Come controllare i tentativi di accesso non riusciti a una cartella condivisa?

È prudente tenere traccia dei tentativi di accesso non riusciti su una cartella condivisa. Con un registro di tutti i tentativi non riusciti effettuati per accedere a un file, le indagini in caso di violazione dei dati diventano molto più facili. Può anche contribuire a identificare il computer client da cui sono stati effettuati tentativi non riusciti, suggerendo così l'ipotesi di un sistema compromesso. Ecco come identificarli utilizzando i metodi di controllo nativi:

Scarica GRATIS Versione di prova gratuita e completamente funzionante di 30 giorni

  • Con il controllo AD nativo

  • Con ADAudit Plus

Report in un clic per tenere traccia dei tentativi non riusciti di accedere alla cartella condivisa con ADAudit Plus

ADAudit Plus offre report che individuano i tentativi non riusciti effettuati sui tuoi file/cartelle con dettagli completi in un solo clic. Questi report possono essere esportati in qualsiasi formato, come CSV, PDF, XML ecc. Gli avvisi in tempo reale possono essere inviati alla casella di posta elettronica o al telefono in modo da poter ricevere una notifica quando vengono apportate modifiche a un file o a una cartella fondamentale. Ecco come accedere a questi report:

Avvia ADAudit Plus e accedi → Vai alla scheda File Audit → In File Audit Reports → i seguenti report presentano tentativi non riusciti effettuati sulle cartelle condivise:

    1. Tentativo di lettura del file non riuscito
    2. Tentativo di scrittura del file non riuscito
    3. Tentativo di eliminazione del file non riuscito
    Questi report contengono i seguenti dettagli:
    1. Nome del file
    2. Nome dell'utente la cui richiesta non è andata a buon fine
    3. Ora in cui è stata effettuata la richiesta di handle
    4. Nome del server in cui si trova il file
     report dei tentativi falliti Per classificare i tentativi di accesso non riusciti in base alle condivisioni, vai alla scheda Share Based Reports e seleziona il report Failed attempts to Read File. Seleziona la condivisione in cui vuoi tenere traccia delle modifiche. Vengono visualizzati i dettagli di tutte le modifiche apportate a questa condivisione, in modo simile al report precedente.
  • Passaggio 1: abilita il criterio "Controlla accesso agli oggetti"

  • Avvia la console Gestione Criteri di gruppo (Esegui --> gpedit.msc)

  • Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente il file server oppure modifica l'oggetto Criteri di gruppo esistente collegato al dominio pertinente.

  • Vai a Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri controllo.

  • In Criteri controllo, seleziona "Controlla accesso agli oggetti" e attiva il controllo sia per le operazioni riuscite che per quelle non riuscite.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Passaggio 2: modifica la voce di controllo nel rispettivo file/cartella

    Individua il file o la cartella per cui vuoi tenere traccia dei tentativi di accesso non riusciti. Fai clic con il tasto destro sul file/sulla cartella e vai su Proprietà. Nella scheda Sicurezza, fai clic su Avanzate.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • In Impostazioni di sicurezza avanzate, passa alla scheda Controllo e fai clic su Aggiungi per aggiungere una nuova voce di controllo.

    advanced-security-settings-active-directory

  • Nella finestra di dialogo Voce di controllo per Active Directory immetti i dettagli seguenti:

    1. Entità: immetti i nomi degli utenti che vuoi controllare quando accedono a questo file/cartella.
    2. Tipo: seleziona il tipo di accesso che vuoi controllare. È preferibile controllare "tutte" le modifiche.
    3. Si applica a: seleziona se vuoi controllare l'accesso solo per questo file o per tutte le sottocartelle e i file.
    4. Autorizzazioni di base: scegli i tipi di autorizzazioni che vuoi controllare. Per le tue esigenze specifiche, fai clic su "Autorizzazioni avanzate" e seleziona le autorizzazioni "Attraversa cartella/Esegui file", "Elenca cartella/Leggi dati", "Leggi attributi" e "Leggi attributi estesi".
    auditing-entry-file-access-auditing
  • Passaggio 3: visualizza i log di controllo nel Visualizzatore eventi

    Ogni volta che un utente tenta di accedere al file/cartella selezionato e il tentativo non va a buon fine, l'azione verrà registrata nel Visualizzatore eventi. Per visualizzare questo registro di controllo, accedi al Visualizzatore eventi. In Registri di Windows, seleziona Sicurezza. Puoi trovare tutti i registri di controllo nel riquadro centrale come mostrato di seguito.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Per filtrare i registri eventi in modo da visualizzare solo quelli relativi ai file o alle cartelle con autorizzazione modificata, seleziona "Filtra registro corrente" nel riquadro di destra. Ti sarà sufficiente cercare gli ID evento 4656 e 4663 che indicano le modifiche alle autorizzazioni di file/cartelle. Puoi vedere chi ha effettuato l'accesso al file nel campo "Nome account" e l'ora di accesso nel campo "Registrato".

    audit-failed-access-attempts-to-shared-folder-event-properties-event4663

Il controllo nativo è un po' troppo?

Semplifica il controllo dei file server e la creazione di report con ADAudit Plus.

Richiedi la tua prova gratuita Versione di prova di 30 giorni completamente funzionante

  • Con il controllo AD nativo

  • Con ADAudit Plus

Report in un clic per tenere traccia dei tentativi non riusciti di accedere alla cartella condivisa con ADAudit Plus

ADAudit Plus offre report che individuano i tentativi non riusciti effettuati sui tuoi file/cartelle con dettagli completi in un solo clic. Questi report possono essere esportati in qualsiasi formato, come CSV, PDF, XML ecc. Gli avvisi in tempo reale possono essere inviati alla casella di posta elettronica o al telefono in modo da poter ricevere una notifica quando vengono apportate modifiche a un file o a una cartella fondamentale. Ecco come accedere a questi report:

Avvia ADAudit Plus e accedi → Vai alla scheda File Audit → In File Audit Reports → i seguenti report presentano tentativi non riusciti effettuati sulle cartelle condivise:

    1. Tentativo di lettura del file non riuscito
    2. Tentativo di scrittura del file non riuscito
    3. Tentativo di eliminazione del file non riuscito
    Questi report contengono i seguenti dettagli:
    1. Nome del file
    2. Nome dell'utente la cui richiesta non è andata a buon fine
    3. Ora in cui è stata effettuata la richiesta di handle
    4. Nome del server in cui si trova il file
     report dei tentativi falliti Per classificare i tentativi di accesso non riusciti in base alle condivisioni, vai alla scheda Share Based Reports e seleziona il report Failed attempts to Read File. Seleziona la condivisione in cui vuoi tenere traccia delle modifiche. Vengono visualizzati i dettagli di tutte le modifiche apportate a questa condivisione, in modo simile al report precedente.
  • Passaggio 1: abilita il criterio "Controlla accesso agli oggetti"

  • Avvia la console Gestione Criteri di gruppo (Esegui --> gpedit.msc)

  • Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente il file server oppure modifica l'oggetto Criteri di gruppo esistente collegato al dominio pertinente.

  • Vai a Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri controllo.

  • In Criteri controllo, seleziona "Controlla accesso agli oggetti" e attiva il controllo sia per le operazioni riuscite che per quelle non riuscite.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Passaggio 2: modifica la voce di controllo nel rispettivo file/cartella

    Individua il file o la cartella per cui vuoi tenere traccia dei tentativi di accesso non riusciti. Fai clic con il tasto destro sul file/sulla cartella e vai su Proprietà. Nella scheda Sicurezza, fai clic su Avanzate.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • In Impostazioni di sicurezza avanzate, passa alla scheda Controllo e fai clic su Aggiungi per aggiungere una nuova voce di controllo.

    advanced-security-settings-active-directory

  • Nella finestra di dialogo Voce di controllo per Active Directory immetti i dettagli seguenti:

    1. Entità: immetti i nomi degli utenti che vuoi controllare quando accedono a questo file/cartella.
    2. Tipo: seleziona il tipo di accesso che vuoi controllare. È preferibile controllare "tutte" le modifiche.
    3. Si applica a: seleziona se vuoi controllare l'accesso solo per questo file o per tutte le sottocartelle e i file.
    4. Autorizzazioni di base: scegli i tipi di autorizzazioni che vuoi controllare. Per le tue esigenze specifiche, fai clic su "Autorizzazioni avanzate" e seleziona le autorizzazioni "Attraversa cartella/Esegui file", "Elenca cartella/Leggi dati", "Leggi attributi" e "Leggi attributi estesi".
    auditing-entry-file-access-auditing
  • Passaggio 3: visualizza i log di controllo nel Visualizzatore eventi

    Ogni volta che un utente tenta di accedere al file/cartella selezionato e il tentativo non va a buon fine, l'azione verrà registrata nel Visualizzatore eventi. Per visualizzare questo registro di controllo, accedi al Visualizzatore eventi. In Registri di Windows, seleziona Sicurezza. Puoi trovare tutti i registri di controllo nel riquadro centrale come mostrato di seguito.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Per filtrare i registri eventi in modo da visualizzare solo quelli relativi ai file o alle cartelle con autorizzazione modificata, seleziona "Filtra registro corrente" nel riquadro di destra. Ti sarà sufficiente cercare gli ID evento 4656 e 4663 che indicano le modifiche alle autorizzazioni di file/cartelle. Puoi vedere chi ha effettuato l'accesso al file nel campo "Nome account" e l'ora di accesso nel campo "Registrato".

    audit-failed-access-attempts-to-shared-folder-event-properties-event4663

Il controllo nativo è un po' troppo?

Semplifica il controllo dei file server e la creazione di report con ADAudit Plus.

Richiedi la tua prova gratuita Versione di prova di 30 giorni completamente funzionante

Richiedere supporto

Grazie!

I nostri tecnici dell'assistenza ti ricontatteranno al più presto.

    Inserire un indirizzo email valido
  •  
     
  • Cliccando 'invia richiesta' accetti l’elaborazione dei propri dati personali secondo l’Informativa sulla privacy.

Zoho Corporation Pvt. Ltd. Tutti i diritti riservati.