Windows File Server: registra l’accesso a file e cartelle

Windows Server 2022Windows Server 2025

In questo tutorial scopriremo una funzionalità integrata in Windows: il controllo dell’accesso a file e cartelle.

Questa funzionalità consente di registrare tutti i tentativi di accesso riusciti o falliti alle risorse di sistema condivise, come file o directory.

Si basa su un meccanismo per la registrazione degli eventi di sicurezza, che possono essere visualizzati nel registro eventi di Windows.

Abilitare l’audit sui file aziendali sensibili può essere essenziale per rilevare comportamenti anomali, identificare gli utenti che vi accedono e rafforzare la sicurezza complessiva dell’infrastruttura.

Sommario

Configurazione della registrazione degli accessi a file e cartelle

La configurazione avviene in due fasi:

  1. Abilita le impostazioni di controllo sulle cartelle in cui desideri avere tracce di accesso
  2. Configurare i criteri di controllo su Windows Server

Configurazione di audit sulla cartella

Sul file server, aprire le Proprietà di condivisione tramite Server Manager, andare su Autorizzazioni 1 e quindi fare clic su Personalizza autorizzazioni 2.

Sharing Properties

Vai alla scheda Audit 1 e clicca su Aggiungi 2.

Audit tab

Selezionare gli utenti da controllare 1, il tipo (Superato, Non superato o Tutti) 2, selezionare gli elementi da registrare 3, quindi fare clic su OK 4.

Audit configuration

Per visualizzare tutte le autorizzazioni disponibili, incluse le eliminazioni, fare clic su Mostra autorizzazioni avanzate.

L’audit viene aggiunto 1 e visibile come autorizzazione NTFS. Fare clic su Applica 2, quindi su OK 3 e chiudere la finestra delle proprietà di condivisione.

Audit added

Configurare i criteri di controllo sul server

Per funzionare, è necessario abilitare il controllo dell’accesso agli oggetti sul server.

Aprire una finestra Esegui (Ctrl+R) e immettere gpedit.msc per accedere alla console dei criteri locali del computer.

Modificare l’impostazione Accesso all’oggetto di controllo 1 che si trova nel seguente percorso: Configurazione computer / Impostazioni di Windows / Impostazioni di sicurezza / Criteri locali / Criteri di controllo.

local group strategy

Configurare i tipi di audit da abilitare 1 e fare clic su Applica 2, quindi su OK 3.

Configuration of the strategy

La strategia è configurata.

Configured policy

5. Forcer une mise à jour des stratégies, en ouvrant une invite de commande en administrateur et en passant la commande gpupdate.

Visualizza i registri di Windows nel Visualizzatore eventi

Per generare i log, accedere alle cartelle e ai file in base ai parametri di audit definiti.

Sul server, aprire il Visualizzatore eventi e andare su Registri di Windows 1 / Sicurezza 2. Cercare gli eventi nella categoria File System.

event observer

Esempio di log:

Conclusione

Grazie alle funzionalità di controllo, ora puoi vedere gli utenti che navigano tra le condivisioni e sono troppo ficcanaso.

Personalmente, consiglio di attivare questa funzionalità sui file sensibili e di registrare solo i rifiuti, perché il numero di record può rapidamente diventare significativo e avere un impatto anche sulle prestazioni del sistema.

È anche possibile inviare gli eventi a un pozzo di log (SIEM) come ELK o Wazuh per uno sfruttamento più semplice.

Per proteggere al meglio l’accesso alle condivisioni, consiglio anche di abilitare l’enumerazione basata sull’accesso.

È anche possibile vedere in tempo reale i file a cui si accede su una condivisione di rete.

Server di file
Soutenir
LinkedInReddit

📚 Articles similaires

Romain Drouche
Architetto di sistema | MCSE: Infrastruttura di base
Esperto di infrastrutture IT con oltre 15 anni di esperienza sul campo. Attualmente Project Manager Sistemi e Reti ed esperto di Sicurezza dei Sistemi Informativi, utilizzo la mia competenza per garantire l'affidabilità e la sicurezza degli ambienti tecnologici.

Lascia un commento