Come rilevare modifiche ai file in una cartella condivisa

Netwrix Auditor for File Servers

1. Esegui Netwrix Auditor → Vai alla sezione “Reports” → Espandi la sezione “File Servers” → Vai a “File Servers Activity” → Seleziona "File Server Changes" → Clicca su "View".
2. Per salvare il rapporto, clicca sul pulsante "Esporta" → Scegli un formato dal menu a tendina → Clicca “Salva”.

Scopri di più su Netwrix Auditor for File Servers

Auditing nativo

1. Naviga fino alla condivisione di file → Fai clic destro e seleziona "Proprietà" → Vai alla scheda "Sicurezza" → Clicca sul pulsante "Avanzate" → Vai alla scheda "Controllo" → Clicca sul pulsante "Aggiungi" → Seleziona Principale: "Tutti"; Seleziona Tipo: "Tutti"; Seleziona Applica a: "Questa cartella, sottocartelle e file" → Seleziona i seguenti "Permessi avanzati": Creare file/scrivere dati, creare cartelle/aggiungere dati, Scrivere attributi, Scrivere attributi estesi.
2. Esegui gpedit.msc → Configura la Criteri di Dominio Predefiniti → Configurazione del Computer → Criteri → Impostazioni di Windows → Impostazioni di Sicurezza → Criteri Locali → Criteri di Controllo → Controllo accesso agli oggetti → Definisci "Successi e Fallimenti".
3. Nella "Configurazione avanzata delle policy di audit", regola Audit File System → Definisci "Successi e Fallimenti" e “Audit Handle Manipulation” → Definisci "Successi e Fallimenti".
4. Vai al Registro eventi → Imposta "Dimensione massima del registro di sicurezza" a 1 GB e "Metodo di conservazione del registro di sicurezza" su "Sovrascrivi eventi secondo necessità".
5. Apri "Event viewer" → Cerca nei Log di Sicurezza di Windows l'ID evento 4656 con la categoria di attività "File System" o "Removable Storage" e con la stringa "Accessi: WriteData". "Subject Security ID" ti mostrerà chi ha modificato il file.

Automatizzare l'audit delle modifiche ai file per individuare rapidamente le modifiche malevole

Le modifiche ai file in una cartella condivisa, come l'eliminazione o lo spostamento di file, possono portare alla perdita di informazioni o addirittura alla divulgazione di dati sensibili, che a loro volta possono risultare in una riduzione dei ricavi, sanzioni legali e danni alla reputazione dell'organizzazione. Pertanto, i professionisti IT devono monitorare le modifiche ai file nelle cartelle condivise sui server di file basati su Windows. Un monitoraggio continuo e completo consente al personale IT di individuare ogni sospetta modifica di file in modo tempestivo e ottenere i dettagli azionabili necessari per le indagini di sicurezza.

Netwrix Auditor for Windows File Servers consente di monitorare le modifiche ai file sui server di file basati su Windows. L'applicazione esegue il monitoraggio delle modifiche ai file e fornisce report con tutti i dettagli critici di chi, cosa, dove e quando. Una ricerca interattiva dei dati simile a Google offre la flessibilità di trovare informazioni dettagliate su utenti specifici, come tutti i file che hanno modificato. Questa funzionalità è particolarmente utile quando si tratta di indagare su attività sospette sui file, come tutte le modifiche ai file nella cartella Contabilità effettuate da un determinato dipendente delle Risorse Umane.