Come controllare le modifiche di accesso alle cartelle condivise?

È obbligatorio tenere traccia di tutti gli accessi a un file/una cartella che contiene dati sensibili per soddisfare i requisiti di conformità e garantire la sicurezza dei dati. Il monitoraggio dell'accesso degli utenti per le cartelle condivise offre inoltre agli amministratori un migliore utilizzo durante le indagini su attacchi e tentativi di attacco. Di seguito viene illustrato come controllare gli accessi degli utenti alle cartelle condivise archiviate nei file server utilizzando i metodi di controllo nativi.

Scarica GRATIS
Prova gratuita e completamente funzionante di 30 giorni

  • Con il controllo AD nativo

  • Con ADAudit Plus

Report completi per tenere traccia dell'accesso a file/cartelle con ADAudit Plus

ADAudit Plus è una soluzione di sicurezza e conformità IT che fornisce report completi per consolidare tutte le informazioni necessarie sui tentativi di accesso ai file o alle cartelle nei file server. Questi report possono essere esportati e programmati per essere generati automaticamente in orari specificati e inviati alla tua casella di posta elettronica. Puoi inoltre configurare avvisi per ricevere una notifica quando vengono effettuate richieste di accesso su file/cartelle critici. In questo modo potrai agire immediatamente. Ecco come accedere a questi report utilizzando ADAudit Plus:

Avvia ADAudit Plus e accedi → Vai alla scheda File Audit → Vai a File Audit Reports e seleziona File Read Access.

  • report di accesso ai file
    • I dettagli che puoi trovare in questo report includono:
      1. A quale file è stato eseguito l'accesso
      2. Chi ha eseguito l'accesso al file
      3. Quando è stato eseguito l'accesso al file
      4. Da quale computer client è stato effettuato l'accesso al file
      5. Nome del server in cui è memorizzato il file
    Puoi anche visualizzare i tentativi non riusciti di lettura, scrittura o eliminazione di un file. I report contengono i seguenti dettagli:
    1. Nome del file
    2. Nome dell'utente la cui richiesta non è andata a buon fine
    3. Ora in cui la richiesta di handle è stata madName del server in cui si trova il file
     Con un record di tutti i tentativi effettuati per accedere a un file (compresi quelli non riusciti), le indagini in caso di violazione dei dati diventano molto più facili. Puoi rintracciare tutti gli utenti che hanno effettuato l'accesso a un file in modo da rilevare eventuali accessi non autorizzati. Può anche contribuire a identificare il computer client da cui sono stati effettuati tentativi non riusciti, suggerendo così l'ipotesi di un sistema compromesso.

Metodo nativo

  • Passaggio 1: abilita il criterio "Controlla accesso agli oggetti"

  • Avvia la console Gestione Criteri di gruppo (Esegui --> gpedit.msc)

  • Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente il file server oppure modifica l'oggetto Criteri di gruppo esistente collegato al dominio pertinente.

  • Vai a Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri controllo.

  • In Criteri controllo, seleziona "Controlla accesso agli oggetti" e attiva il controllo sia per le operazioni riuscite che per quelle non riuscite.

    audit-shared-folder-access-changes-security-setting-audit-object-access

  • Vai a Configurazione avanzata dei criteri di controllo -> Criteri controllo -> Accesso agli oggetti. Attiva il controllo per Controlla File system e Controlla Modifica handle.

    audit-shared-folder-access-changes-system-object-access
  • Passaggio 2: modifica la voce di controllo nel rispettivo file/cartella

    Individua il file o la cartella per cui vuoi tenere traccia di tutti gli accessi. Fai clic con il tasto destro sul file/sulla cartella e vai su Proprietà. Nella scheda Sicurezza, fai clic su Avanzate.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • In Impostazioni di sicurezza avanzate, passa alla scheda Controllo e fai clic su Aggiungi per aggiungere una nuova voce di controllo.

    advanced-security-settings-active-directory

  • Nella finestra di dialogo Voce di controllo per Active Directory immetti i dettagli seguenti:

    1. Principal: Immetti i nomi degli utenti di cui vuoi controllare l'accesso.
    2. Digita: seleziona il tipo di accesso che vuoi controllare. È preferibile controllare "tutte" le modifiche.
    3. Si applica a: seleziona qui se vuoi controllare l'accesso solo per questo file o per tutte le sottocartelle e i file.
    4. Autorizzazioni di base: scegli i tipi di autorizzazioni che vuoi controllare. Fai clic sul pulsante Autorizzazioni avanzate e scegli "Attraversa cartella/Esegui file", "Elenca cartella/Leggi dati", "Leggi attributi" e "Leggi attributi estesi".
    auditing-entry-file-access-auditing
  • Passaggio 3: visualizza i registri di controllo nel Visualizzatore eventi

    Ogni volta che un utente accede al file/alla cartella selezionato e modifica l'autorizzazione su di esso, un registro eventi viene registrato nel Visualizzatore eventi. Per visualizzare questo registro di controllo, accedi al Visualizzatore eventi. In Registri di Windows, seleziona Sicurezza. Puoi trovare tutti i registri di controllo nel riquadro centrale come mostrato di seguito.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Per filtrare i registri eventi in modo da visualizzare solo quelli relativi ai file o alle cartelle con autorizzazione modificata, seleziona "Filtra registro corrente" nel riquadro di destra. Ti sarà sufficiente cercare gli ID evento 4656 e 4663 che indicano le modifiche alle autorizzazioni di file/cartelle. Puoi vedere chi ha effettuato l'accesso al file nel campo "Nome account" e l'ora di accesso nel campo "Registrato".

    audit-shared-folder-access-changes-event-properties-event4663

Il controllo nativo è un po' troppo?

Semplifica il controllo dei file server e la creazione di report con ADAudit Plus.

Richiedi la tua prova gratuita Versione di prova di 30 giorni completamente funzionante

  • Con il controllo AD nativo

  • Con ADAudit Plus

Report completi per tenere traccia dell'accesso a file/cartelle con ADAudit Plus

ADAudit Plus è una soluzione di sicurezza e conformità IT che fornisce report completi per consolidare tutte le informazioni necessarie sui tentativi di accesso ai file o alle cartelle nei file server. Questi report possono essere esportati e programmati per essere generati automaticamente in orari specificati e inviati alla tua casella di posta elettronica. Puoi inoltre configurare avvisi per ricevere una notifica quando vengono effettuate richieste di accesso su file/cartelle critici. In questo modo potrai agire immediatamente. Ecco come accedere a questi report utilizzando ADAudit Plus:

Avvia ADAudit Plus e accedi → Vai alla scheda File Audit → Vai a File Audit Reports e seleziona File Read Access.

  • report di accesso ai file
    • I dettagli che puoi trovare in questo report includono:
      1. A quale file è stato eseguito l'accesso
      2. Chi ha eseguito l'accesso al file
      3. Quando è stato eseguito l'accesso al file
      4. Da quale computer client è stato effettuato l'accesso al file
      5. Nome del server in cui è memorizzato il file
    Puoi anche visualizzare i tentativi non riusciti di lettura, scrittura o eliminazione di un file. I report contengono i seguenti dettagli:
    1. Nome del file
    2. Nome dell'utente la cui richiesta non è andata a buon fine
    3. Ora in cui la richiesta di handle è stata madName del server in cui si trova il file
     Con un record di tutti i tentativi effettuati per accedere a un file (compresi quelli non riusciti), le indagini in caso di violazione dei dati diventano molto più facili. Puoi rintracciare tutti gli utenti che hanno effettuato l'accesso a un file in modo da rilevare eventuali accessi non autorizzati. Può anche contribuire a identificare il computer client da cui sono stati effettuati tentativi non riusciti, suggerendo così l'ipotesi di un sistema compromesso.

Metodo nativo

  • Passaggio 1: abilita il criterio "Controlla accesso agli oggetti"

  • Avvia la console Gestione Criteri di gruppo (Esegui --> gpedit.msc)

  • Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente il file server oppure modifica l'oggetto Criteri di gruppo esistente collegato al dominio pertinente.

  • Vai a Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri controllo.

  • In Criteri controllo, seleziona "Controlla accesso agli oggetti" e attiva il controllo sia per le operazioni riuscite che per quelle non riuscite.

    audit-shared-folder-access-changes-security-setting-audit-object-access

  • Vai a Configurazione avanzata dei criteri di controllo -> Criteri controllo -> Accesso agli oggetti. Attiva il controllo per Controlla File system e Controlla Modifica handle.

    audit-shared-folder-access-changes-system-object-access
  • Passaggio 2: modifica la voce di controllo nel rispettivo file/cartella

    Individua il file o la cartella per cui vuoi tenere traccia di tutti gli accessi. Fai clic con il tasto destro sul file/sulla cartella e vai su Proprietà. Nella scheda Sicurezza, fai clic su Avanzate.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • In Impostazioni di sicurezza avanzate, passa alla scheda Controllo e fai clic su Aggiungi per aggiungere una nuova voce di controllo.

    advanced-security-settings-active-directory

  • Nella finestra di dialogo Voce di controllo per Active Directory immetti i dettagli seguenti:

    1. Principal: Immetti i nomi degli utenti di cui vuoi controllare l'accesso.
    2. Digita: seleziona il tipo di accesso che vuoi controllare. È preferibile controllare "tutte" le modifiche.
    3. Si applica a: seleziona qui se vuoi controllare l'accesso solo per questo file o per tutte le sottocartelle e i file.
    4. Autorizzazioni di base: scegli i tipi di autorizzazioni che vuoi controllare. Fai clic sul pulsante Autorizzazioni avanzate e scegli "Attraversa cartella/Esegui file", "Elenca cartella/Leggi dati", "Leggi attributi" e "Leggi attributi estesi".
    auditing-entry-file-access-auditing
  • Passaggio 3: visualizza i registri di controllo nel Visualizzatore eventi

    Ogni volta che un utente accede al file/alla cartella selezionato e modifica l'autorizzazione su di esso, un registro eventi viene registrato nel Visualizzatore eventi. Per visualizzare questo registro di controllo, accedi al Visualizzatore eventi. In Registri di Windows, seleziona Sicurezza. Puoi trovare tutti i registri di controllo nel riquadro centrale come mostrato di seguito.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Per filtrare i registri eventi in modo da visualizzare solo quelli relativi ai file o alle cartelle con autorizzazione modificata, seleziona "Filtra registro corrente" nel riquadro di destra. Ti sarà sufficiente cercare gli ID evento 4656 e 4663 che indicano le modifiche alle autorizzazioni di file/cartelle. Puoi vedere chi ha effettuato l'accesso al file nel campo "Nome account" e l'ora di accesso nel campo "Registrato".

    audit-shared-folder-access-changes-event-properties-event4663

Il controllo nativo è un po' troppo?

Semplifica il controllo dei file server e la creazione di report con ADAudit Plus.

Richiedi la tua prova gratuita Versione di prova di 30 giorni completamente funzionante

Richiedere supporto

Grazie!

I nostri tecnici dell'assistenza ti ricontatteranno al più presto.

    Inserire un indirizzo email valido
  •  
     
  • Cliccando 'invia richiesta' accetti l’elaborazione dei propri dati personali secondo l’Informativa sulla privacy.

Zoho Corporation Pvt. Ltd. Tutti i diritti riservati.