Настраиваем аудит файлового доступа в Server 2003.

Posted by

В Windows имеется система Аудита, позволяющая отслеживать и журналировать информацию о том, когда, кем и с помощью какой программы были удалены документы. По умолчанию, Аудит не задействован — слежение само по себе требует определённый процент мощности системы, а если записывать всё подряд, то нагрузка станет слишком большой. Тем более, далеко не все действия пользователей могут нас интересовать, поэтому политики Аудита позволяют включить отслеживание только тех событий, что для нас действительно важны.

Система Аудита встроена во все операционные системы Microsoft Windows NT: Windows XP/Vista/7, Windows Server 2000/2003/2008.

Для настройки аудита сначала необходимо через локальную (доменную) политику включить аудит за объектами. Делается это следующим образом:

Открываем меню Выполнить «Alt + F2» и набираем

Запускаем редактор конфигурирования - gpedit.msc.

 

 

 

Перед нами консоль настройки, как к компьютеру, так и к пользователю. Настраивать будет применительно к компьютеру. Создадим или уже есть каталог с файлами. К примеру, назову его shara.

C:\shara

Включим аудитLocal Computer Policy – Computer Configuration – Windows Settings – Security Settings – Local Policies – Audio Policy – object Access (поставить ) – Success.

Включаем политику аудита за объектами.

Далее переходим в свойства папки:

C:\shara = Properties – Security – Advanced – Auditing – Add и добавляем пользователей / группу за которой будет производить аудит. В данном примере я, буду рассматривать аудит на Администраторов, которые могут создавать/удалять папки и все внутри.

Настраиваем аудит на каталог / каталоги.

 

 

 

 

 

 

 

 

 

Добавляем пользователей / группа за кем будет производиться аудит.

Добавляем учетные записи на кого мониторим и что мониторим.

 

 

 

 

 

 

 

 

При добавлении за кем, будем производить аудит настраиваем, что будем мониторить. В моем случае – это удаление подпапок и файлов.

Мониторим процесс удаления файлов и каталогов.

 

 

 

 

 

 

 

 

Поставим галочку, чтобы мониторить только конкретный объект в этом каталоге shara.

Применяем настройки – Ok – Apply.

События аудита будут отображаться с кодом EventID 560 (Object Access) в журнале Security. Событий может стать довольно много, поэтому также следует отрегулировать размер журнала Security (Безопасность), в который они будут записываться. Для этого выполните команду Start → Run → eventvwr.msc. В появившемся окне вызовите свойства журнала Security и укажите следующие параметры:

  • Maximum Log Size = 65536 KB (для рабочих станций) или 262144 KB (для серверов)
  • Overwrite events as needed.

Данные цифры следует устанавливать только на основе своего опыта.

Следует понимать, что не каждое удаление означает удаление. Например удаление документов является частью механизма нормальной работы программ Microsoft Office при Сохранении.

Как анализировать полученные данные аудита .???

Нажмите Start → Run → eventvwr.msc и откройте для просмотра журнал Security (Безопасность). Журнал может быть заполнен событиями, прямого отношения к проблеме не имеющими. Щёлкнув правой кнопкой по журналу Security, выберите команду View → Filter и отфильтруйте просмотр по следующим критериям:

  • Event Source:Security;
  • Category:         Object Access;
  • Event Types:      Success Audit;
  • Event ID:         560;

Отсортировываем по событиям.

 

 

 

 

 

 

 

 

 

 

Анализируем отсортированные данные.

Вывод данных.

 

  • Object Name. Название искомой папки или  файла;
  • Image File Name. Имя программы, с помощью которой удалили файл;
  • Accesses. Набор запрашиваемых прав.

Object Name:   C:\shara\3

Image File Name:           C:\WINDOWS\system32\cmd.exe

Accesses:            DELETE

Удалял с помощью командной строки: rmdir /q c:\shara\3

Программа может запрашивать у системы сразу несколько типов доступа — например, Delete+Synchronize или Delete+Read_Control. Значимым для нас правом является Delete.

Параметр на основе которого определяется работа мониторинга.

 

 

 

 

 

 

 

 

 

Вот таким способом можно настроить и проанализировать работу системы. На этом всё.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

10 − 3 =