Come rendere sicuri i file di Registro degli Eventi di Windows
—
Giorgio Borelli
Nell'articolo precedente Ripristinare i file di Registro di Windows abbiamo parlato dell'importanza dei file di registro degli eventi di Windows e di come ripristinarli. Detti file possono essere visualizzati tramite il visualizzatore eventi, e la loro importanza risiede nel fatto che tramite essi è possibile monitorare qualsiasi cosa accada nel sistema, questo purtroppo gli hacker lo sanno bene, e si premurano di modificare questi file per cancellare le tracce del loro passaggio.
Per rendere sicuri i file di regisro degli eventi basta associargli gli opportuni diritti di lettura e scrittura, ovvero applicare le ACL (Access Control List) appropriate. I File di Registro degli Eventi si trovano in %SystemRoot%\system32\config, i file che c'interessano sono AppEvent.evt, SecEvent.evt e SysEvent.evt corrispondenti rispettivamente al Registro delle Applicazioni, Registro di Protezione e Registro di Sistema.
Selezioniamo ogni singolo file col tasto destro del mouse e richiamiamo la finestra proprietà, dopodichè posizioniamoci sulla scheda protezione e rimuoviamo dalla lista tutti gli utenti o gruppi all'infuori di Administrators e SYSTEM. In questo modo abbiamo modificato le ACL dei file di registro degli eventi di Windows, dando i giusti permessi solo agli utenti amministratori ed al sistema stesso.