Как включить аудит доступа к файлам

Обновлено: 03.07.2024

Привет всем,
Мне нужно провести аудит файловых серверов компании.
В компании есть три файловых сервера, и пользователи домена используют их через технологию DFS.

Как проверить доступ к файлам, загрузить файл с файлового сервера и т. д.?

8 ответов

скорее всего, вам потребуется настроить общий ресурс каждого сервера.

--пожалуйста, не забудьте принять в качестве ответа, если ответ полезен--

Здравствуйте, @DSPatrick,
Спасибо за ответ.
Я видел, что это для Windows 10.
Это то же самое для Windows Server 2016?

После этого я искал эту тему в Интернете.
Я увидел, что важно указать пользователей (или группу пользователей), которых мы хотим проверить на вкладке «Аудит».
Это очень часто на файловом сервере существует «основная папка», а внутри нее много общих папок.

Вы обычно устанавливаете аудит для каждой отдельной папки?

Большое спасибо за помощь!
Федерико

То же самое в Windows Server 2016?

Да, шаги те же.

Вы обычно устанавливаете аудит для каждой отдельной папки?

Я бы не ожидал этого в обычном режиме. Более простой способ — применить к этой папке, вложенным папкам и файлам в структуре папок верхнего уровня.

--пожалуйста, не забудьте принять в качестве ответа, если ответ полезен--

Уважаемый @DSPatrick,
Большое спасибо за помощь.
Я постараюсь держать вас в курсе.

Привет, @DSPatrick!
Я попытался настроить аудит файловой системы только на первом файловом сервере внутри компании DFS.

31664-audit-fs- gpo.jpg

Позже я выполнил предложенные вами действия.
Я отредактировал папку "shares". Внутри этих основных папок (эта папка не является общей) есть внутри общих папок компании.
Я установил «Прошедшие проверку» и «Полный доступ» на вкладке аудита.

Здесь есть фото по этой задаче:

31509-audit-fs- 1.jpg

31610-audit-fs- 2.jpg

У меня есть три файловых сервера. Можно ли выполнить эту задачу только один раз на уровне DFS?

После этого я нашел важные идентификаторы событий, такие как (вы можете увидеть их, используя EventViewer > Безопасность):
- 4660 --> файл удален
- 4663 --> файл открыт

Наконец, всегда в настройках GPO (Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Расширенная конфигурация политики аудита > Доступ к объектам) я нашел еще три параметра аудита файловой системы и файлового ресурса.


Встроенные инструменты требуют, чтобы вы отфильтровывали события доступа к файлам/папкам из беспорядка журналов в средстве просмотра событий или запускали сценарии Powershell, чтобы сделать то же самое. Из-за ограниченного объема памяти требуемые журналы также могут быть перезаписаны.

Во время расследования или аудита соответствия получить четкое представление о том, кто получил доступ к файлу/папке, сложно с помощью встроенных инструментов. ADAudit Plus позволяет одним щелчком получить полные пути доступа к любому файлу/папке. Предоставляются отчеты в режиме реального времени для отслеживания всех попыток доступа к файлам или папкам на ваших файловых серверах. Эти отчеты можно архивировать и сохранять в любом месте локально, поэтому вам не нужно беспокоиться об ограничениях в хранилище, как в случае с собственными инструментами. Таким образом, журналы прошлых событий могут храниться столько времени, сколько необходимо для криминалистической экспертизы и соответствия требованиям.

Войдите в ADAudit Plus и перейдите на вкладку "Аудит файлов". В разделе "Отчеты аудита файлов" перейдите к отчету "Доступ к чтению файлов".


  • К какому файлу был осуществлен доступ
  • Кто получил доступ к файлу
  • При доступе к файлу
  • Какой клиентский компьютер использовался для доступа к файлу
  • Имя сервера, на котором находится файл

Вы также можете просмотреть неудачные попытки чтения, записи или удаления файла. В отчетах содержится следующая информация:

  • Имя файла
  • Имя пользователя, чей запрос не удался
  • Время, когда был сделан запрос
  • Имя сервера, на котором находится файл

Вы можете настроить автоматическое создание этих отчетов и их отправку вам по электронной почте через определенные промежутки времени.Мгновенные оповещения также могут быть отправлены на вашу электронную почту/телефон при доступе к важным файлам/папкам. Эти отчеты можно экспортировать в виде файла CSV, PDF, XLS или HTML.

Благодаря записи всех попыток доступа к файлу (включая неудачные) расследование в случае утечки данных становится намного проще. Вы можете отследить всех пользователей, которые обращались к файлу, чтобы исключить возможных подозреваемых. Это также может помочь в определении клиентского компьютера, с которого были предприняты неудачные попытки, что может указывать на скомпрометированную систему.


< /p>

Дэнни Мерфи

На любом предприятии, использующем файловые серверы для хранения и обмена данными, аудит важен для обеспечения безопасности данных. Вы можете отслеживать несколько файловых серверов в вашем домене. В этой статье вы увидите, как отслеживать, кто обращается к файлам на файловых серверах Windows в вашей организации, используя встроенный аудит Windows Server. В конце статьи вы также увидите, как это легко сделать с помощью Lepide File Server Auditor (часть Lepide Data Security Platform).

Вот как узнать, кто читал файл на файловом сервере Windows.

  • Шаг 1. Установите политику аудита «Аудит доступа к объектам».
  • Шаг 2. Настройте аудит для файлов, которые вы хотите отслеживать
  • Шаг 3. Отслеживайте, кто читает файл, в средстве просмотра событий Windows.

Шаг 1. Установите политику аудита «Аудит доступа к объектам»

Выполните эти шаги один за другим, чтобы включить политику аудита "Аудит доступа к объектам":

  1. Запустите консоль «Управление групповыми политиками». Для этого на основном «Контроллере домена» или в системе, где установлены «Средства администрирования», введите «gpmc.msc» в диалоговом окне «Выполнить» и нажмите «ОК».
  2. После того как вы открыли окно «Управление групповыми политиками», вам нужно будет создать новый объект групповой политики или отредактировать существующий.
  3. Чтобы изменить существующий объект групповой политики, на левой панели щелкните правой кнопкой мыши объект групповой политики по умолчанию или созданный пользователем объект групповой политики и выберите «Изменить» в контекстном меню. Это действие открывает окно редактора редактора управления групповыми политиками.

Примечание. Если вы хотите отслеживать несколько папок, вам придется настроить аудит для каждой папки отдельно.

Примечание. Рекомендуется создать новый объект групповой политики, связать его с доменом и отредактировать.

Шаг 2. Настройте аудит для файлов, которые вы хотите отслеживать

После настройки объекта групповой политики необходимо настроить аудит для каждого файла отдельно или для папок, содержащих эти файлы. Вот шаги:

  1. Откройте «Проводник Windows» и перейдите к файлу или папке, которые вы хотите проверить.
  2. Щелкните файл правой кнопкой мыши и выберите «Свойства» в контекстном меню. На экране появится окно свойств файла.

Примечание. Если вы хотите отслеживать несколько файлов, поместите их в одну, две или более папок, чтобы упростить их аудит. Это избавит вас от необходимости повторять эти шаги для каждого файла.

ПРИМЕЧАНИЕ. Если вы хотите отслеживать все действия, установите флажок «Полный доступ».

Шаг 3. Отслеживайте, кто читает файл в средстве просмотра событий Windows

Чтобы узнать, кто читает файл, откройте «Просмотр событий Windows» и перейдите в «Журналы Windows» → «Безопасность». На правой панели есть параметр «Фильтровать текущий журнал», чтобы найти соответствующие события.

Если кто-либо откроет файл, в журнале будут зарегистрированы события с идентификаторами 4656 и 4663. Например, в нашем случае кто-то открыл файл (File access auditing.txt), и, как показано на следующем рисунке, было зарегистрировано событие доступа к файлу (ID 4663). Вы можете увидеть, кто получил доступ к файлу в поле «Имя учетной записи», а время доступа — в поле «Зарегистрировано».

На изображении ниже вы можете видеть имя файла (C:\Users\Administrator\Documents\New Text Document.txt), которое отображается после прокрутки боковой панели вниз в поле «Имя объекта».< /p>

В следующем разделе вы увидите, как Lepide File Server Auditor может сделать аудит файлов еще более быстрым и простым.

Использование Lepide File Server Auditor для отслеживания событий чтения файлов

Вы можете использовать программное обеспечение Lepide для аудита файловых серверов, чтобы отслеживать события чтения файлов на ваших файловых серверах Windows и легко проверять все типы изменений файловых серверов. На следующем изображении показан отчет «Успешное чтение». Полная информация аудита о доступе к файлу отображается в одной строке записи.


< /p>

Рисунок 8. Отчет «Чтение выполнено успешно»

На изображении выше вы можете увидеть тот же отчет о прочтении файла (C:\Users\Administrator\Documents\New Text Document.txt) в Lepide File Server Server. Событие выделено, и вся информация аудита, например, кто получил доступ к файлу, когда и из какой системы, доступна в одной строке записи.

Заключение

В этой статье рассматривается способ отслеживания событий чтения файлов на файловых серверах Windows.Вы также увидели, как сделать это гораздо проще с помощью Lepide File Server Auditor (часть Lepide Data Security Platform), который делает весь процесс более быстрым и оперативным. Таким образом, с помощью нашего решения вы можете легко отслеживать, кто читает файлы на ваших файловых серверах Windows.


< /p>

Дэнни Мерфи

Согласно тенденциям виртуализации Spiceworks за 2016 год, Windows Server 2012 является одним из наиболее широко используемых серверов по всему миру для поддержки совместной работы. Из-за внутренней природы таких сред, где несколько пользователей имеют доступ к одним и тем же ресурсам, очень важно установить ответственность за действия пользователей.

Поэтому важно проверять все действия пользователя, касающиеся доступа к файлам и папкам. В этой статье объясняется процесс включения аудита файлов и папок в Windows Server 2012.

В Windows Server 2012 аудит доступа к файлам и папкам состоит из двух частей:

  1. Включить аудит файлов и папок, который можно выполнить двумя способами:
    • Через групповую политику (для доменов, сайтов и организационных подразделений)
    • Локальная политика безопасности (для определенной папки)
  2. Настройка параметров аудита для файлов и папок

В этой статье рассматривается процесс включения аудита доступа к объектам на Windows Server 2012 с помощью групповой политики.

1. Включить аудит с помощью групповой политики (для доменов, сайтов и подразделений)

Чтобы включить аудит через GPO, выполните следующие действия:

  1. Выберите «Пуск» ➔ «Панель управления». В этом окне дважды щелкните «Инструменты администрирования», а затем дважды щелкните консоль «Управление групповыми политиками», чтобы открыть ее.
  2. Перейдите к нужному домену и разверните его, как показано на следующем рисунке. Рис. 1. Перейдите к соответствующему домену и разверните узел
  3. Щелкните правой кнопкой мыши «Объекты групповой политики» и выберите «Создать». Рис. 2. Выберите «Создать» в контекстном меню.
  4. В диалоговом окне «Новый объект групповой политики» введите имя нового объекта групповой политики и нажмите «ОК». Рисунок 3. Введите имя нового объекта групповой политики
  5. Щелкните правой кнопкой мыши только что созданный объект групповой политики и выберите «Изменить», чтобы открыть окно «Редактор управления групповыми политиками». Рисунок 4. Редактор управления GPO
  6. В «Редакторе управления групповыми политиками» выберите «Конфигурация компьютера» ➔ «Политики» ➔ «Параметры Windows» ➔ «Локальные политики».
  7. Выберите «Политики аудита», чтобы просмотреть все политики на правой панели. Рис. 5. Политики аудита
  8. Дважды щелкните «Аудит доступа к объекту», чтобы получить доступ к его свойствам.
  9. Нажмите «Определить эти параметры политики», чтобы установить соответствующий флажок.
  10. Отметьте оба флажка "Успех" и "Неудача". Рис. 6. Настройка доступа к объекту аудита
  11. Нажмите «Применить» и «ОК».
  12. Выполните следующую команду в меню «Выполнить» или «Командная строка», чтобы применить эту политику на контроллере домена.

Просмотр записи в средстве просмотра событий

После включения аудита зарегистрированные события можно просмотреть в средстве просмотра событий. На следующем изображении показано зарегистрированное событие для доступа к файлу.


Рисунок 12: Событие доступа к файлу в средстве просмотра событий

Как Lepide File Server Auditor помогает в аудите доступа к файлам и папкам

Аудитор файлового сервера Lepide позволяет легко отслеживать любые изменения, вносимые в файловый сервер, включая сами файлы и папки. Вы можете отслеживать события копирования файлов, попытки чтения файлов, изменения файлов, перемещения, создания, удаления и многое другое одним нажатием кнопки. Вы также можете отслеживать, когда пользователи пытаются прочитать файлы (как успешные, так и неудачные попытки).

Эти отчеты формируются и предоставляют всю важную информацию аудита файлового сервера, необходимую для обнаружения потенциальных угроз или внесения нежелательных изменений.

Аудит доступа к файлам Lepide

Рисунок 13: Отчет о доступе к файлу

Вывод:

В этой статье мы рассмотрели собственный процесс настройки аудита файлов и папок. Мы также показали вам, насколько лучше наш Lepide File Server Auditor (часть Lepide Data Security Platform) справляется с той же задачей. Учитывая важность безопасности и соответствия требованиям, очевидно, что специализированному решению, такому как программное обеспечение для аудита файлового сервера Lepide, следует отдавать предпочтение перед собственным аудитом.

Читайте также: