Auditul accesului la fișiere și foldere este activat și dezactivat prin intermediul politicilor de grup: politica domeniului pentru un domeniu Active Directory sau politicile locale de securitate pentru serverele independente. Pentru a permite auditarea pe un server separat, trebuie să deschideți politica locală a consolei de administrare Start -> AllPrograms -> AdministrativeTools -> LocalSecurityPolicy. În Consola de politici locale, trebuie să extindeți arborele de politici locale (LocalPolicies) și să selectați AuditPolicy.
În panoul din dreapta, selectați elementul AuditObjectAccess și în fereastra care apare, specificați ce tipuri de evenimente de acces la fișiere și dosare doriți să le captați (acces de succes / nereușit):
După ce ați selectat setarea dorită, faceți clic pe OK.
Selectarea fișierelor și a dosarelor care vor fi accesate
După ce auditul accesului la fișiere și foldere este activat, trebuie să selectați anumite obiecte ale sistemului de fișiere care vor fi auditate. Ca și în cazul permisiunilor NTFS, setările implicite de audit sunt moștenite de la toate obiectele copil (dacă nu este configurat altfel). La fel ca la atribuirea drepturilor de acces la fișiere și foldere, moștenirea setărilor de audit poate fi activată pentru toți și numai pentru obiectele selectate.
Pentru a configura auditarea pentru un anumit dosar / fișier, faceți clic dreapta pe el și selectați Proprietăți. În fereastra de proprietăți, accesați fila Securitate și faceți clic pe butonul Avansat. În fereastra avansată a setărilor de securitate (AdvancedSecuritySettings), accesați fila Audit. Stabilirea auditului, desigur, necesită drepturi de administrator. În această etapă, fereastra de audit va afișa o listă de utilizatori și grupuri pentru care auditul este activat pentru această resursă:
Pentru a adăuga utilizatori sau grupuri ale căror acces la obiectul care urmează să fie înregistrate, apăsați pe butonul Add ... și specificați numele utilizatorilor / grupurilor (sau specificați toată lumea - pentru toți utilizatorii care accesează auditul)
Apoi, trebuie să specificați setările de audit specifice (evenimente cum ar fi accesul, scrierea, ștergerea, crearea de fișiere și foldere etc.). Apoi faceți clic pe OK.
Imediat după ce aplicați aceste setări în jurnalul de securitate (îl puteți găsi în modul ComputerManagement -> Event Viewer snap-in), de fiecare dată când accesați obiectele pentru care este activat auditul, vor apărea intrările corespunzătoare.
Consiliul. Este posibil să alocați anumite acțiuni tuturor evenimentelor din jurnalul Windows, de exemplu prin trimiterea unui e-mail sau executarea unui script. Modul în care este configurat este descris în articolul: Monitorizarea și notificarea despre evenimentele din jurnalele Windows
- sistem
- Logon / Logoff
- Accesul la obiecte
- Privilege Utilizare
- Urmărire detaliată
- Schimbarea politicii
- Gestionarea contului
- Accesul DS
- Conectarea contului
Se oprește în funcție de comandă:
După ce auditul accesului la fișiere și foldere este activat, trebuie să specificați obiectele specifice pe care le vom monitoriza (în proprietățile fișierelor și folderelor). Rețineți că, în mod prestabilit, setările de audit sunt moștenite de la toate obiectele copil (dacă nu se specifică altfel).
Toate evenimentele colectate pot fi stocate într-o bază de date externă pentru istorie. Exemplu de implementare a sistemului: Un sistem simplu pentru ștergerea fișierelor și folderelor pentru Windows Server.
1. Toate informațiile despre operațiunile cu obiecte auditate vor fi prezente în jurnalul de securitate. Puteți vedea numele unui anumit fișier în proprietățile unui anumit eveniment. De fapt, este dificil să privim în ea fără mișcări suplimentare ale corpului.
De obicei, descărcăm aceste evenimente cu un script și apoi le analizăm pentru informații despre fișierul dorit.
2. Hmm, o întrebare interesantă - cum se face cu uneltele încorporate - nu știu. Probabil trebuie să scrii pentru a sculpta
Vă mulțumim pentru adăugarea importantă! Articolul a fost suplimentat puțin
Verificați numai ștergerea fișierelor și a dosarelor.
Ștergeți fișierul. Apoi, în fișierul Log-uri Windows -> Secutire, căutați evenimentul
Cuvinte cheie: Succesul auditului, Sarcina Categorie: Sistem de fișiere, ID-ul evenimentului: 4656
conține aproximativ acest text:
A fost cerut un mâner pentru un obiect.
Subiect:
ID de securitate: serv1 \ winadmin
Nume cont: winadmin
Domeniu cont: serv1
ID-ul de conectare: 0x13a659
obiect:
Obiect Server: Securitate
Tipul obiectului: Fișier
Numele obiectului: C: \ Distr \ rest \ New Text Rich Document.rtf
ID-ul mânerului: 0xe08
Informații despre proces:
ID de proces: 0xbc8
Nume proces: C: \ Windows \ explorer.exe
Acces Cerere de informații:
Cod tranzacție:
Acceseaza: DELETE
sincroniza
ReadAttributes
Datele de acces: DELETE: acordat de D: (A; ID; FA ;;; BA)
SYNCHRONIZE: acordat de D: (A; ID; FA ;; BA)
ReadAttributes: Acordat de D: (A; ID; FA ;;; BA)
Masă de acces: 0x110080
Privilegii utilizate pentru verificarea accesului: -
Număr limitat de SID: 0
Și nu puteți face un audit al acestor evenimente în mssql?
Cumva pe Powershell a fost necesar să se realizeze descărcarea datelor din Jurnalul de evenimente Windows din mai multe computere și încărcarea informațiilor în baza de date MS SQL. Nu există acces la implementarea accesului, însă înțelesul este următorul:
comanda Powershell Get-EventLog obține jurnalele necesare și apoi o funcție terță parte (nu există nici o funcție gata în POSH, dar googled uneori), încărcăm datele în tabelul MSSQL.
Articole similare
-
Accesul la accesul la fișiere de pe serverul de ferestre, sysadminstvo
-
Configurează auditul accesului la fișiere în serverul 2018, notele ubuntu - ferestre reale
Trimiteți-le prietenilor: