relativo alla protezione. |
| 769 770 771 | Aggiunta, eliminazione o modifica delle informazioni sull'insieme di strutture trusted | Questi eventi indicano un normale funzionamento dei trust tra insiemi di strutture. Non confondere questi eventi con l'aggiunta, l'eliminazione o la modifica del trust stesso. |
| Da 832 a 841 | Problemi vari relativi alla replica di Active Directory | Nessuna implicazione sulla protezione. |