Chi elimina le cartelle/file di rete?

Chi elimina le cartelle/file di rete?

mi è capito diverse volte che delle cartelle e dei file di rete venissero eliminati da chissà quale utente; ovviamente impossibile che il colpevole ammettesse l’errore, sono iniziate ad arrivarmi richieste riguardo ad un modo certo, per verificare chi fosse stato ad eliminare questi file.

Il metodo certo esiste, lo mette a disposizione il nostro file-server ed è di facile implementazione e si chiama: auditing su file e cartelle.

 

Per abilitare questa funzionalità è necessario creare una Group Policy e applicarla a tutti i file-server presenti nella nostra rete.

Step 1 Creazione Group Policy per File Server

Apriamo il Group Policy Manager  agendo su Server Manager –> Strumenti –> Gestione Criteri di Gruppo :

GPM

 

Creiamo la nuova Policy e assegniamo un nome :

 

GPM1

 

GPM2

 

Editiamo la policy e andiamo a modificare le proprietà sotto il percorso :

Configurazione Computer –> Impostazioni di Windows –> Impostazioni di Sicurezza –> Criteri Locali –> Criteri di Controllo –> Controlla accesso agli oggetti

 

GPM3

 

Abilitiamo il controllo solo per le operazioni riuscite,questa scelta limita il volume di informazioni salvate, il fallimento inoltre indicherebbe il blocco esplicito da parte dei filtri di accesso. Tuttavia se si ha interesse a ricevere anche questo tipo di eventi abilitate entrambe le voci (Succes, Failure).

 

auditfile1

 

Nella delega della Policy inseriamo i permessi per i soli file server, nel nostro caso ho inserito l’account computer “Server-DC” dando permessi ” Applica Group Policy ”

 

GPM5

 

Step 2 Applicazione della policy

Su tutti i file server ( nel nostro caso solo Server-dc ) forzare l’aggiornamento delle policy eseguendo il comando :

gpupdate /force 

force

verificare poi che la policy sia applicata con il comando  :

gpresult /r

result

 

Step 3 Abilitazione del controllo sulle cartelle

A questo punto dobbiamo definire quali cartelle del server devono essere controllate, le esigenze potrebbero essere diverse, dal controllo di tutto l’albero dati a quello di specifiche cartelle con file particolarmente delicati.

Per impostare i criteri di Audit lavoriamo direttamente sul file server, dove andremo a raggiungere la cartella il cui contenuto deve essere monitorato, quindi :

tasto destro –>Proprietà –> Sicurezza –> Avanzate –> Controllo –>Aggiungi –> Mostra autorizzazioni Avanzate


audit3

 

Nella schermata dobbiamo configurare i seguenti elementi:

  • Entit à– indicare il gruppo di utenti per i quali deve essere abilitato il controllo (suggeriamo tutti gli utenti inclusi gli amministratori)
  • Tipo  – qui è possibile indicare se si intendono tracciare solo gli eventi con successo, con fallimento o entrambi (per il nostro caso selezioniamo Operazione Completata )
  • Si applica a  – dalla tendina è possibile selezionare quali oggetti sono soggetti al Audit
  • Permessi Avanzati – da questa sezione è possibile selezionare gli eventi per i quali si intende attivare il monitoraggio (nel nostro caso interessa solo Elimina files e cartelle )
  • Aggiungi Condizione – E’ possibile inserire delle esclusioni per creare meno log o ottimizzare l’audit

Confermiamo il salvataggio delle impostazioni andando a specificare che le regole di Audit devono essere ereditate da tutti gli oggetti contenuti nella cartella, in modo che anche i nuovi file e le nuove cartelle siano coinvolte nel controllo.

 

Step 4 Verifichiamo i log

Sempre nel file server vedremo le informazioni di cancellazione all’interno degli eventi di windows

Event Viewer –>Windows Setting –>Security

Gli eventi di nostro interesse sono quelli con categoria File System e Event ID 4656, per i quali possiamo anche impostare una vista personalizzata (Custom View).

L’evento registrato ci fornisce la login del utente che ha eseguito la cancellazione e il file cancellato.

deleted

I file di log di windows e lo spazio

Immagazzinare dati di log per lunghi periodi implica l’occupazione di molto spazio disco, inoltre non è consigliabile che questi archivi diventino troppo grandi con il rischio di essere lenti da aprire ed alimentare.

La soluzione ottimale sarebbe quelle di impostare la rotazione dei log in modo che prima della pulizia i dati correnti vengano salvati in automatico, quindi con un tool come robocopy sostati su un supporto esterno.

 

ISCRIVITI ALLA NEWSLETTER DI PC-GURU.IT

Grazie all’iscrizione ti informerò ogni volta che pubblicherò un nuovo contenuto.

Non perderti nemmeno un articolo!

Iscriviti alla nostra newsletter inserendo la tua mail qui :


 

 
admin

Author: admin

Share This Post On

Submit a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *