Come tracciare chi ha cancellato un file dai tuoi server di file Windows

Netwrix Auditor for Windows File Servers

1. Esegui Netwrix Auditor. Vai su “Reports” → Clicca su “File Servers” → Seleziona “File Servers Activity” → Clicca su “Files and Folders Deleted” → Clicca su “View”.
2. Digita il nome del server nel campo “Dove”. Puoi anche specificare il percorso di una cartella particolare, utilizzando % come carattere jolly.
3. Esamina il rapporto:

Configurazione dell'auditing del file system

1. Naviga fino alla condivisione di file, clicca con il tasto destro e seleziona "Proprietà" → Seleziona la scheda "Sicurezza" → Clicca sul pulsante "Avanzate" → Vai alla scheda "Controllo" → Clicca sul pulsante "Aggiungi" → Seleziona quanto segue:
   • Principale: "Tutti"
   • Tipo: "Tutti"
   • Si applica a: "Questa cartella, sottocartelle e file"
   • Permessi avanzati: "Elimina sottocartelle e file" e "Elimina"
2. Esegui l'editor dei Criteri di gruppo (gpedit.msc) e crea e modifica un nuovo oggetto Criteri di gruppo (GPO). Specificamente, vai a → Configurazione del computer → Criteri → Impostazioni Windows → Impostazioni di sicurezza → Criteri locali → Criteri di controllo, e configura come segue:
   • Verifica l'accesso agli oggetti → Definisci → Successi e Fallimenti.
3. Vai su "Advanced Audit Policy Configuration" → Audit Policies → Object Access, e configura come segue:
   • Audit File System → Definire → Successi e Fallimenti
   • Audit Handle Manipulation → Definisci → Successi e Fallimenti
4. Collega il nuovo GPO al tuo file server.
5. Applica la tua modifica forzando un aggiornamento della Group Policy: Vai su "Group Policy Management" → Clicca con il tasto destro sull'OU → Clicca su "Group Policy Update".

Revisione degli eventi

1. Apri Visualizzatore eventi e cerca nel registro di sicurezza l'ID evento 4656 con una categoria di attività di "File System" o "Archiviazione removibile" e la stringa "Accessi: DELETE".
2. Esaminare il rapporto. Il campo "Subject: Security ID" mostrerà chi ha eliminato ogni file.

Scopri di più su Netwrix Auditor for Windows File Servers

Eseguire regolarmente audit sulla cancellazione dei file per prevenire interruzioni aziendali

Se un file su un server nel tuo dominio viene eliminato, sia intenzionalmente che per errore, gli utenti potrebbero non essere in grado di accedere alle informazioni critiche di cui hanno bisogno, causando l'interruzione di importanti processi aziendali. Inoltre, senza un'adeguata verifica delle eliminazioni dei file e dell'auditing dei cambiamenti dei permessi di accesso, è impossibile rendere gli utenti responsabili delle loro azioni e prevenire ulteriori eliminazioni non autorizzate.

Microsoft fornisce un metodo nativo per eseguire l'audit delle eliminazioni di file sui server di file Windows. Tuttavia, è necessario aver già attivato l'audit e il processo di ricerca nel registro eventi di Windows per i file eliminati può essere piuttosto oneroso: Dovrete aprire ogni evento nell'elenco per trovare i dettagli, come il nome della persona che ha eliminato il file e l'orario dell'evento.

Netwrix Auditor ti permette di rilevare e indagare facilmente le cancellazioni di file maligne o erronee sui tuoi server di file Windows, dispositivi di archiviazione EMC e filer NetApp. In pochi semplici passaggi, puoi ottenere un report chiaro che mostra tutti i cambiamenti e gli eventi di accesso, inclusi dettagli chiari su chi/cosa/dove/quando. Puoi anche ricevere i report via email automaticamente secondo una pianificazione, e ottenere avvisi su tipi specifici di azioni così da poter rispondere immediatamente. La ricerca interattiva semplificherà e razionalizzerà il processo di indagine. Netwrix Auditor offre anche un avanzato user behavior monitoring che ti tiene informato su attività anomale, come un aumento degli eventi di accesso o cancellazioni di dati in massa, così puoi agire prima di subire una violazione, perdita di dati o inattività.