1. Що потрібно налаштувати?
2. Отже, хто ж видалив документи (Windows 2003 / XP)?
3. Отже, хто ж видалив документи (Windows 2008 / Vista)?

Середа, 31 - Серпень - 2011

Іноді трапляються події, які вимагають від нас відповісти на питання «хто це зробив?» Таке може відбуватися «рідко, але влучно», тому до відповіді на питання слід готуватися заздалегідь.

Практично повсюдно існують проектні відділи, бухгалтерія, розробники та інші категорії працівників, які спільно працюють над групами документів, що зберігаються в загальнодоступній (Shared) папці на файловому сервері або на одній з робочих станцій. Може трапитися так, що хтось видалить важливий документ або директорію з цієї папки, в результаті чого праця цілого колективу може бути втрачений. В такому випадку, перед системним адміністратором виникає кілька питань:

• Коли і скільки сталася проблема?

• З якої найбільш близькою до цього часу резервної копії слід відновити дані?

• Це сталося ненавмисно, або ж хтось діяв з умислом?

• Може, мав місце системний збій, який може повторитися ще раз?

У Windows є система аудиту, що дозволяє відстежувати і журналіровать інформацію про те, коли, ким і за допомогою якої програми були видалені документи. За замовчуванням, Аудит не задіяне - стеження саме по собі вимагає певний відсоток потужності системи, а якщо записувати все підряд, то навантаження стане занадто великий. Тим більше, далеко не всі дії користувачів можуть нас цікавити, тому політики аудиту дозволяють включити відстеження тільки тих подій, що для нас дійсно важливі.

Система аудиту вбудована в усі операційні системи Microsoft Windows NT: Windows XP / Vista / 7, Windows Server 2000/2003/2008. На жаль, в системах серії Windows Home аудит захований глибоко, і його налаштовувати занадто складно.

Що потрібно налаштувати?

Для включення аудиту зайдіть з правами адміністратора в комп'ютер, що надає доступ до загальних документів, і виконайте команду Start → Run → gpedit.msc. У розділі Computer Configuration розкрийте папку Windows Settings → Security Settings → Local Policies → Audit Policies :

Двічі клацніть по політиці Audit object access (Аудит доступу до об'єктів) і виберіть галочку Success. Цей параметр включає механізм стеження за успішним доступом до файлів і реєстру. Дійсно, адже нас цікавлять тільки вдалі спроби видалення файлів або папок. Увімкніть Аудит тільки на комп'ютерах, безпосередньо на яких зберігаються відслідковують об'єкти.

Простого включення політики аудиту недостатньо, ми також повинні вказати, доступ до яких саме папок потрібно відстежувати. Зазвичай такими об'єктами є папки загальних (поділюваних) документів і папки з виробничими програмами або базами даних (бухгалтерія, склад і т.п.) - то є, ресурси, з якими працюють кілька людей.

Заздалегідь вгадати, хто саме видалить файл, неможливо, тому стеження і вказується за Всіма (Everyone). Вдалі спроби видалення відслідковуються об'єктів будь-яким користувачем будуть заноситися в журнал. Викличте властивості необхідної папки (якщо таких папок кілька, то всіх їх по черзі) і на закладці Security (Безпека) → Advanced (Додатково) → Auditing (Аудит) додайте стеження за суб'єктом Everyone (Все), його успішними спробами доступу Delete (Видалення) і Delete Subfolders and Files (Видалення підкаталогів і файлів):

Подій може журналіроваться досить багато, тому також слід відрегулювати розмір журналу Security (Безпека), в який вони будуть записуватися. для
цього виконайте команду Start → Run → eventvwr. msc. У вікні викличте властивості журналу Security і вкажіть наступні параметри:

• Maximum Log Size = 65536 KB (для робочих станцій) або 262144 KB (для серверів)

• Overwrite events as needed.

Насправді, зазначені цифри не є гарантовано точними, а підбираються дослідним шляхом для кожного конкретного випадку.

Отже, хто ж видалив документи (Windows 2003 / XP)?

Натисніть Start → Run → eventvwr.msc і відкрийте для перегляду журнал Security (Безпека). Журнал може бути заповнений подіями, прямого відношення до проблеми не мають. Клацнувши правою кнопкою по журналу Security, виберіть команду View → Filter і відфільтруйте перегляд за наступними критеріями:

• Event Source: Security;
• Category: Object Access;
• Event Types: Success Audit;
• Event ID: 560;

Перегляньте список відфільтрованих подій, звертаючи увагу на наступні поля всередині кожного запису:

• Object Name. Назва шуканої папки або файлу;
• Image File Name. Ім'я програми, за допомогою якої видалили файл;
• Accesses. Набір запитуваних прав.

Програма може запитувати у системи відразу кілька типів доступу - наприклад, Delete + Synchronize або Delete + Read _ Control. Значущим для нас правом є Delete.

Отже, хто ж видалив документи (Windows 2008 / Vista)?

Натисніть Start → Run → eventvwr.msc і відкрийте для перегляду журнал Security (Безпека). Журнал може бути заповнений подіями, прямого відношення до проблеми не мають. Клацнувши правою кнопкою по журналу Security, виберіть команду View → Filter і відфільтруйте перегляд за наступними критеріями:

• Event Source: Security;
• Category: Object Access;
• Event Types: Success Audit;
• Event ID: 4663;

Не поспішайте інтерпретувати все видалення як зловмисні. Ця функція часто використовується при звичайній роботі програм - наприклад, виконання команду Save (Зберегти), програми пакету Microsoft Office спочатку створюють новий тимчасовий файл, зберігають в нього документ, після чого видаляють попередню версію файлу. Аналогічно, багато додатків баз даних при запуску спочатку створюють тимчасовий файл блокувань (. Lck), потім видаляють його при виході з програми.

Мені доводилося на практиці стикатися і з зловмисними діями користувачів. Наприклад, конфліктний співробітник якоїсь компанії при звільненні з місця роботи вирішив знищити все результати своєї праці, видаливши файли і папки, до яких він був причетний. Події такого роду добре помітні - вони генерують десятки, сотні записів в секунду в журналі безпеки. Звичайно, відновлення документів з Shadow Copies (Тіньових Копій) або щодоби автоматично створюваного архіву не складає особливих труднощів, але при цьому я міг відповісти на питання «Хто це зробив?» І «Коли це сталося?».

Last Content Update: 05-Oct-2010