Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Monitoraggio dell'accesso ai file di Windows

Monitoraggio dell'accesso ai file di Windows

Dec 9, 2022

In questo post, esamineremo come configurare l'file access auditing su un file server Windows ed esploreremo le sfide nell'interpretare gli eventi critici di accesso.

Sfondo

Il primo passo nello sviluppo di una strategia di audit efficace consiste nel comprendere bene i propri sistemi, casi d'uso e necessità aziendali, in modo da evitare l'impatto di configurare un ambito di audit più ampio di quanto sia effettivamente necessario. Più impostazioni di audit policy scegli e più file e cartelle auditi, più lavoro deve fare il server dei file per registrare gli eventi, più spazio di archiviazione è richiesto per accomodare il volume degli eventi e più dati gli amministratori devono analizzare per capire chi sta accedendo a cosa.

Di conseguenza, prima di abilitare una policy di audit, assicurati di:

  • Determina dove sono memorizzati i dati più critici della tua organizzazione e stabilisci le priorità dei file e delle cartelle che devono essere sottoposti a revisione.
  • Determina la quantità di spazio di archiviazione che sarà necessaria per supportare le impostazioni di audit scelte.

Contenuti correlati selezionati:

Configurazione dell'auditing dell'accesso ai file su un server di file Windows

In questo post del blog, mostrerò come abilitare una policy di audit avanzata tramite Group Policy su un controller di dominio che esegue Windows Server 2016 R2. (Se hai solo un singolo file server, potresti utilizzare la Security Policy al suo posto.)

La policy di audit avanzata consente agli amministratori di essere più selettivi nei tipi e nel numero di eventi da restituire rispetto a quanto possono fare con le impostazioni della policy di audit di base. In particolare, quando si tratta di audit dell'accesso ai file, la policy di base fornisce un'unica impostazione mentre la policy avanzata ne fornisce 14 sottocategorie. In questo esempio, abiliteremo le seguenti opzioni:

  • Audit File System — Verifica i tentativi degli utenti di accedere agli oggetti del file system.
  • Audit Handle Manipulation — Aggiunge visibilità ai tentativi di accesso falliti.
  • Crea un nuovo oggetto Criteri di gruppo (GPO) tramite Group Policy Management e inserisci un nome appropriato.
Image
  • Fare clic con il pulsante destro del mouse sul nuovo GPO per avviare la finestra dell'Editor di Gestione Criteri di Gruppo.
Image
  • Vai a Computer Configuration –> Windows Settings –> Advanced Audit Policy Configuration –> Audit Policies –> Object Access.
Image
  • Fai doppio clic su Audit File System. Quindi seleziona Configura i seguenti eventi di controllo e scegli sia Successo che Fallimento. Salva le modifiche cliccando su Applica e poi clicca su OK.
Image
  • Fai doppio clic su Audit Handle Manipulation. Seleziona Configura i seguenti eventi di audit e scegli sia Successo che Fallimento. Poi clicca su Applica e poi su OK.
Image
  • Ora dobbiamo collegare il nuovo GPO con l'OU che contiene i file server. In Group Policy Management, clicca con il tasto destro sull'OU, seleziona Link an existing GPO…, seleziona il GPO che abbiamo creato (File System Access Policy) e clicca OK per applicarlo all'OU selezionato. Poi forza i file server a verificare la nuova group policy: Clicca con il tasto destro sull'OU in Group Policy Management di nuovo, clicca Group Policy Update e segui i passaggi della procedura guidata.
Image
  • Passa alle proprietà del registro di sicurezza sul server di file Windows di destinazione. Quindi configura la Maximum log size (KB) e l'azione da intraprendere se viene raggiunta la dimensione massima del registro eventi.
Image
  • Naviga alla scheda di sicurezza nelle proprietà di ogni cartella di destinazione –> clicca su Advanced –> vai alla scheda Auditing –> clicca su Add –> configura le impostazioni di auditing. Supponendo che queste cartelle contengano gli asset più critici della tua organizzazione, vorrai probabilmente monitorare gli eventi di accesso da parte di tutti gli utenti selezionando il principio “Everyone”.
Image

Sfide con l'auditing dell'accesso ai file

Ora esaminiamo alcune delle principali sfide nell'auditing dell'accesso ai file.

Alto volume di eventi

Gli amministratori spesso faticano a gestire efficacemente l'enorme volume di dati di audit che viene prodotto. Ad esempio, esaminiamo gli eventi creati dal seguente scenario comune:

  1. Un utente apre un documento Microsoft Word su una condivisione file.
  2. L'utente modifica il documento.
  3. L'utente salva e chiude il documento.

Questo comportamento ordinario comporterebbe la registrazione di oltre 200 eventi nel registro eventi, come mostrato di seguito. Moltiplicate questo per il numero di volte che questa attività verrà eseguita dagli utenti ogni giorno, e si può facilmente capire come rapidamente il compito di monitorare l'accesso ai file diventi ingombrante!

Image

Ecco ulteriori dettagli sugli eventi che potrebbero essere restituiti nel nostro semplice scenario:

ID evento

Descrizione


Dettagli

4656

È stata richiesta una gestione per un oggetto

Questo è il primo evento registrato quando un utente tenta di accedere a un file; include il tipo di accesso che viene richiesto.

4658

Il handle di un oggetto è stato chiuso

Questo evento registra quando un handle a un oggetto è stato chiuso. È utile per determinare per quanto tempo un file è rimasto aperto.

4660

È stato eliminato un oggetto

Questo evento viene registrato quando un oggetto viene eliminato. Per scoprire di quale oggetto si tratta, è necessario correlarlo a un corrispondente evento 4656.

4663

È stato fatto un tentativo di accedere a un oggetto

Questo evento identifica l'operazione tentata contro un file o una cartella, come ReadData, WriteData o Delete.

4670

I permessi su un oggetto sono stati modificati

Questo evento viene registrato quando vengono modificate le autorizzazioni di un file o di una cartella. Mostra chi ha effettuato la modifica e i valori precedenti e successivi.

Rumore dai file temporanei

L'esempio sopra ha restituito 230 eventi — ma quasi la metà di essi sono stati registrati su file temporanei che esistevano solo per un breve periodo.

Microsoft Office utilizza file temporanei per diversi scopi, inclusi il salvataggio automatico dei dati durante la modifica, liberare memoria ed evitare la perdita di dati. Sebbene ciò offra agli utenti un'esperienza migliore, rappresenta un enorme mal di testa per l'amministratore incaricato di gestire la traccia di controllo: per comprendere quali oggetti vengono accessi, non devono solo correlare diversi ID evento, ma devono anche identificare e scartare gli eventi relativi ai file temporanei.

Difficoltà nel comprendere le modifiche ai permessi

L'evento 4670 viene registrato quando viene modificata un'autorizzazione su un file o una cartella. È fondamentale monitorare questi eventi poiché possono mettere a rischio informazioni sensibili, come quando viene aggiunta un'autorizzazione di cartella al gruppo degli Utenti di Dominio. Ecco un esempio di evento:

Image

L'evento 4670 può essere difficile da gestire per diversi motivi:

  • Il descrittore di sicurezza è rappresentato utilizzando il linguaggio Security Descriptor Definition Language (SDDL), quindi l'amministratore deve tradurlo in un formato leggibile.
  • Una volta tradotto, l'amministratore deve confrontare attentamente i descrittori di sicurezza originali e nuovi per identificare i permessi modificati.

Correlazione di eventi per comprendere il movimento dei file

Comprendere lo spostamento di file da una posizione all'altra può essere fondamentale, ad esempio, quando i documenti di un utente sono mancanti e devono essere ritrovati. Ma spostare un file, sia tramite trascinamento che taglia-e-incolla, genera molti eventi, molti dei quali sono eventi 4663. Per determinare dove è stato spostato un file, gli amministratori devono filtrare manualmente gli eventi di disturbo e correlare gli eventi 4663 che hanno un Handle ID corrispondente.

Image

Come può Netwrix aiutare?

Come abbiamo visto, l'auditing nativo dell'accesso ai file sommerge gli amministratori con così tanti dati sugli eventi e sforzi manuali di filtraggio e correlazione che non rappresenta un modo praticabile per rispondere a domande cruciali riguardo l'accesso ai file, le modifiche ai permessi e lo spostamento dei file.

Il software di Data access governance di Netwrix fornisce un approccio efficace e scalabile al monitoraggio delle attività sui file. Inoltre, ti aiuterà a ridurre il rischio di incidenti di cybersecurity consentendoti di capire chi ha accesso a cosa e limitare rigorosamente l'accesso ai dati sensibili. Puoi:

  • Verifica l'attività in tutto il tuo ecosistema IT.
  • Riduci l'accesso ai dati sensibili al minimo necessario per ridurre il rischio di insider threat e minimizzare i danni da ransomware e altri attacchi.
  • Razionalizza le attestazioni regolari dei privilegi da parte dei proprietari dei dati.
  • Proteggi i dati sensibili ovunque vadano con un'etichettatura precisa e coerente dei contenuti.

FAQ

Come monitorare l'accesso ai file in Windows?

Il monitoraggio dell'accesso ai file di Windows richiede l'abilitazione della policy di audit per l'accesso agli oggetti e la configurazione di cartelle specifiche per l'auditing. Inizia aprendo la Gestione Criteri di Gruppo (gpedit.msc) e naviga fino a Configurazione Computer > Impostazioni Windows > Impostazioni Sicurezza > Criteri Locali > Criteri di Audit. Abilita “Audit accesso agli oggetti” per gli eventi di successo e di fallimento. Successivamente, clicca con il tasto destro sulle cartelle che vuoi monitorare, seleziona Proprietà > Sicurezza > Avanzate > Audit, e aggiungi utenti o gruppi con i tipi di accesso specifici che vuoi tracciare.

La sfida del monitoraggio nativo di Windows è che genera enormi quantità di dati di log senza contesto. Vedrai chi ha accesso a quale file, ma collegare quell'attività al rischio aziendale effettivo richiede un'analisi manuale. Data Security That Starts with Identity significa comprendere non solo l'accesso ai file, ma anche se tale accesso è in linea con le responsabilità lavorative e le esigenze aziendali. Le organizzazioni hanno bisogno di soluzioni che correlino automaticamente i modelli di accesso ai file con i ruoli degli utenti, la sensibilità dei dati e i requisiti di conformità per individuare comportamenti rischiosi prima che si trasformino in una violazione.

Come abilitare l'auditing dei file in Windows Server 2016?

Windows Server 2016 l'auditing dei file segue un processo in due fasi: abilitare la policy di audit e configurare l'auditing a livello di cartella. Aprire la Console di Gestione Criteri di Gruppo e navigare in Configurazione Computer > Criteri > Impostazioni Windows > Impostazioni Sicurezza > Configurazione Avanzata Criteri di Audit > Accesso agli Oggetti. Abilitare “Audit File System” per eventi di successo e fallimento. Applicare la policy utilizzando gpupdate /force.

Per l'auditing specifico di una cartella, accedi alle Proprietà della cartella di destinazione > scheda Sicurezza > Avanzate > scheda Audit. Clicca su Aggiungi per creare nuove voci di audit, specificando quali utenti o gruppi monitorare e quali azioni innescano eventi di audit (Lettura, Scrittura, Eliminazione, Modifica Permessi). Windows Server 2016 ha introdotto capacità di filtraggio migliorate, ma dovrai comunque gestire manualmente la grande quantità di dati di audit. La chiave è concentrarsi sui repository di dati ad alto valore e comprendere che un monitoraggio efficace collega l'accesso ai file al contesto dell'identità – non solo registrare tutto ciò che si muove.

Come abilitare l'auditing dei file in Windows Server 2019?

Windows Server 2019 semplifica l'audit dei file con opzioni di Group Policy migliorate e filtraggio degli eventi più efficace. Accedi alla Configurazione delle Policy di Audit Avanzate tramite Gestione Group Policy > Configurazione Computer > Policy > Impostazioni Windows > Impostazioni Sicurezza > Configurazione delle Policy di Audit Avanzate > Accesso agli Oggetti. Abilita “Audit File System” e considera di abilitare anche “Audit File Share” per il monitoraggio dell'accesso alla rete.

Configurate l'auditing delle cartelle attraverso la scheda Sicurezza > Avanzate > Auditing, dove Server 2019 offre un controllo più granulare su quali operazioni sui file generano eventi. La piattaforma include un miglior filtro per i file temporanei e i processi di sistema, riducendo il rumore nei log di audit. Tuttavia, la sfida fondamentale rimane: i dati grezzi di audit non si traducono automaticamente in intuizioni sulla sicurezza. È possibile registrare ogni interazione con i file, ma senza un contesto basato sull'identità, si raccolgono dati invece di intelligence azionabile. Le organizzazioni si concentrano sul collegare i modelli di accesso ai file all'analisi comportamentale degli utenti e alla Data Classification per identificare minacce autentiche piuttosto che annegare in voci di registro.

Dove vengono registrati gli eventi di controllo del file system di Windows?

Gli eventi di audit del file system di Windows vengono registrati nel Registro eventi di sicurezza di Windows, accessibile tramite Visualizzatore eventi in Log di Windows > Sicurezza. Questi eventi appaiono tipicamente con gli ID evento 4656 (richiesta handle), 4658 (handle chiuso), 4663 (tentativo di accesso) e 4660 (oggetto eliminato). È possibile filtrare il registro di sicurezza per questi specifici ID evento per concentrarsi sull'attività di accesso ai file.

Il Security Event Log presenta limitazioni per il monitoraggio dei file aziendali. Si riempie rapidamente, gli eventi mancano di contesto aziendale e correlare i modelli di accesso su più server diventa un processo manuale. Ogni evento mostra dettagli tecnici come gli SID degli utenti e i percorsi dei file, ma non indica se l'accesso rappresenta un'attività aziendale normale o una potenziale minaccia interna. Il monitoraggio dei file di livello aziendale richiede la raccolta centralizzata dei log, la correlazione automatizzata con le informazioni di identità e un filtraggio intelligente basato sulla sensibilità dei dati e sui ruoli degli utenti. L'obiettivo non è solo catturare ogni interazione con i file – è capire quali modelli di accesso rappresentano un rischio reale per la Data Security Posture.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Joe Dibley

Ricercatore di sicurezza

Ricercatore di sicurezza presso Netwrix e membro del Netwrix Security Research Team. Joe è un esperto in Active Directory, Windows e una vasta gamma di piattaforme software aziendali e tecnologie, Joe ricerca nuovi rischi per la sicurezza, tecniche di attacco complesse e relative mitigazioni e rilevamenti.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza