A fájlokhoz és mappákhoz való hozzáférés ellenőrzéséhez a Windows Server 2008 R2-ben engedélyeznie kell az ellenőrzési funkciót, valamint meg kell adnia azokat a mappákat és fájlokat, amelyekhez a hozzáférést rögzíteni kell. Az ellenőrzés beállítása után a szervernapló információkat tartalmaz a kiválasztott fájlokhoz és mappákhoz való hozzáférésről és egyéb eseményekről. Érdemes megjegyezni, hogy a fájlokhoz és mappákhoz való hozzáférés csak az NTFS fájlrendszer köteteivel ellenőrizhető..
Engedélyezze a fájlrendszer-objektumok naplózását a Windows Server 2008 R2 rendszerben
A fájlokhoz és mappákhoz való hozzáférés ellenőrzése engedélyezve és letiltva a csoportházirendek segítségével: tartományi házirendek az Active Directory tartományhoz vagy helyi biztonsági házirendek önálló kiszolgálókhoz. Az ellenőrzés külön kiszolgálón történő engedélyezéséhez meg kell nyitnia a helyi házirend-kezelő konzolt Start -> minden Programok -> közigazgatási Szerszámok -> helyi biztonság politika. A helyi házirend-konzolon ki kell terjesztenie a helyi házirend-fát (helyi Szabályzat) és válasszon egy elemet könyvvizsgálat politika.
A jobb oldali ablaktáblában válassza ki az elemet könyvvizsgálat objektum hozzáférés és a megjelenő ablakban jelölje meg, hogy milyen fájlokhoz és mappákhoz való hozzáférési eseményeket kell rögzíteni (sikeres / sikertelen hozzáférés):
A szükséges beállítások kiválasztása után kattintson a gombra rendben.
Válassza ki azokat a fájlokat és mappákat, amelyekhez a hozzáférés rögzítve lesz
A fájlokhoz és mappákhoz való hozzáférés ellenőrzésének aktiválása után ki kell választani a fájlrendszer azon objektumait, amelyekhez a hozzáférés ellenőrzését végzik. Az NTFS-engedélyekhez hasonlóan az ellenőrzési beállításokat alapértelmezés szerint az összes gyermekobjektumra is öröklik (kivéve, ha másképp van konfigurálva). Ugyanúgy, mint a fájlokhoz és mappákhoz való hozzáférési jogok hozzárendelésekor, az ellenőrzési beállítások öröklése engedélyezhető mind az összes, mind a csak kiválasztott objektumokhoz.
Egy adott mappa / fájl ellenőrzésének konfigurálásához kattintson a jobb gombbal rá, és válassza a Tulajdonságok (Tulajdonságok). A tulajdonságok ablakban lépjen a Biztonság fülre (biztonság) és nyomja meg a gombot fejlett. A speciális biztonsági beállítások ablakban (fejlett biztonság Beállítások) lépjen az Audit fülre (Könyvvizsgáló). Az ellenőrzés beállításához természetesen rendszergazdai jogok szükségesek. Ebben a szakaszban az ellenőrzési ablak megjeleníti azon felhasználók és csoportok listáját, amelyek számára engedélyezve van az erőforrás ellenőrzése:
Felhasználók vagy csoportok hozzáadásához, akiknek hozzáférése lesz javítva ehhez az objektumhoz, kattintson a gombra Hozzáadás ... és adja meg ezen felhasználók / csoportok nevét (vagy adja meg a mindenki - az összes felhasználó hozzáférésének ellenőrzése):
Ezután meg kell határoznia a konkrét ellenőrzési beállításokat (események, mint például hozzáférés, írás, törlés, fájl- és mappaszerkesztés stb.). Ezután kattintson a gombra rendben.
Közvetlenül ezeknek a beállításoknak a biztonsági rendszer naplójában történő alkalmazása után (megtalálhatja a beépülő modulban) számítógép Menedzsment -> Events Viewer), minden olyan hozzáféréssel az objektumokhoz, amelyekre engedélyezve van az ellenőrzés, a megfelelő bejegyzések jelennek meg.
Alternatív megoldásként az események a PowerShell-parancsmag segítségével megtekinthetők és szűrhetők. - Get-EventLog Például az összes esemény megjelenítéséhez az eventid 4660 programmal hajtsa végre a következő parancsot:
Get-EventLog biztonság | ? $ _. eventid -eq 4660tanács. Bizonyos műveleteket hozzárendelhet a Windows naplójában szereplő eseményekhez, például e-mail küldéshez vagy szkript futtatásához. Ennek konfigurálását a cikk: Megfigyelés és eseményjelentés a Windows naplókban írja le
UPD 2012.06.08-tól (Köszönet a kommentátornak római).
A Windows 2008 / Windows 7 rendszerben egy speciális segédprogram jelent meg a könyvvizsgálat kezelésére auditpol. Az objektumtípusok teljes listája, amelyeken engedélyezheti az ellenőrzést, a következő paranccsal látható:
auditpol / lista / alkategória: *
Mint láthatja, ezeket az objektumokat 9 kategóriába sorolják:
- rendszer
- Bejelentkezés / kijelentkezés
- Objektum-hozzáférés
- Privilégiumok használata
- Részletes követés
- A politika változása
- Fiókkezelés
- DS Access
- Fiókba való bejelentkezés
És mindegyiket alkategóriákra osztják. Például az Objektum-hozzáférés ellenőrzési kategóriája a fájlrendszer alkategóriáját tartalmazza, és a számítógépen található fájlrendszer-objektumok naplózásának lehetővé tételéhez futtassa a következő parancsot:
auditpol / set / alkategória: "Fájlrendszer" / hiba: engedélyezése / siker: engedélyezése
A parancs szerint leválasztják:
auditpol / set / alkategória: "Fájlrendszer" / hiba: letiltás / siker: letiltás
Ie Ha letiltja a felesleges alkategóriák ellenőrzését, jelentősen csökkentheti a napló mennyiségét és a felesleges események számát.
A fájlokhoz és mappákhoz való hozzáférés ellenőrzésének aktiválása után meg kell határoznia azokat az objektumokat, amelyeket ellenőrizni fogunk (a fájlok és mappák tulajdonságai között). Ne feledje, hogy alapértelmezés szerint az ellenőrzési beállítások az összes alobjektumra öröklődnek (hacsak másképp nincs megadva).
Az összes összegyűjtött esemény elmenthető külső adatbázisba az előzmények fenntartása érdekében. Rendszerbevezetési példa: Egyszerű fájl- és mappatörlés-ellenőrző rendszer a Windows Server számára.
