Audit hozzáférést a fájlok és mappák a Windows Server 2018 R2, a Windows rendszergazdák számára
Audit hozzáférést a fájlok és mappák engedélyezett és letiltott csoportházirend segítségével: Domain Policy Active Directory tartomány vagy a helyi biztonsági irányelveket külön szervert. Annak érdekében, hogy a könyvvizsgálat egy külön szerverre, meg kell nyitnia a helyi politika menedzsment konzol Start -> AllPrograms -> AdministrativeTools -> LocalSecurityPolicy. A Local Policy konzolon bontsa ki a Helyi házirend fát (LocalPolicies), és válassza ki az elemet AuditPolicy.
A jobb oldali panelen válassza AuditObjectAccess elem és a párbeszédablakban hogy mely típusú fájlok és mappák eléréséhez szükséges összes esemény rögzítéséhez (sikeres / sikertelen hozzáférési):
Miután a kívánt beállításokat kell nyomnia az OK gombot.
Kiválasztása a fájlok és mappák, ahová a belépés javítva lesz
Az aktiválást követően audit hozzáférést a fájlok és mappák, ki kell választania egy adott fájlrendszer-objektumok, könyvvizsgálat hozzáférést hajtják végre. Csakúgy, mint az NTFS-engedélyek, könyvvizsgálat, az alapértelmezett beállítások öröklődik minden utód objektumok (ha nincs beállítva nem). Az ugyanúgy, mint amikor rendel hozzáférési jogokat fájlok és mappák öröklik ellenőrzési beállítások mindenkinek be lett kapcsolva, vagy csak a kiválasztott objektumra.
Beállításához könyvvizsgálat egy adott mappát / fájlt, akkor kattintson jobb egérgombbal, és válassza a Properties (Tulajdonságok). A Tulajdonságok ablakban, el kell menni, hogy a Biztonság fülre (Security), majd kattintson a Speciális gombra. A speciális biztonsági beállításokat (AdvancedSecuritySettings), kattintson a Naplózás fülre (audit). Beállítás audit, természetesen igényel rendszergazdai jogokat. Ebben a szakaszban az ellenőrzési ablak megjeleníti a felhasználók és csoportok számára, amelyek a naplózás engedélyezve van a forrása:
Ahhoz, hogy hozzá a felhasználókat vagy csoportokat, akiknek az objektum elérését kell rögzíteni, nyomja meg a Hozzáadás ... gombra és adja meg a nevét a felhasználók / csoportok (vagy adja mindenkinek - minden felhasználó számára betekintés az ellenőrzés)
Ezután meg kell adnia az egyes ellenőrzési beállításokat (események, mint például a hozzáférés, írás, törlés, hozzon létre a fájlok és mappák, stb.) Ezután kattintson az OK gombra.
Közvetlenül azután alkalmazása ezeket a beállításokat a rendszer biztonsági napló (megtalálja azt egy pillanat alatt ComputerManagement -> Események Viewer), akkor minden alkalommal a hozzáférést a célok, amelyek a könyvvizsgálat engedélyezve van, meg fog jelenni a megfelelő bejegyzéseket.
Tanács. Lehetséges rendelni minden esetben a Windows eseménynapló bizonyos műveleteket, például egy e-mailben vagy végrehajtó szkripteket. Úgy van beállítva, le van írva a cikkben: Monitoring és eseményjelentést Windows Journal
- rendszer
- Bejelentkezés / kijelentkezés
- Object Access
- Privilege használata
- Részletes követés
- szabályzat módosítása
- Account Management
- DS-hozzáférés
- fiókbejelentkezési
Ő kikapcsolja a csapat, illetve:
Az aktiválást követően audit hozzáférést a fájlok és mappák, meg kell határozni az adott létesítmények, amely figyelemmel kíséri (a fájl és mappa tulajdonságok). Tartsuk szem előtt, hogy örökölte az összes utód objektumok az alapértelmezett vizsgálati beállításokat (kivéve, ha másképp határozzák meg).
Minden összegyűjtött események tárolhatók egy külső adatbázis a magatartása a történet. Egy példa a rendszer bevezetése: egyszerű rendszer audit törölni fájlokat és mappákat a Windows Server.
1. Minden tranzakciókkal kapcsolatos információk az ellenőrzés alá vont személyek is jelen lesz a biztonsági naplóban. A neve egy adott fájlt, akkor a tulajdonságait egy adott eseményt. Tény, hogy nézd meg, anélkül, hogy bármilyen további mozgások problematikus.
Mi általában kirak az esemény forgatókönyvet, majd feldolgozni őket az információkat a kívánt fájlt.
2. Hmm, érdekes kérdés - hogyan kell csinálni a beépített - nem tudom. Valószínűleg van egy script farag
Köszönöm a nagy mellett! Kap egy kis hozzáadott
Az auditálás események csak törölni fájlokat és mappákat.
A fájl törlése. Ezután a Windows ronk-> Secutiry log, meg az esemény
Kulcsszavak: Audit Success, Task Kategória: File System, Eseményazonosító: 4656
Ez megközelítőleg a következő szöveg lép:
A fogantyút egy tárgyat kért.
Tárgy:
Biztonsági ID: serv1 \ winadmin
Fiók neve: winadmin
Fiók tartománya: serv1
Bejelentkezési azonosítója: 0x13a659
tárgy:
Object Server: Biztonság
Az objektum típusa: Fájl
Tárgy neve: C: \ ker \ többi \ New Rich Text Document.rtf
Kezelje ID: 0xe08
Folyamat információ:
Process ID: 0xbc8
Folyamat neve: C: \ Windows \ explorer.exe
Access Információ kérés:
Tranzakció azonosító:
Hozzáférés: DELETE
SYNCHRONISE
ReadAttributes
Hozzáférés okai: DELETE: Megadott D: (A; ID; FA ;;; BA)
SZINKRONIZÁLÁSÁRA: Megadott D: (A; ID; FA ;;; BA)
ReadAttributes: Megadott D: (A; ID; FA ;;; BA)
Access Mask: 0x110080
Használt jogosultságok az Access Check: -
Korlátozott SID Count: 0
És nem tudsz ellenőrzést az események elfogadható MSSQL?
Egyszer PowerShell kellett végrehajtaniuk kiviteli adatokat a Windows Event Log néhány számítógépek és letöltését információt MS SQL adatbázis. A végrehajtó hozzáférési már nem létezik, de a jelentése:
csapat PowerShell Get-EventLog megkapja a szükséges log fájlokat, majd egy harmadik fél funkció (függvény a kész POSH nem, de a Google időben) betölteni az adatokat táblázatba MSSQL.