Article ID: 112156, created on Nov 7, 2013, last review on May 10, 2014

  • Applies to:
  • Plesk 12.0 for Windows

Informazione

I controlli degli eventi e la configurazione della sicurezza ricadono fuori l'ambito del Supporto Parallels e dovrebbero essere eseguiti dall'amministratore di sicurezza della vostra azienda.
Tuttavia, esistono alcuni consigli per gli strumenti creati da Microsoft Windows che vi permetteranno di eseguire controlli su file e cartelle, nonché proteggere il server dall'utilizzo non autorizzato.

In alcuni casi occorre sapere chi e quando ha modificato o eliminato un file o cartella. Microsoft Windows consente di monitorare diversi tipi di eventi per finalità correlate alla sicurezza.

Questo articolo descrive il modo in cui configurare un controllo di file su un server Windows 2008 R2 e come ottenere i dati di registro.

  1. Abilita Controlla tracciato processo per i risultati Operazioni riuscite e Operazioni non riuscite:
    1. Apri Start -> Esegui.
    2. Digita secpol.msc e premi Invio.
    3. Naviga verso Impostazioni protezione -> Criteri locali -> Criteri di controllo.
    4. Modifica l'opzione Controlla tracciato processo abilitando sia il controllo degli eventi delle Operazioni riuscite sia quello delle Operazioni non riuscite.

    Le impostazioni conseguenti dovrebbero essere simili a quelle dell'immagine seguente:

     
  2. Propagare le modifiche ai criteri:
    1. Apri Start -> Esegui.
    2. Digita gpupdate /force e premi Invio.
     
  3. Configura il controllo sui file e cartelle richiesti per i tipi di eventi necessari:
    1. Apri Windows Explorer e naviga verso il file (cartella) in questione.
    2. Fai clic destro sul file e chiama il menu Avanzate nella scheda Protezione nelle Proprietà
    dei file. 3. Passa alla scheda Controllo e premi il pulsante Modifica.
    4. Fai clic su Aggiungi per scegliere gli utenti e i gruppi per il monitoraggio. La pratica comune è aggiungere il gruppo Utenti autenticati.
    5. Seleziona le caselle di controllo sugli eventi richiesti sia per le Operazioni riuscite sia per le Operazioni non riuscite in Voci di controllo. Per un controllo esplicito, selezionare tutte le caselle di controllo.

    Le impostazioni conseguenti dovrebbero essere simile a quelle dell'immagine seguente:

In questo modo, tutti i tentativi di accesso saranno tracciati nel registro Protezione del Visualizzatore eventi. Se l'amministratore di sicurezza desidera controllare se è stato eseguito o no l'accesso al file, il modo più semplice per farlo è quello di esportare il testo di registro di protezione del visualizzatore di eventi o il file HTML e trovare i rispettivi eventi di accesso:
  1. Esporta il log Protezione dal Visualizzatore di eventi:
    1. Apri Start -> Esegui.
    2. Digita la riga sottostante e premi Invio:
     
    wmic ntevent where log='Security' get LogFile, SourceName, EventType,Message, TimeGenerated /format:htable > C:\SecurityLog.htm
     
     
  2. Trova le rispettive voci di registro nel file HTML conseguente:
    1. Apri il HTML conseguente sul browser web.
    2. Apri la ricerca contestuale con Ctrl+F.
    3. Cerca il nome di file richiesto per sapere quali tentativi di accesso sono stati eseguiti.
    4. In questo esempio vediamo che FileToTrackAccess.txt è stato aperto con notepad.exe

    Una volta trovato, ricorda l'ID di accesso per trovare l'indirizzo IP dal quale l'utente ha eseguito l'accesso.
     
  3. Trova l'evento di accesso corrispondente nel file HTML usando l'ID di accesso dal passaggio precedente:

    Come mostrato nell'immagine, le modifiche notepad.exe sono state eseguite dall'utente Amministratore che ha accesso remotamente dall'IP 192.168.39.235.

NOTA: Questa procedura potrebbe non funzionare come previsto se il server è un membro di un dominio Active Directory con assegnati dei criteri di gruppo. Per maggiori informazioni su tale aspetto è necessario contattare il proprio amministratore di network.

Informazioni aggiuntive

I passaggi sopra elencati rappresentano uno di tanti possibili modi per controllare l'accesso a file e cartelle sul vostro server.
Si consiglia di fornire queste informazioni all'amministratore di sicurezza della propria azienda per eseguire l'attività in modo più efficiente.

Altre sorgenti:
http://www.ultimatewindowssecurity.com/wiki/WindowsSecuritySettings/Recommended-Baseline-Audit-Policy-for-Windows-Server-2008
http://www.computerperformance.co.uk/w2k3/gp/group_policy_security_audit.htm
http://oreilly.com/pub/a/windows/2005/07/26/audit_policy.html
http://technet.microsoft.com/en-us/library/dd277403.aspx

85a92ca67f2200d36506862eaa6ed6b8 a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c ed7be2b984f9c27de1d2dc349dc19c6d a766cea0c28e23e978fa78ef81918ab8

Email subscription for changes to this article
Save as PDF