Come trovare le modifiche ai permessi sui server di file

Netwrix Auditor per Server di File Windows

• Esegui Netwrix Auditor → Vai alla sezione “Reports” → Espandi la sezione “File Servers” → Vai a “File Servers Activity” → Seleziona “Permissions Changes” → Clicca su “View”.

• Per salvare il rapporto, clicca sul pulsante "Esporta" → Scegli un formato dal menu a tendina → Clicca “Salva”.
• Per ricevere regolarmente il rapporto via email, clicca sul pulsante “Iscriviti” e scegli il programma che preferisci.

Scopri di più su Netwrix Auditor per Server di File Windows

Auditing nativo

• Naviga fino alla condivisione di file richiesta → Fai clic destro e seleziona "Proprietà" → Vai alla scheda "Sicurezza" → Clicca sul pulsante "Avanzate" → Vai alla scheda "Controllo" → Clicca sul pulsante "Aggiungi" → Seleziona quanto segue:
  • Principale: "Tutti"
  • Tipo: "Tutti"
  • Si applica a: "Questa cartella, sottocartelle e file"
  • Permessi avanzati: "Elimina sottocartelle e file" e "Elimina"
• Esegui gpedit.msc → Crea e modifica un nuovo GPO → Vai a “Configurazione del computer” → Apri “Criteri” → Naviga fino a “Impostazioni Windows” → Seleziona “Impostazioni di sicurezza” → Vai a “Criteri locali” → Seleziona “Criterio di controllo” → Sotto “Controllo accesso agli oggetti”, seleziona le caselle “Successo” e “Errore”.
• Vai alla configurazione "Advanced Audit Policy Configuration" → Seleziona "Audit Policies" → Scegli "Object Access" → Nella sezione "Audit File System", seleziona le caselle "Success" e "Failure" → Nella sezione "Audit Handle Manipulation", seleziona le caselle "Success" e "Failure".
• Collega il nuovo GPO al tuo file server e forza l'aggiornamento della Group Policy.
• Apri Powershell ISE → Crea uno script nuovo con il seguente codice ed eseguilo, specificando il nome del tuo file server e modificando l'intervallo di tempo se necessario (86400000ms copre le ultime 24 ore):

      Get-WinEvent -ComputerName fs1 -LogName Security -FilterXPath "*[System[EventID=4670 and TimeCreated[timediff(@SystemTime) <= 86400000]] and EventData[Data[@Name='ObjectType']='File']]"  | fl | Out-File c:\data\permission_c.txt  
      

• Apri il file di testo prodotto dallo script.

Abilita l'audit dei cambiamenti dei permessi del File Server per rilevare ogni escalation dei privilegi

Gli utenti privilegiati hanno un enorme potere sui vostri file server Windows. Ad esempio, possono modificare i permessi di accesso agli oggetti per ottenere l'accesso ai dati sensibili sul vostro file system o file server. Abilitando l'audit del server Windows delle modifiche ai permessi su file, cartelle e condivisioni è possibile monitorare e controllare i diritti di accesso, riducendo così il rischio di escalation dei privilegi. Il primo passo è eseguire l'audit dei permessi di accesso agli oggetti registrando gli eventi di modifica nel log di Sicurezza, sia con la politica di audit del gruppo di dominio di Active Directory, sia con le impostazioni di sicurezza definite nelle politiche locali su Windows Server.

Dove puoi trovare le modifiche ai permessi delle cartelle nel registro eventi? Puoi cercare manualmente l'ID evento 4670, oppure utilizzare script PowerShell progettati per tracciare le modifiche alle liste di controllo di accesso alla sicurezza (SACL). Tuttavia, assicurati di avere tempo extra a disposizione, perché identificare i valori precedenti e successivi per una modifica scritta in linguaggio di definizione del descrittore di sicurezza (SDDL) non è un compito facile. C'è un modo migliore?

Netwrix Auditor consente l'auditing dell'accesso agli oggetti sui tuoi server di file Windows, dispositivi di storage EMC e filer NetApp, semplificando la tua vita e offrendoti tranquillità. La piattaforma fornisce visibilità su tutti i cambiamenti e tutti gli eventi di accesso (sia riusciti che falliti) attraverso i tuoi archivi file. Ogni evento di modifica include dettagli facili da leggere su chi ha modificato quali permessi su quali file, oltre a quando e dove è avvenuto, così puoi rilevare l'escalation dei privilegi prima che venga fatto alcun danno.