giovedì 3 dicembre 2020

Windows Server 2019: File Auditing

In questo articolo verrà mostrato come implementare un controllo per individuare i file creati/cancellati da un utente all'interno di una cartella. Nello specifico andremo ad impostare l'audit sul contenuto della Cartella condivisa, creata nell'articolo Windows Server 2019: Mappare automaticamente una cartella condivisa, per gli utenti che appartengono alla UO Direzione. In questo modo tutte le operazioni effettuate sui file presenti all'interno della Cartella condivisa (come la creazione/eliminazione/modifica) da tali utenti, verranno registrare.

  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 1 - Server Manager
  • Espandere il dominio mycompany.local e cliccare, con il tasto destro del mouse, sull'unità organizzativa Direzione. Dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento...

    Crea un oggetto Criteri di gruppo
    FIG 2 - Crea un oggetto Criteri di gruppo

  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_File_Auditing_PF e cliccare su OK

    Nuovo oggetto Criteri di gruppo
    FIG 3 - Nuovo oggetto Criteri di gruppo

  • Cliccare con il tasto destro del mouse sull'oggetto Criteri di gruppo appena creato e selezionare Modifica. 
    Modifica GPO
    FIG 4 - Modifica GPO

  • Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo e cliccare due volte su Controlla accesso agli oggetti.
    Controlla accesso agli oggetti
    FIG 5 - Controlla accesso agli oggetti

  • Selezionare la casella Definisci le impostazioni relative ai criteri quindi selezionare anche le caselle Operazioni riuscite e Operazioni non riuscite e confermare cliccando su OK.
    Proprietà Controlla accesso agli oggetti
    FIG 6 - Proprietà Controlla accesso agli oggetti

  • Lo stesso criterio di gruppo deve essere applicato anche al container Domain Controllers. Da Gestione Criteri di gruppo, cliccare su Domain Controllers con il tasto destro del mouse e dal menu contestuale selezionare Collega oggetto Criteri di gruppo esistente.
    Collega oggetto Criteri di gruppo esistente
    FIG 7 - Collega oggetto Criteri di gruppo esistente

  • Selezionare il criterio di gruppo GPO_File_Auditing_PF creato in precedenza e cliccare su OK.
    Seleziona oggetto Criteri di gruppo
    FIG 8 - Seleziona oggetto Criteri di gruppo

  • Il prossimo passo consiste nello specificare il target di questo Audit. Da Esplora file posizionarsi sulla cartella c:\Cartella condivisa, cliccarci su con il tasto destro del mouse e selezionare Proprietà.
    Visualizzazione proprietà Cartella condivisa
    FIG 8 - Visualizzazione proprietà Cartella condivisa

  • Nella scheda Sicurezza cliccare sul pulsante Avanzate.
    Proprietà Cartella condivisa
    FIG 9 - Proprietà Cartella condivisa

  • Selezionare la scheda Controllo e cliccare sul pulsante Aggiungi.
    Impostazioni avanzate di sicurezza
    FIG 10 - Impostazioni avanzate di sicurezza
  • Cliccare sul link Seleziona un'entità.
    Voci di controllo per Cartella condivisa
    FIG 11 - Voci di controllo per Cartella condivisa
  • Negli articoli precedenti abbiamo creato il gruppo GRP_Direzione contenente tutti gli utenti dell'unità organizzativa Direzione. In questo passaggio utilizzeremo proprio tale gruppo per fare in modo di applicare il controllo a tutti gli utenti che appartengono all'unità organizzativa. Nel campo Immettere il nome dell'oggetto da selezionare digitare GRP_Direzione e cliccare sul pulsante Controlla nomi quindi su OK.
    Seleziona Utente, Computer, Account servizio o Gruppo
    FIG 12 - Seleziona Utente, Computer, Account servizio o Gruppo

  • All'interno della casella Tipo selezionare Tutto quindi cliccare sul link Mostra autorizzazioni avanzate.
    Voci di controllo per Cartella condivisa
    FIG 13 - Voci di controllo per Cartella condivisa

  • Selezionare le caselle Elimina, Creazione file/Scrittura dati e Creazione cartelle/Aggiunta dati e cliccare su OK.
    Voci di controllo per Cartella condivisa, Autorizzazioni avanzate
    FIG 14 - Voci di controllo per Cartella condivisa, Autorizzazioni avanzate

  • Nella finestra Impostazioni avanzate di sicurezza per Cartella condivisa cliccare su OK per chiudere la finestra. Fare lo stesso per la finestra Proprietà - Cartella condivisa.



  • Verificare il funzionamento del Audit

    Non ci resta che testare il funzionamento del nostro audit. 
    • Su una workstation del dominio loggarsi con un utenza appartenente alla UO Direzione. Accedere alla cartella condivisa (\\Server1DC\Cartella condivisa) e creare/cancellare qualche file.
    • Ritornare sul server e avviare il Visualizzatore Eventi (premere la combinazione WIN+R e digitare eventvwr seguito da invio).
    • Posizionarsi su Registri di Windows -> Sicurezza e cliccare su Trova.
      Visualizzatore eventi
      FIG 15 - Visualizzatore eventi

    • Possiamo effettuare la nostra ricerca immettendo il nome dell'utente che intendiamo verificare (Ad es. giovanni.lubrano) oppure il nome del file che è stato cancellato dalla Cartella condivisa ( ad es test1.txt). Cliccando su Trova successivo verrà ricercato ed eventualmente visualizzato l'evento di proprio interesse. Come visibile da FIG 17 la ricerca degli eventi relativi al file test1.txt presente all'interno di Cartella condivisa ha dato i suoi frutti: il file risulta essere stato cancellato dall'utente Giovanni.Lubrano alle ore 22:37 del giorno 03/09/2020.
      Visualizzatore eventi, Trova
      FIG 16 - Visualizzatore eventi, Trova

      Informazioni Audit
      FIG 17 - Informazioni Audit






    Nessun commento:

    Posta un commento

    I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.