Come eseguire l'audit delle cartelle condivise sul file server?

Il monitoraggio delle modifiche apportate ai file/cartelle condivisi consente di garantire la sicurezza dei dati e di soddisfare i requisiti normativi di conformità. La registrazione di modifiche ingiustificate si rivela utile durante le indagini sulla violazione dei dati. Tenendo d'occhio chi ha modificato cosa nei tuoi file server, potrai anche prevenire le minacce interne. Ecco come puoi tenere traccia di chi ha modificato un file o una cartella condivisa nei tuoi file server utilizzando metodi nativi.

Scarica GRATIS
Prova gratuita e completamente funzionante di 30 giorni

  • Con il controllo AD nativo

  • Con ADAudit Plus

Monitoraggio completo delle modifiche su file/cartelle con ADAudit Plus:

ADAudit Plus offre report che recuperano le modifiche apportate ai tuoi file/cartelle con i dettagli completi in un solo clic. Questi report possono essere esportati in qualsiasi formato, come CSV, PDF, XML ecc. Gli avvisi in tempo reale possono essere inviati alla casella di posta elettronica o al telefono in modo da poter ricevere una notifica quando vengono apportate modifiche a un file o a una cartella fondamentale. Ecco come accedere a questi report:

Accedi ad ADAudit Plus → Vai alla scheda File Audit → in File Audit Reports → passa al report All File/Folder Changes. Seleziona il periodo di tempo per il quale vuoi tenere traccia delle modifiche apportate e il dominio a cui appartiene il file server.

  • file and folder changes report

    • I dettagli che si possono trovare in questo report includono:

      1. Nome del file/cartella creato
      2. Chi ha apportato le modifiche
      3. Quando è stata apportata la modifica
      4. Percorso del file/cartella
    Puoi filtrare il grafico in base al tipo di modifica. Ad esempio, se vuoi visualizzare i file che sono stati eliminati, ti sarà sufficiente selezionarli dal grafico e verranno visualizzati tutti i registri corrispondenti all'eliminazione dei file. Per classificare le modifiche in base alle condivisioni, vai alla scheda Share Based Reports e seleziona "All file/folder changes by share". Seleziona la condivisione per la quale vuoi tenere traccia delle modifiche. Vengono visualizzati i dettagli di tutte le modifiche apportate a questa condivisione, in modo simile al report precedente. file share based report

Metodo nativo

  • Passaggio 1: abilita il criterio "Controlla accesso agli oggetti"

  • Avvia la console Gestione Criteri di gruppo (Esegui --> gpedit.msc)

  • Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente il file server oppure modifica l'oggetto Criteri di gruppo esistente collegato al dominio pertinente.

  • Vai a Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri controllo.

  • In Criteri controllo, seleziona "Controlla accesso agli oggetti" e attiva il controllo sia per le operazioni riuscite che per quelle non riuscite.

    audit-shared-folder-access-changes-security-setting-audit-object-access

  • Vai a Configurazione avanzata dei criteri di controllo -> Criteri controllo -> Accesso agli oggetti. Attiva il controllo per Controlla File system e Controlla Modifica handle.

    track-changes-in-shared-folder-on-file-server-sysytem-audit-policy-object-access
  • Passaggio 2: modifica la voce di controllo nel rispettivo file/cartella

    Individua il file o la cartella per cui vuoi tenere traccia di tutti gli accessi. Fai clic con il tasto destro sul file/sulla cartella e vai su Proprietà. Nella scheda Sicurezza, fai clic su Avanzate.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • In Impostazioni di sicurezza avanzate, passa alla scheda Controllo e fai clic su Aggiungi per aggiungere una nuova voce di controllo.

    advanced-security-settings-active-directory

  • Nella finestra di dialogo Voce di controllo per Active Directory immetti i dettagli seguenti:

    1. Entità: immetti i nomi degli utenti di cui vuoi controllare le modifiche.
    2. Tipo: seleziona il tipo di modifica che vuoi controllare. È preferibile controllare "tutte" le modifiche.
    3. Si applica a: seleziona qui se vuoi controllare l'accesso solo per questo file o per tutte le sottocartelle e i file.
    4. Autorizzazioni di base: scegli i tipi di autorizzazioni che vuoi controllare. Fai clic su "Autorizzazioni avanzate" e scegli di controllare "Attraversa cartella / esegui file", "Elenca cartella / leggi dati", "Crea file / scrivi dati", "Crea cartelle / aggiungi dati", "Scrivi attributo".
    track-changes-in-shared-folder-on-file-server-active-directory-entry
  • Passaggio 3: visualizza i log di controllo nel Visualizzatore eventi

    Ogni volta che un utente accede al file/cartella selezionato e apporta modifiche, viene registrato un registro eventi nel Visualizzatore eventi. Per visualizzare questo registro di controllo, accedi al Visualizzatore eventi. In Registri di Windows, seleziona Sicurezza. Puoi trovare tutti i registri di controllo nel riquadro centrale come mostrato di seguito.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Cerca nei registri di sicurezza di Windows l'ID evento 4656 con la parola chiave "Controllo non riuscito" per scoprire chi ha provato a modificare un file o una cartella.

    track-changes-in-shared-folder-on-file-server-event-properties-event4656

Il controllo nativo è un po' troppo?

Semplifica il controllo dei file server e la creazione di report con ADAudit Plus.

Richiedi la tua prova gratuita Versione di prova di 30 giorni completamente funzionante

  • Con il controllo AD nativo

  • Con ADAudit Plus

Monitoraggio completo delle modifiche su file/cartelle con ADAudit Plus:

ADAudit Plus offre report che recuperano le modifiche apportate ai tuoi file/cartelle con i dettagli completi in un solo clic. Questi report possono essere esportati in qualsiasi formato, come CSV, PDF, XML ecc. Gli avvisi in tempo reale possono essere inviati alla casella di posta elettronica o al telefono in modo da poter ricevere una notifica quando vengono apportate modifiche a un file o a una cartella fondamentale. Ecco come accedere a questi report:

Accedi ad ADAudit Plus → Vai alla scheda File Audit → in File Audit Reports → passa al report All File/Folder Changes. Seleziona il periodo di tempo per il quale vuoi tenere traccia delle modifiche apportate e il dominio a cui appartiene il file server.

  • file and folder changes report

    • I dettagli che si possono trovare in questo report includono:

      1. Nome del file/cartella creato
      2. Chi ha apportato le modifiche
      3. Quando è stata apportata la modifica
      4. Percorso del file/cartella
    Puoi filtrare il grafico in base al tipo di modifica. Ad esempio, se vuoi visualizzare i file che sono stati eliminati, ti sarà sufficiente selezionarli dal grafico e verranno visualizzati tutti i registri corrispondenti all'eliminazione dei file. Per classificare le modifiche in base alle condivisioni, vai alla scheda Share Based Reports e seleziona "All file/folder changes by share". Seleziona la condivisione per la quale vuoi tenere traccia delle modifiche. Vengono visualizzati i dettagli di tutte le modifiche apportate a questa condivisione, in modo simile al report precedente. file share based report

Metodo nativo

  • Passaggio 1: abilita il criterio "Controlla accesso agli oggetti"

  • Avvia la console Gestione Criteri di gruppo (Esegui --> gpedit.msc)

  • Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente il file server oppure modifica l'oggetto Criteri di gruppo esistente collegato al dominio pertinente.

  • Vai a Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri controllo.

  • In Criteri controllo, seleziona "Controlla accesso agli oggetti" e attiva il controllo sia per le operazioni riuscite che per quelle non riuscite.

    audit-shared-folder-access-changes-security-setting-audit-object-access

  • Vai a Configurazione avanzata dei criteri di controllo -> Criteri controllo -> Accesso agli oggetti. Attiva il controllo per Controlla File system e Controlla Modifica handle.

    track-changes-in-shared-folder-on-file-server-sysytem-audit-policy-object-access
  • Passaggio 2: modifica la voce di controllo nel rispettivo file/cartella

    Individua il file o la cartella per cui vuoi tenere traccia di tutti gli accessi. Fai clic con il tasto destro sul file/sulla cartella e vai su Proprietà. Nella scheda Sicurezza, fai clic su Avanzate.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • In Impostazioni di sicurezza avanzate, passa alla scheda Controllo e fai clic su Aggiungi per aggiungere una nuova voce di controllo.

    advanced-security-settings-active-directory

  • Nella finestra di dialogo Voce di controllo per Active Directory immetti i dettagli seguenti:

    1. Entità: immetti i nomi degli utenti di cui vuoi controllare le modifiche.
    2. Tipo: seleziona il tipo di modifica che vuoi controllare. È preferibile controllare "tutte" le modifiche.
    3. Si applica a: seleziona qui se vuoi controllare l'accesso solo per questo file o per tutte le sottocartelle e i file.
    4. Autorizzazioni di base: scegli i tipi di autorizzazioni che vuoi controllare. Fai clic su "Autorizzazioni avanzate" e scegli di controllare "Attraversa cartella / esegui file", "Elenca cartella / leggi dati", "Crea file / scrivi dati", "Crea cartelle / aggiungi dati", "Scrivi attributo".
    track-changes-in-shared-folder-on-file-server-active-directory-entry
  • Passaggio 3: visualizza i log di controllo nel Visualizzatore eventi

    Ogni volta che un utente accede al file/cartella selezionato e apporta modifiche, viene registrato un registro eventi nel Visualizzatore eventi. Per visualizzare questo registro di controllo, accedi al Visualizzatore eventi. In Registri di Windows, seleziona Sicurezza. Puoi trovare tutti i registri di controllo nel riquadro centrale come mostrato di seguito.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Cerca nei registri di sicurezza di Windows l'ID evento 4656 con la parola chiave "Controllo non riuscito" per scoprire chi ha provato a modificare un file o una cartella.

    track-changes-in-shared-folder-on-file-server-event-properties-event4656

Il controllo nativo è un po' troppo?

Semplifica il controllo dei file server e la creazione di report con ADAudit Plus.

Richiedi la tua prova gratuita Versione di prova di 30 giorni completamente funzionante

Richiedere supporto

Grazie!

I nostri tecnici dell'assistenza ti ricontatteranno al più presto.

    Inserire un indirizzo email valido
  •  
     
  • Cliccando 'invia richiesta' accetti l’elaborazione dei propri dati personali secondo l’Informativa sulla privacy.

Zoho Corporation Pvt. Ltd. Tutti i diritti riservati.