/
  • Ultimo aggiornamento
/
  • 9 min di lettura

Come configurare i criteri di logging di Windows per la conformità del settore pubblico

di Richelle Arevalo, IT Technical Writer   |  
translated by Sergio Oricci
Configurare i criteri di logging di Windows a fini di conformità

Riepilogo

Riassunto

Questo post del blog NinjaOne offre un elenco completo di comandi CMD di base e un’analisi approfondita dei comandi di Windows con oltre 70 comandi cmd essenziali sia per i principianti che per gli utenti avanzati. La guida si propone si piegare in modo pratico i comandi del prompt dei comandi per la gestione dei file, la navigazione nelle directory, la risoluzione dei problemi di rete, le operazioni su disco e l’automazione, con esempi reali per migliorare la produttività. Che tu voglia imparare i comandi cmd fondamentali o padroneggiare gli strumenti avanzati della CLI di Windows, questa guida ti aiuterà a utilizzare il Prompt dei comandi in modo più efficace.

Prova gratuita

Punti chiave

  • Inizia definendo i requisiti di logging di Windows. Mappa le normative CJIS, HIPAA, NIST CSF e CIS Controls con eventi di audit specifici, tra cui l’autenticazione, l’accesso e le attività privilegiate.
  • Configura i criteri di audit di Windows sia di base che avanzati, in modo da catturare il livello di dettaglio che la conformità del settore pubblico effettivamente si aspetta, e non solo i valori predefiniti.
  • Applica e convalida queste impostazioni con Auditpol. In questo modo potrai individuare tempestivamente le derive e disporre di prove di audit difendibili quando sono importanti.
  • Centralizza i log eventi di Windows e applica criteri di conservazione che soddisfino i requisiti di conformità e che proteggano al tempo stesso l’integrità dei log per le indagini e le verifiche.
  • Esamina regolarmente i log e le configurazioni di audit per rimanere in linea con i quadri di conformità e le modifiche ai criteri interni.

Le agenzie del settore pubblico dipendono da logging affidabili che soddisfino i requisiti di conformità, supportino le indagini e mostrino una chiara responsabilità per le attività del sistema e degli utenti. Framework come NIST CSF, CIS Controls, CJIS e HIPAA prevedono che i sistemi Windows registrino i login, i tentativi di accesso, le modifiche agli account privilegiati e altri eventi critici.

Questa guida spiega come configurare i criteri di logging di Windows in modo da soddisfare queste aspettative e mantenere la visibilità dell’ambiente in funzione delle verifiche.

Passi per configurare i criteri di logging di Windows per la conformità del settore pubblico

Prima di iniziare, accertati che siano presenti i seguenti prerequisiti.

📌 Prerequisiti generali: 

  • Dispositivi Windows uniti al dominio o autonomi che richiedono un logging adatto ai requisiti di conformità
  • Accesso dell’amministratore per configurare i criteri di audit
  • Una strategia di conservazione e archiviazione dei log definita che soddisfi i requisiti del settore pubblico
  • Una chiara comprensione di quali quadri di conformità si applicano alla tua organizzazione, come CJIS, HIPAA, NIST CSF o CIS Controls

Fase 1: Identificare i requisiti di logging per la conformità del settore pubblico

Inizia con l’identificare le attività che devi registrare in base ai quadri normativi del settore pubblico applicabili al tuo ambiente. In questo modo si definisce l’ambito di logging e si guidano le decisioni successive sui criteri di audit.

Azioni:

  1. Esamina il criterio di sicurezza del CJIS per identificare gli eventi di audit richiesti, quali accessi, gestione degli account, attività privilegiate e monitoraggio delle sessioni.
  2. Identifica i requisiti della HIPAA Security Rule per le tracce di audit legate alle ePHI, come gli accessi, le modifiche e gli eventi di sistema rilevanti.
  3. Mappa gli eventi di audit richiesti con le funzioni del NIST Cybersecurity Framework (Identificare, Proteggere, Rilevare, Rispondere, Recuperare) per supportare risultati di sicurezza più ampi.
  4. Allinea i tuoi requisiti interni di logging con CIS Controls per supportare il monitoraggio, la verifica e la responsabilità nei sistemi Windows.

Fase 2: Configurare i criteri di audit di base e avanzati di Windows

Una volta definiti i requisiti di logging, configura Windows per catturare effettivamente gli eventi. Questa fase si concentra sull’abilitazione dei criteri di audit sia di base che avanzati, in modo che i log soddisfino le aspettative di conformità del settore pubblico.

Azioni:

  1. Inizia con le categorie di base dei criteri di audit, tra cui gli eventi di accesso, l’uso dei privilegi, l’accesso agli oggetti, il tracciamento dei processi e gli eventi di sistema, come base per la conformità. Configura queste voci:

Criteri di sicurezza locali > Impostazioni di sicurezza > Criteri locali > Criteri di audit

  1. Abilita le impostazioni avanzate dei criteri di audit per acquisire attività di autenticazione dettagliate, accesso ai servizi di directory, modifiche ai criteri ed eventi correlati a Kerberos. Configura queste voci:

Criteri di gruppo > Configurazione avanzata dei criteri di audit > Criteri di audit del sistema

  1. Registra sia gli eventi riusciti che quelli falliti per convalidare la conformità e indagare sui problemi che si verificano.
  2. Distribuisci le impostazioni di audit in modo coerente utilizzando i Criteri di gruppo per i sistemi uniti al dominio o i Criteri di sicurezza locali per i dispositivi autonomi.

Fase 3: Utilizza Auditpol per applicare e verificare le impostazioni di audit

L’applicazione e la verifica sono importanti quanto la configurazione. Devi confermare che le impostazioni di audit siano attive, coerenti e protette da modifiche non autorizzate. Auditpol offre un controllo diretto sui criteri di audit avanzati e un metodo affidabile per convalidarli sui sistemi Windows.

Azioni:

  1. Utilizza Auditpol per configurare specifiche sottocategorie di criteri di audit, assicurandoti di registrare esattamente ciò che la conformità richiede. Per esempio:

auditpol /set /subcategory:"Logon" /success:enable /failure:enable

  1. Esporta le impostazioni correnti dei criteri di audit e confrontale con la linea di base approvata:

auditpol /backup /file:C:\AuditPolicyBackup.txt

  1. Applica gli script Auditpol durante il provisioning o la risoluzione dei problemi dei dispositivi per applicare impostazioni di audit standardizzate su larga scala.
  2. Verifica che i criteri locali non possano sovrascrivere le impostazioni di audit senza l’approvazione dell’amministrazione, riducendo il rischio di deriva della configurazione.

Fase 4: Centralizzare la raccolta e la conservazione dei log per la conformità del settore pubblico

Devi raccogliere, conservare e proteggere i log in modo conforme ai requisiti del settore pubblico. Un logging centralizzato riduce il rischio di perdita di dati sui singoli sistemi e fornisce un’unica fonte controllata per i record di audit e di indagine.

Azioni:

  1. Inoltra i log a un archivio centrale utilizzando Windows Event Forwarding o integrali con un SIEM per la conservazione e l’analisi a lungo termine.
  2. Applica criteri di conservazione in linea con CJIS, HIPAA o altre normative pertinenti applicabili alla tua organizzazione.
  3. Conserva i log in archivi sicuri e ad accesso controllato per evitare accessi, modifiche o eliminazioni non autorizzate.
  4. Documenta il modo in cui raccogli, archivi e conservi i log, per essere pronto ad affrontare audit di conformità, indagini e revisioni interne.

Fase 5: Verificare l’efficacia del logging e la conformità ai criteri

Devi confermare regolarmente che il logging resti efficace, coerente e allineato ai requisiti di conformità vigenti. La verifica aiuta a individuare le lacune, la deriva dei criteri e le modifiche che possono avere un impatto sulla preparazione agli audit.

Azioni:

  1. Esamina regolarmente i log per verificare che siano state acquisite le categorie di eventi richieste.
  2. Conduci audit interni confrontando i criteri di audit configurati con le linee di base della sicurezza interna informate da framework come NIST, CSF o CIS Controls.
  3. Verifica che ci sia coerenza tra i team e i sistemi esaminando l’applicazione dei Criteri di gruppo e la raccolta centralizzata dei log.
  4. Aggiorna le impostazioni di audit quando framework come NIST, CSF o CIS Controls rilasciano linee guida o requisiti aggiornati.

Ulteriori considerazioni

Alcuni ambienti del settore pubblico necessitano di controlli più severi o di ulteriori salvaguardie. Utilizza i punti seguenti per colmare le lacune normative e proteggere i dati sensibili.

Requisiti di logging per le forze dell’ordine

Se supporti i sistemi usati delle forze dell’ordine, segui i requisiti del criterio di sicurezza CJIS per il logging degli audit e utilizza la crittografia convalidata FIPS quando i log vengono trasmessi nelle reti.

Copertura delle tracce di audit nel settore sanitario

Per gli ambienti del settore sanitario, assicurati che i log di audit registrino l’accesso alle informazioni sanitarie elettroniche protette (ePHI), comprese le azioni degli utenti e le interazioni con il sistema.

Profondità di logging a livello di reparto

I diversi dipartimenti spesso rientrano in diverse normative. Regola la profondità e la copertura del logging in base alla sensibilità dei dati e ai quadri di conformità applicabili.

Monitoraggio dell’autenticazione per i dispositivi sensibili

I dispositivi che gestiscono dati riservati o regolamentati devono registrare i tentativi di accesso, sia quelli riusciti che quelli falliti, per supportare il rilevamento e le indagini.

Protezioni dell’integrità dei log

Implementa controlli per salvaguardare i log di audit da modifiche o cancellazioni non autorizzate, garantendo che mantengano il loro valore probatorio durante gli audit e le indagini.

Risoluzione dei problemi

Se risconri problemi durante la configurazione, utilizza i controlli riportati di seguito per diagnosticare e risolvere i problemi comuni di logging di Windows.

Log mancanti

Gli eventi mancanti indicano in genere una configurazione incompleta o criteri meno recenti che sovrascrivono le impostazioni di audit avanzate. Verifica che tutte le sottocategorie dei criteri di audit avanzati richiesti siano abilitate.

Dati di log incoerenti

Cerca i conflitti dei Criteri di gruppo che potrebbero prevalere sulle impostazioni di verifica. Utilizza gpresult o la Console di gestione dei Criteri di gruppo per vedere quali criteri sono applicabili e risolvere i conflitti.

I log non vengono inoltrati

Verifica la configurazione dell’inoltro degli eventi e la connettività di rete tra i sistemi sorgente e il log collector. Controlla le impostazioni di WinRM e conferma lo stato di sottoscrizione nel Visualizzatore eventi.

Fallimenti di audit inattesi

Esporta le impostazioni di audit correnti con auditpol e confrontale con la tua linea di base di conformità per identificare configurazioni disallineate o mancanti.

Spazio di archiviazione per gli audit pieno

Aumenta la capacità di conservazione o regola la frequenza di archiviazione per evitare la perdita di dati. Utilizza la rotazione automatica dei log e l’offloading sicuro per rispettare i requisiti di conservazione.

Integrazione con NinjaOne

NinjaOne consente di gestire i criteri di logging e audit di Windows su larga scala, fornendo visibilità, automazione e reporting centralizzati in tutti gli ambienti del settore pubblico.

Funzionalità NinjaOne Azione
Monitoraggio dei criteri di audit Verifica che i criteri di audit avanzati siano applicati in modo coerente ai tuoi endpoint.
Esportazione di log e reportistica Esporta log e dati di configurazione a supporto di verifiche di conformità, audit interni e ispezioni normative.
Rilevamento della deriva rispetto ai criteri Rileva le modifiche alla configurazione di audit e ricevi avvisi quando i sistemi si allontanano dalle linee di base approvate relative al logging.
Applicazione tramite script Applica i criteri di audit su vasta scala distribuendo i comandi Auditpol attraverso il motore di scripting di NinjaOne.
Reporting pronto per la conformità Genera report strutturati per supportare i requisiti di supervisione CJIS, HIPAA o NIST.

Quick-Start Guide

NinjaOne può fornire indicazioni generali su come affrontare la configurazione dei criteri di logging di Windows per la conformità del settore pubblico:

  1. Utilizzare la gestione dei criteri di NinjaOne: NinjaOne consente di creare e distribuire criteri in grado di imporre configurazioni di logging sui dispositivi Windows. Puoi utilizzare modelli esistenti o creare criteri personalizzati per soddisfare esigenze specifiche di conformità.
  2. Sfruttare gli script integrati: NinjaOne offre una libreria di script che possono aiutare a configurare varie impostazioni, comprese quelle relative al logging. Potresti anche trovare script che abilitano o modificano le impostazioni di logging direttamente sui computer Windows.
  3. Integrare con gli strumenti di monitoraggio: Per la conformità del settore pubblico, potrebbe essere necessaria l’integrazione di NinjaOne con strumenti di monitoraggio in grado di analizzare i log per verificare i requisiti di conformità. NinjaOne può inviare i log alle soluzioni SIEM o ad altri strumenti di monitoraggio per ulteriori analisi.
  4. Audit e report periodici: Organizza audit regolari utilizzando NinjaOne per garantire che i criteri di logging siano applicati correttamente e che i log siano raccolti come previsto. Le funzioni di reporting possono aiutare a monitorare lo stato di conformità.

Creare un solido quadro di conformità con i criteri di logging di Windows

La configurazione del logging di Windows per la conformità del settore pubblico inizia con la comprensione delle aspettative degli enti normativi e con l’applicazione coerente di tali requisiti. Configurando i criteri di audit al giusto livello di dettaglio, centralizzando la conservazione dei log e rivedendo regolarmente le impostazioni, sarai pronto per gli audit e manterrai una chiara visibilità sui sistemi.

Argomenti correlati:

Inizia una prova gratuita
Implementare l'automazione a tutti i livelli

FAQs

I criteri di sicurezza di CJIS, HIPAA, NIST Cybersecurity Framework e CIS Controls definiscono tutti i requisiti di logging e auditing per i sistemi che gestiscono dati regolamentati o sensibili.

Di solito, no. I criteri di audit di base offrono una copertura limitata, mentre quelli avanzati forniscono il livello di dettaglio richiesto dalla maggior parte dei framework di conformità.

Sì. Gli ambienti del settore pubblico spesso richiedono una conservazione prolungata dei log, per supportare indagini, indagini legali e controlli di conformità. I tempi di conservazione variano a seconda della normativa e dell’agenzia.

La maggior parte delle strutture del settore pubblico prevede che i log di audit siano archiviati in un luogo centralizzato e protetto. Un sistema centralizzato di logging supporta la conservazione, l’integrità e l’accesso durante gli audit e le indagini.

Ricontrolla almeno una volta all’anno e ogni volta che i quadri di conformità, le linee guida normative o i criteri di sicurezza interni cambiano.

Ti potrebbe interessare anche

How to Enable or Disable the Settings Home Page in Windows 11 blog banner image

Come abilitare o disabilitare la pagina iniziale delle impostazioni in Windows 11

How to Enable or Disable Notification Badges on Taskbar Apps in Windows 11 blog banner image

Come attivare o disattivare i badge di notifica sulle app della barra delle applicazioni in Windows 11

Sicurezza avanzata in Microsoft Edge

Come abilitare o disabilitare la modalità Sicurezza avanzata in Microsoft Edge

Correggere il mancato ridimensionamento della finestra della console Hyper-V in Windows 11

Come correggere il mancato ridimensionamento della finestra della console Hyper-V in Windows 11

Come riavviare un computer con Windows 11

Come riavviare un computer con Windows 11

Sola lettura e Cancella sola lettura

Come aggiungere o rimuovere un’opzione di sola lettura per file e cartelle nel menu contestuale di Windows 11

Torna alla pagina iniziale del blog
Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto