Одитиране на достъпа до файлове и папки в Windows Server 2008 R2

За да проверите достъпа до файлове и папки в Windows Server 2008 R2, трябва да активирате функцията за одит, както и да посочите папките и файловете, до които трябва да бъде записан достъпът. След настройване на одита, дневника на сървъра ще съдържа информация за достъпа и други събития до избраните файлове и папки. Заслужава да се отбележи, че достъпът до файлове и папки може да бъде одитиран само в томове с файловата система NTFS..

Активиране на одита за обекти на файловата система в Windows Server 2008 R2

Аудитът за достъп до файлове и папки е активиран и деактивиран с помощта на групови политики: политики за домейни за домейн в Active Directory или местни политики за сигурност за самостоятелни сървъри. За да активирате одита на отделен сървър, трябва да отворите конзолата за управление на местната политика Старт -> всички Програми -> административен Инструменти -> местен сигурност политика. В конзолата за местна политика трябва да разширите дървото на местната политика (местен политики) и изберете елемент проверка политика.


В десния прозорец изберете елемента проверка обект достъп и в прозореца, който се показва, посочете какви видове събития за достъп до файлове и папки трябва да бъдат записани (успешен / неуспешен достъп):


След като изберете необходимите настройки, щракнете добре.

Изберете файлове и папки, до които ще бъде фиксиран достъпът

След като се активира одитът за достъп до файлове и папки, е необходимо да изберете конкретни обекти на файловата система, одитът на достъпа до които ще се проведе. Подобно на разрешенията за NTFS, настройките за одит се наследяват по подразбиране на всички дъщерни обекти (освен ако не е конфигурирано друго). По същия начин, както при задаване на права за достъп на файлове и папки, наследяването на настройките за одит може да бъде активирано както за всички, така и само за избрани обекти.

За да конфигурирате одита за конкретна папка / файл, трябва да щракнете с десния бутон върху него и да изберете Properties (Имоти). В прозореца със свойства отидете на раздела Защита (сигурност) и натиснете бутона напреднал. В прозореца за разширени настройки за сигурност (напреднал сигурност Настройки) отидете на раздела Одит (одит). Настройката на одит естествено изисква администраторски права. На този етап прозорецът за одит ще покаже списък с потребители и групи, за които е активиран одитът за този ресурс:

За да добавите потребители или групи, чийто достъп до този обект ще бъде фиксиран, щракнете върху бутона Добавяне ... и посочете имената на тези потребители / групи (или посочете всички - за проверка на достъпа за всички потребители):

След това трябва да посочите конкретни настройки за одит (събития като достъп, запис, изтриване, създаване на файлове и папки и т.н.). След това щракнете добре.

Веднага след прилагането на тези настройки в дневника на системата за сигурност (можете да го намерите в щракването компютър Управление -> Event Viewer), при всеки достъп до обекти, за които е активиран одитът, ще се появят съответните записи.

Алтернативно, събитията могат да бъдат гледани и филтрирани с помощта на командлета PowerShell. -  Get-EventLog Например, за да покажете всички събития с eventid 4660, изпълнете командата:

 Защита на Get-EventLog | ? $ _. eventid -eq 4660
съвет. Възможно е да зададете определени действия на всякакви събития в дневника на Windows, като например изпращане на имейл или стартиране на скрипт. Как се конфигурира това е описано в статията: Мониторинг и известяване на събития в логове на Windows

UPD от 08/06/2012 (Благодаря на коментатора римски).

В Windows 2008 / Windows 7 се появи специална програма за управление на одита auditpol.  Пълен списък с типове обекти, за които можете да активирате одит, може да се види с помощта на командата:

одитпол / списък / подкатегория: *

Както можете да видите, тези обекти са разделени на 9 категории:

  • система
  • Вход / изход
  • Достъп до обект
  • Привилегировано ползване
  • Подробно проследяване
  • Промяна на политиката
  • Управление на сметки
  • DS Access
  • Вход в акаунта

И всяка от тях, съответно, е разделена на подкатегории. Например, категорията одит на обектния достъп включва подкатегория на файловата система и за да активирате одита за обекти на файловата система на компютър, изпълнете командата:

auditpol / set / подкатегория: "Файлова система" / грешка: enable / success: enable

Той се изключва в съответствие с командата:

auditpol / set / подкатегория: "Файлова система" / грешка: забрана / успех: забрани

Т.е. ако деактивирате одита на ненужни подкатегории, можете значително да намалите обема на дневника и броя на ненужните събития.

След като се активира одитът за достъп до файлове и папки, трябва да посочите конкретни обекти, които ще контролираме (в свойствата на файлове и папки). Имайте предвид, че по подразбиране настройките за одит се наследяват на всички дъщерни обекти (освен ако не е посочено друго).

Всички събрани събития могат да бъдат записани във външна база данни за поддържане на историята. Пример за внедряване на система: Проста система за одит на изтриване на файлове и папки за Windows Server.