• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Аудит доступу до файлів і папок в Windows Server 2008 R2

    1. Включаємо аудит на об'єкти файлової системи в Windows Server 2008 R2
    2. Вибір файлів і папок, доступ до яких буде фіксуватися

    Для ведення аудиту доступу до файлів і папок в Windows Server 2008 R2, необхідно включити функцію аудиту, а також вказати папки та файли, доступ до яких необхідно фіксувати. Після настройки аудиту, в журналі сервера буде міститися інформація про доступ та інші події на вибрані файли і папки. Варто зауважити, що аудит доступу до файлів і папок може вестися тільки на томах з файловою системою NTFS.

    Включаємо аудит на об'єкти файлової системи в Windows Server 2008 R2

    Аудит доступу на файли і папки включається і відключається за допомогою групових політик: доменний політик для домену Active Directory або локальних політик безпеки для окремо розташованих серверів. Щоб включити аудит на окремому сервері, необхідно відкрити консоль управління локальний політик Start -> All Programs -> Administrative Tools -> Local Security Policy. В консолі локальної політики потрібно розгорнути дерево локальний політик (Local Policies) і вибрати елемент Audit Policy.


    У правій панелі потрібно вибрати елемент Audit Object Access і у вікні вказати які типи подій доступу до файлів і папок потрібно фіксувати (успішний / невдалий доступ):

    Після вибору необхідної настройки потрібно натиснути OK
    Після вибору необхідної настройки потрібно натиснути OK.

    Вибір файлів і папок, доступ до яких буде фіксуватися

    Після того, як активований аудит доступу до файлів і папок, необхідно вибрати конкретні об'єкти файлової системи, аудит доступу до яких буде вестися. Так само як і дозволу NTFS, настройки аудиту за замовчуванням успадковуються на всі дочірні об'єкти (якщо не налаштоване інакше). Точно так же, як при призначенні прав доступу на файли і папки, успадкування налаштувань аудиту може бути включено як для всіх, так і тільки для обраних об'єктів.

    Щоб налаштувати аудит для конкретної папки / файлу, необхідно клацнути по ньому правою кнопкою миші і вибрати пункт Властивості (Properties). У вікні властивостей потрібно перейти на вкладку Безпека (Security) і натиснути кнопку Advanced. У вікні розширених налаштувань безпеки (Advanced Security Settings) перейдемо на вкладку Аудит (Auditing). Налаштування аудиту, природно, вимагає прав адміністратора. На даному етапі в вікні аудиту буде відображений список користувачів і груп, для яких включений аудит на даний ресурс:

    На даному етапі в вікні аудиту буде відображений список користувачів і груп, для яких включений аудит на даний ресурс:

    Щоб додати користувачів або групи, доступ яких до даного об'єкта буде фіксуватися, необхідно натиснути кнопку Add ... і вказати імена цих користувачів / груп (або вказати Everyone - для аудиту доступу всіх користувачів):

    і вказати імена цих користувачів / груп (або вказати Everyone - для аудиту доступу всіх користувачів):

    Далі потрібно вказати конкретні настройки аудиту (такі події, як доступ, запис, видалення, створення файлів і папок і т.д.). Після чого натискаємо OK.

    Відразу після застосування даних налаштувань в системному журналі Security (знайти його можна в оснащенні Computer Management -> Events Viewer), при кожному доступі до об'єктів, для яких включений аудит, будуть з'являтися відповідні записи.

    Альтернативно події можна переглянути і відфільтрувати за допомогою командлета PowerShell - Get-EventLog Наприклад, щоб вивести всі події з eventid 4660, виконаємо комманду:

    Get-EventLog security | ? {$ _. Eventid -eq 4660}

    UPD від 06.08.2012 (Дякуємо коментатора Roman ).

    У Windows 2008 / Windows 7 для управління аудитом з'явилася спеціальна утиліта auditpol. Повний список типів об'єктів, на який можна включити аудит можна побачити за допомогою команди:

    auditpol / list / subcategory: *

    Як ви бачите ці об'єкти розділені на 9 категорій:

    • System
    • Logon / Logoff
    • Object Access
    • Privilege Use
    • Detailed Tracking
    • Policy Change
    • Account Management
    • DS Access
    • Account Logon

    І кожна з них, відповідно, ділитися на підкатегорії. Наприклад, категорія аудиту Object Access включає в себе підкатегорію File System і щоб включити аудит для об'єктів файлової системи на комп'ютері виконаємо команду:

    auditpol / set / subcategory: "File System" / failure: enable / success: enable

    Відключається він відповідно командою:

    auditpol / set / subcategory: "File System" / failure: disable / success: disable

    Тобто якщо відключити аудит непотрібних підкатегорій, можна істотно скоротити обсяг журналу і кількості непотрібних подій.

    Після того, як активований аудит доступу до файлів і папок, потрібно вказати конкретні об'єкти які будемо контролювати (у властивостях файлів і папок). Майте на увазі, що за замовчуванням настройки аудиту успадковуються на всі дочірні об'єкти (якщо не вказано інше).

    Всі зібрані події можна зберігати в зовнішнє БД для ведення історії. Приклад реалізації системи: Проста система аудиту видалення файлів і папок для Windows Server .

    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua