logon events

winserver/021-hardening.md

@@ -2,7 +2,7 @@
 
 ## Password Policy
 
-A livello di dominio, è possibile modificare la `Password Policy` da `Default Domain > Computer Settings > Policies > Windows Settings > Security Settings > Account Policies`.
+A livello di dominio, è possibile modificare la `Password Policy` da `Default Domain Policy > Computer Settings > Policies > Windows Settings > Security Settings > Account Policies`.
 
 ![password-policy](asset/img/password-policy.png)
 
@@ -21,3 +21,18 @@ Si possono configurare i seguenti parametri:
 - Durata del blocco
 
 ![account-lockout](asset/img/account-lockout.png)
+
+## Logon Events
+
+La registrazione degli eventi di logon consente di tracciare tutti i tentativi di accesso, sia riusciti che falliti, effettuati dagli utenti sui dispositivi del dominio. Tale funzionalità non è attiva per impostazione predefinita.
+
+Per abilitare la registrazione degli eventi di logon a livello di dominio, aprire `Group Policy Management` e creare una nuova policy applicabile all’intero dominio, allo stesso livello della *Default Domain Policy*. Da `Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy` abilitare:
+
+- Audit Logon Events
+- Audit Account Logon Events
+
+Per entrambe le voci, selezionare sia `Success` che `Failure`.
+
+Gli eventi generati saranno visibili in `Event Viewer`, nella sezione `Security`. Per filtrare gli eventi relativi ai logon, fare riferimento agli Event ID specifici riportati nell’immagine.
+
+![logon-events](asset/img/logon-events.png)