dado/learning
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
7fefedc38bf84b0b49b72799f3c3f5ee4551c54c
learning/winserver/021-hardening.md
dado 7fefedc38b logon events
2025-12-14 21:24:54 +01:00

38 lines
2.0 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# Hardening AD
## Password Policy
A livello di dominio, è possibile modificare la `Password Policy` da `Default Domain Policy > Computer Settings > Policies > Windows Settings > Security Settings > Account Policies`.
![password-policy](asset/img/password-policy.png)
La password policy definisce come devono essere gestite le password a livello di dominio. Di seguito sono riportate le impostazioni consigliate per garantire un adeguato livello di sicurezza:
- Lunghezza minima di 12 caratteri
- Requisiti di complessità: attivare lopzione che impone lutilizzo di lettere maiuscole e minuscole, numeri e caratteri speciali
## Account Lockout Policy
La policy di blocco degli account è disabilitata di default e serve a impedire attacchi di tipo brute-force. Questa policy prevede che, dopo un numero definito di tentativi errati, l'account venga bloccato per un periodo stabilito e possa essere sbloccato solo da un amministratore.
Si possono configurare i seguenti parametri:
- Numero di tentativi consentiti prima del blocco
- Durata del blocco
![account-lockout](asset/img/account-lockout.png)
## Logon Events
La registrazione degli eventi di logon consente di tracciare tutti i tentativi di accesso, sia riusciti che falliti, effettuati dagli utenti sui dispositivi del dominio. Tale funzionalità non è attiva per impostazione predefinita.
Per abilitare la registrazione degli eventi di logon a livello di dominio, aprire `Group Policy Management` e creare una nuova policy applicabile allintero dominio, allo stesso livello della *Default Domain Policy*. Da `Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy` abilitare:
- Audit Logon Events
- Audit Account Logon Events
Per entrambe le voci, selezionare sia `Success` che `Failure`.
Gli eventi generati saranno visibili in `Event Viewer`, nella sezione `Security`. Per filtrare gli eventi relativi ai logon, fare riferimento agli Event ID specifici riportati nellimmagine.
![logon-events](asset/img/logon-events.png)
Reference in New Issue View Git Blame Copy Permalink