Для ведення аудиту доступу до файлів і папок в Windows Server 2008 R2, необхідно включити функцію аудиту, а також вказати папки та файли, доступ до яких необхідно фіксувати. Після настройки аудиту, в журналі сервера буде міститися інформація про доступ та інші події на вибрані файли і папки. Варто зауважити, що аудит доступу до файлів і папок може вестися тільки на томах з файловою системою NTFS.

Включаємо аудит на об’єкти файлової системи в Windows Server 2008 R2

Аудит доступу на файли і папки включається і відключається за допомогою групових політик: доменний політик для домену Active Directory або локальних політик безпеки для окремо розташованих серверів. Щоб включити аудит на окремому сервері, необхідно відкрити консоль управління локальний політик Пуск -> Всі Програми -> Адміністративний Інструменти -> Місцеві Безпека Політика. В консолі локальної політики потрібно розгорнути дерево локальний політик (Місцеві Політика) і вибрати елемент Аудит Політика.

Windows Server 2008 R2 налаштування політики локального аудиту


У правій панелі потрібно вибрати елемент Аудит Об’єкт Доступ і у вікні вказати які типи подій доступу до файлів і папок потрібно фіксувати (успішний / невдалий доступ):

встановлення властивостей об’єкта аудиту для включення відстеження доступу до файлів і папок
Після вибору необхідної настройки потрібно натиснути ГАРАЗД.

Вибір файлів і папок, доступ до яких буде фіксуватися

Після того, як активований аудит доступу до файлів і папок, необхідно вибрати конкретні об’єкти файлової системи, аудит доступу до яких буде вестися. Так само як і дозволу NTFS, настройки аудиту за замовчуванням успадковуються на всі дочірні об’єкти (якщо не налаштоване інакше). Точно так же, як при призначенні прав доступу на файли і папки, успадкування налаштувань аудиту може бути включено як для всіх, так і тільки для обраних об’єктів.

Щоб налаштувати аудит для конкретної папки / файлу, необхідно клацнути по ньому правою кнопкою миші і вибрати пункт Властивості (Властивості). У вікні властивостей потрібно перейти на вкладку Безпека (Безпека) І натиснути кнопку Розширений. У вікні розширених налаштувань безпеки (Розширений Безпека Налаштування) Перейдемо на вкладку Аудит (Аудит). Налаштування аудиту, природно, вимагає прав адміністратора. На даному етапі в вікні аудиту буде відображений список користувачів і груп, для яких включений аудит на даний ресурс:

діалогове вікно аудиту файлів і папок

Щоб додати користувачів або групи, доступ яких до даного об’єкта буде фіксуватися, необхідно натиснути кнопку Додати… і вказати імена цих користувачів / груп (або вказати Всім – для аудиту доступу всіх користувачів):

налаштування аудиту файлів і папок для конкретного користувача або групи

Далі потрібно вказати конкретні настройки аудиту (такі події, як доступ, запис, видалення, створення файлів і папок і т.д.). Після чого натискаємо гаразд.

Відразу після застосування даних налаштувань в системному журналі Security (знайти його можна в оснащенні Комп’ютер Управління -> Events Viewer), при кожному доступі до об’єктів, для яких включений аудит, будуть з’являтися відповідні записи.

Альтернативно події можна переглянути і відфільтрувати за допомогою командлета PowerShell – Get-EventLog Наприклад, щоб вивести всі події з eventid 4660, виконаємо комманду:

  Get-EventLog security | ?{$_.eventid -eq 4660}

UPD від 06.08.2012 (Дякуємо коментатора Роман).

У Windows 2008 / Windows 7 для управління аудитом з’явилася спеціальна утиліта аудитпол. Повний список типів об’єктів, на який можна включити аудит можна побачити за допомогою команди:

auditpol /list /subcategory:*

Як ви бачите ці об’єкти розділені на 9 категорій:

  • Система
  • Вхід / вихід
  • Доступ до об’єкта
  • Використання привілеїв
  • Детальне відстеження
  • Зміна політики
  • Управління рахунками
  • DS Access
  • Вхід в акаунт

І кожна з них, відповідно, ділитися на підкатегорії. Наприклад, категорія аудиту Object Access включає в себе підкатегорію File System і щоб включити аудит для об’єктів файлової системи на комп’ютері виконаємо команду:

auditpol /set /subcategory:"File System" /failure:enable /success:enable

Відключається він відповідно командою:

auditpol /set /subcategory:"File System" /failure:disable /success:disable

Тобто якщо відключити аудит непотрібних підкатегорій, можна істотно скоротити обсяг журналу і кількості непотрібних подій.

Після того, як активований аудит доступу до файлів і папок, потрібно вказати конкретні об’єкти які будемо контролювати (у властивостях файлів і папок). Майте на увазі, що за замовчуванням настройки аудиту успадковуються на всі дочірні об’єкти (якщо не вказано інше).

Всі зібрані події можна зберігати в зовнішнє БД для ведення історії. Приклад реалізації системи: Проста система аудиту видалення файлів і папок для Windows Server.

Leave a Reply

Your email address will not be published. Required fields are marked *