In questo articolo vedremo come consentire l'auditing degli eventi di accesso agli endpoint Windows e ricevere un rapporto CSV sui tentativi di accesso avvenuti tra due date.
Il rapporto mostrerà l'ora di creazione dell'evento, il nome del dominio e il risultato del tentativo di accesso. Le tre opzioni di tentativo di accesso sono Accesso interattivo riuscito, Accesso remoto riuscito e Accesso fallito.
È possibile utilizzare la seguente riga di comando per elencare le impostazioni dei criteri di auditing:
auditpol /get /category:*
Inoltre, è possibile attivare gli eventi di Audit Logon da remoto utilizzando questo comando:
auditpol /set /subcategory:Logon /success:enable /failure:enable
Enabled auditing logs
1. Accedere all'endpoint di Windows. Fare clic su WinKey+R sulla tastiera. Digitare gpedit.msc e fare clic su OK.
.
2. Accedere al seguente percorso: Configurazione del computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Criterio di controllo
.
3. Fare doppio clic su Verifica eventi di accesso.
4. La finestra denominata Verifica eventi di accesso Proprietà. Contrassegnare le caselle di controllo Successo e Fallimento e fare clic su OK.
Script di verifica del login clone
1. Da Admin (nel pannello laterale), fare clic su Script.
Appare la pagina Scripts
2. Andate alla Libreria di script condivisi e cercate lo script denominato Verifica accesso (potete usare la casella Nome script per filtrare i risultati).
3. Fare clic su Clona per copiare lo script in I miei script.
Ora troverete lo script sotto "I miei script", denominato "Login Audit (copia)".
4. Eseguite lo script clonato sui vostri dispositivi; per saperne di più, consultate l'articolo Eseguire uno script. Si otterrà un nuovo file .csv nel percorso scelto in $ResultFile, come indicato di seguito.