Vuoi impedire che i dipendenti eliminino file in modo permanente con Shift + Delete aggirando il Cestino? In un dominio Windows non esiste un interruttore unico, ma puoi mettere in campo una strategia combinata (permessi, backup, auditing e formazione) che riduce drasticamente il rischio.
Perché Shift + Delete è un problema (e cosa succede davvero)
Quando un utente preme Delete, per impostazione predefinita Windows sposta il file nel Cestino. Con Shift + Delete il file viene invece eliminato in modo definitivo dal file system locale, saltando il Cestino. Su condivisioni di rete SMB (es. cartelle su file server) il comportamento è spesso già “permanente” anche senza Shift, perché il Cestino locale non si applica al percorso UNC: di fatto qualsiasi Delete lato client rimuove il file su server, a meno che non esista una protezione server-side (snapshot, versioning, recycle bin applicativo, retention).
Ne consegue che “bloccare la scorciatoia” è solo una mitigazione parziale. La soluzione robusta è prevenire o rendere reversibile l’eliminazione sui percorsi critici.
Cosa si può (e non si può) fare via Criteri di Gruppo
- Non esiste una GPO nativa che disattivi esclusivamente Shift + Delete in Esplora file.
- La GPO “Turn off Windows + X hotkeys” (User Configuration ▸ Administrative Templates ▸ Windows Components ▸ File Explorer) disabilita scorciatoie legate al tasto Windows, non intercetta Shift + Delete e può impattare scorciatoie utili. Va usata, se mai, con molta cautela.
- Verifica che “Do not move deleted files to the Recycle Bin” sia Non configurata/Disabilitata (stessa area di criteri): attivarla trasformerebbe qualsiasi Delete in eliminazione permanente, cioè l’opposto di ciò che vuoi.
- Puoi spingere la conferma di eliminazione (prompt) via Group Policy Preferences ▸ Registry impostando per gli utenti un valore coerente con “Mostra conferma eliminazione”. È un deterrente soft ma utile.
Soluzioni emerse nel Q&A (riepilogo)
| Approccio | Come funziona | Limiti / Attenzioni |
|---|---|---|
| 1. GPO “Turn off Windows + X hotkeys” Percorso: User Configuration ▸ Administrative Templates ▸ Windows Components ▸ File Explorer | Disabilita un set ampio di scorciatoie da tastiera, tra cui quelle con il tasto Windows. | Non blocca direttamente Shift + Delete; risolve solo in parte e può impattare altre scorciatoie utili. |
| 2. Restrizione dei permessi NTFS | Revocare il diritto Delete o Delete subfolders and files su cartelle/file sensibili tramite ACL. | Può ostacolare flussi leciti; richiede modellazione precisa dei ruoli e manutenzione periodica. |
| 3. Educazione degli utenti | Formare i dipendenti sui rischi e promuovere l’uso del Cestino (e la richiesta di conferma). | Misura “soft”; dipende dal comportamento dell’utente. |
| 4. Copie Shadow (VSS) & backup | Consentono rollback se un file viene cancellato definitivamente. | Mitigano il danno, non impediscono l’eliminazione. |
| 5. Auditing su eliminazioni | Traccia eventi di Delete per scoprire rapidamente chi/come/quando. | Utile alla risposta incident, non è prevenzione. |
Strategia consigliata: prevenzione + recupero + consapevolezza
- Permessi NTFS restrittivi dove serve (aree “golden”): togliere il diritto Delete agli utenti non autorizzati e, per le cartelle, controllare Delete subfolders and files (chiave per evitare “svuotamenti” di directory).
- Copie Shadow sul file server (Previous Versions) e backup regolari con obiettivo RPO/RTO chiaro.
- Formazione mirata (pillole di 5 minuti) e messaggi coerenti: “Usa Elimina, non Shift + Elimina; chiama l’IT se elimini per errore”.
- Facoltativo – Controlli tecnici addizionali: DLP endpoint o un agent che intercetti la combinazione; AppLocker/WDAC per bloccare utility di cancellazione sicura.
Modellare i permessi NTFS senza rompere i flussi di lavoro
Il diritto “Modify” include l’eliminazione. Se al tuo team serve modificare ma non cancellare, devi creare una voce avanzata senza Delete. Ecco un modello pratico:
| Ruolo | Permessi suggeriti | Note operative |
|---|---|---|
| Readers | Read & Execute | Per consultazione; nessuna scrittura. |
| Editors (senza cancellazione) | Scrittura + Lettura + Esecuzione, senza Delete | Rinomina e spostamenti possono richiedere diritti sul contenitore; testare i casi d’uso. |
| Owners / Responsabili | Modify o Full Control | Limitare a pochi nominativi; loggare le azioni. |
| Servizi/Backup | Full Control (account di servizio) | Segregare rispetto agli utenti, password ruotate e credenziali protette. |
Passi pratici (GUI)
- Tasto destro sulla cartella → Proprietà → scheda Sicurezza → Avanzate.
- Disabilita Ereditarietà se devi personalizzare (valuta l’impatto); copia le voci esistenti.
- Aggiungi il gruppo aziendale (es.
DOMINIO\Editors) con Autorizzazioni speciali: spunta Scrittura, Lettura, Lettura esecuzione e lascia deselezionato Elimina e Elimina sottocartelle e file. Applica l’ereditarietà su cartelle, sottocartelle e file. - Se vuoi impedire lo svuotamento di directory, aggiungi (solo sulla cartella) una voce esplicita NEGA per Delete subfolders and files ai gruppi non autorizzati.
Esempi con ICACLS (da testare in un lab)
Negare l’eliminazione ai membri di DOMINIO\Editors in D:\Dati\Critici preservando la scrittura:
icacls "D:\Dati\Critici" /inheritance:r
icacls "D:\Dati\Critici" /grant "DOMINIO\Editors":(OI)(CI)(RX,W)
icacls "D:\Dati\Critici" /deny "DOMINIO\Editors":(D)
Nota: l’uso di NEGA prevale su CONSENTI. Evita negazioni su gruppi troppo ampi e verifica caso per caso se serve anche bloccare Delete subfolders and files sul contenitore.
Mitigazioni di recupero: Copie Shadow e backup
Previous Versions (VSS) sul file server permette all’utente di ripristinare velocemente una versione precedente o recuperare file cancellati. È la rete di sicurezza più efficace contro eliminazioni (volute o accidentali), incluse quelle da Shift + Delete.
Linee guida
- Abilita le copie Shadow sulle volumi che ospitano dati condivisi; programma snapshot distribuite (es. ogni ora in orario lavorativo).
- Dimensiona lo spazio delle snapshot: se è troppo piccolo, le copie ruotano troppo rapidamente.
- Accompagna VSS con backup off-host (immagini o file-level) per resilienza e retention più lunga.
Ripristino rapido lato utente
- Tasto destro sulla cartella genitore → Proprietà → Versioni precedenti.
- Apri una versione precedente, trova il file, copia & incolla nella posizione corrente.
Formazione e comunicazione (il “terzo pilastro”)
- Mostra all’utente la differenza tra Delete e Shift + Delete e come usare le “Versioni precedenti”.
- Rendi visibile un canale di richiesta ripristino: riduce i tentativi fai-da-te e velocizza il recovery.
- Valuta una notifica (es. script logon) che abiliti il prompt “Vuoi eliminare definitivamente?” per ridurre i clic impulsivi.
Opzioni avanzate e complementari
Endpoint DLP o suite AV con policy di protezione
Alcune soluzioni DLP/EDR consentono di intercettare combinazioni di tasti o azioni di eliminazione su percorsi sorvegliati. È un controllo “hard” che però richiede test di compatibilità applicativa e un piano di eccezioni. Da privilegiare su postazioni ad alto rischio.
AppLocker / WDAC
Non bloccano la scorciatoia, ma impediscono l’esecuzione di utility di wipe sicuro (ad esempio tool che sovrascrivono file e slack space). Crea regole Deny per gli eseguibili non firmati o non aziendali, e Publisher rules che consentano solo binari approvati. Distribuisci inizialmente in Audit mode, poi passa a Enforce.
Script/agent per intercettare Shift + Delete
Se il rischio è elevato e vuoi un blocco esplicito, puoi distribuire via GPO (logon script) un piccolo agente che cattura la combinazione e mostra un avviso. La via più semplice è AutoHotkey compilato in eseguibile.
Esempio di script AutoHotkey (blocca Shift + Delete e mostra messaggio):
; Intercetta Shift+Delete in modo globale
+Delete::
MsgBox, 48, Avviso IT, L'eliminazione permanente è disabilitata. Usa 'Delete' (Cestino) o apri un ticket per la rimozione.
return
Distribuzione: compila lo script in EXE firmato, copia in %ProgramFiles%\Azienda\, crea una Attività Pianificata in esecuzione all’accesso dell’utente. Prevedi esclusioni AV se necessario. Rischi: possibili conflitti con software che usa la stessa combinazione, lag di input in scenari rari; testa su un gruppo pilota.
Policy di retention su OneDrive/SharePoint
Se i profili utente sono reindirizzati su OneDrive for Business o SharePoint (KFM, librerie team), la retention applicativa aggiunge una protezione importante: Recycle Bin a più stadi e policy di conservazione che possono impedire la cancellazione definitiva per un certo periodo. Anche se l’utente fa Shift + Delete lato client, la copia cloud rimane recuperabile entro la finestra di retention.
Auditing e risposta agli incident
Attivare il tracciamento delle eliminazioni consente di capire rapidamente chi ha cancellato cosa e quando, e se si tratta di errore o abuso.
Abilitare l’auditing avanzato
- GPO → Computer Configuration ▸ Windows Settings ▸ Security Settings ▸ Advanced Audit Policy Configuration ▸ Object Access.
- Abilita File System (successo/fallimento).
Impostare SACL sui percorsi critici
- Proprietà cartella → Sicurezza → Avanzate → scheda Controllo (Auditing).
- Aggiungi gruppi/utenti da monitorare, seleziona Elimina e Elimina sottocartelle e file; applica a questa cartella, sottocartelle e file.
Eventi da conoscere
- 4663 – Tentativo di accesso a un oggetto (cerca “Accesses: DELETE” o Access Mask 0x10000).
- 4660 – Un oggetto è stato eliminato.
- Eventi correlati: 4656 (handle richiesto), 4658 (handle chiuso).
Checklist di implementazione (pronta all’uso)
- Mappatura dati: elenca cartelle critiche (HR, Finance, progetti), owner e requisiti di retention.
- Permessi: crea gruppi AD (Readers, Editors-no-delete, Owners). Applica ACL granulate; evita NEGA globali.
- VSS: abilita snapshot sui volumi dati; dimensiona lo storage; pubblica la guida “Versioni precedenti”.
- Backup: pianifica backup giornalieri; prova un ripristino end-to-end ogni trimestre.
- Conferma eliminazione via GPP Registry: imposta il prompt agli utenti.
- Auditing: abilita Advanced Audit ▸ File System; definisci SACL; inoltra i log al SIEM.
- Comunicazione: micro-pillole su Delete vs Shift + Delete; tempi di ripristino; canale di supporto.
- Pilota per un eventuale agent che intercetti Shift + Delete; monitora esperienza utente.
- AppLocker/WDAC: regole Deny per utility di wipe; fase Audit → Enforce.
FAQ operative
Posso rimappare la tastiera per “uccidere” Shift + Delete?
La rimappatura di basso livello (Scancode Map) agisce sui tasti singoli, non sulle combinazioni. Rimuovere il tasto Shift o Delete non è realistico. Serve un hook software (agent) per la combinazione.
Se blocco Shift + Delete, ho risolto anche sulle condivisioni?
No. Sulle share SMB l’eliminazione è già “hard”. Proteggi lato server con VSS/backup e ACL corretti.
Il prompt “Confermi l’eliminazione?” è sufficiente?
Aiuta a ridurre gli incidenti, ma non è una misura di sicurezza. Un utente determinato può confermare comunque.
Rinominare/spostare richiede il diritto Delete?
Alcuni scenari di rinomina e spostamento ereditano diritti dal contenitore (es. Delete subfolders and files). Per questo è essenziale testare i flussi prima di applicare le ACL in produzione.
Errori comuni da evitare
- Abilitare “Do not move deleted files to the Recycle Bin”: rende tutte le eliminazioni permanenti.
- Negazioni troppo ampie nelle ACL: complicano la manutenzione e creano bug sottili. Usa gruppi dedicati e deny mirati.
- Credere che il Cestino protegga tutto: non si applica alle share di rete; i file “grandi” possono bypassarlo se eccedono la capienza.
- Nessun test di ripristino: backup e VSS valgono quanto la loro prova di restore.
Procedura guidata: attiva il prompt di conferma via GPO (opzionale)
- Apri la GPO utenti dedicata.
- User Configuration ▸ Preferences ▸ Windows Settings ▸ Registry → New ▸ Registry Item.
- Hive:
HKEYCURRENTUSER - Key path:
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer - Value name:
ConfirmFileDelete— Type:REG_DWORD— Value data:1 - Item-level targeting: applica dove necessario (es. esclusi PC kiosk/laboratori).
Nota: i dettagli possono variare per build/lingua di Windows; se la tua organizzazione ha standard diversi, uniforma i setting nella tua baseline.
Quando ha senso un “blocco duro” della combinazione
In ambienti ad alto rischio (postazioni in prima linea, reparti con dati normati) un blocco tecnico di Shift + Delete tramite agent è sensato, ma va considerato come ultimo miglio su una base già solida (ACL + VSS + backup + auditing). Prevedi un meccanismo di bypass per gli amministratori e un processo di eccezione tracciato.
Conclusione operativa
- Non esiste un criterio di gruppo nativo che disattivi soltanto Shift + Delete.
- La soluzione efficace è una combinazione di:
- Permessi NTFS ben modellati sulle cartelle critiche (riduci il diritto Delete).
- Copie Shadow e backup automatizzati con test di ripristino periodici.
- Formazione degli utenti e comunicazioni mirate.
- (Opzionale) DLP/EDR o un piccolo agent che intercetta la combinazione; AppLocker/WDAC contro utility di cancellazione sicura.
Così riduci drasticamente la probabilità di perdite irreversibili mantenendo usabilità e produttività.
Appendice: esempi rapidi
Abilitare auditing via riga di comando
rem Abilita auditing subcategoria "File System" (successo e fallimento)
auditpol /set /subcategory:"File System" /success:enable /failure:enable
Query mirata nel Visualizzatore eventi (XML)
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">[System[(EventID=4663)]] and [EventData[Data[@Name='AccessMask']='0x10000']]</Select>
</Query>
</QueryList>
Messaggio educazionale all’accesso (PowerShell, esempio)
$title = "Buone pratiche di eliminazione"
$msg = "Evita Shift+Delete. Usa Elimina (Cestino) e contatta l'IT per ripristini. Grazie!"
[System.Windows.Forms.MessageBox]::Show($msg, $title, 'OK','Information') | Out-Null
Distribuisci questo script come logon script via GPO solo a gruppi selezionati.
In sintesi: la domanda “come blocco Shift + Delete nel dominio?” non ha un singolo interruttore. Ma un set di controlli ben progettato — ACL, VSS/backup, auditing, consapevolezza, e all’occorrenza un piccolo agent — azzera quasi del tutto l’impatto di quella scorciatoia.