Auditování přístupu k souborům a složkám v systému Windows Server 2008 R2

Chcete-li auditovat přístup k souborům a složkám v systému Windows Server 2008 R2, musíte povolit funkci auditu a určit složky a soubory, ke kterým musí být přístup zaznamenán. Po nastavení auditu bude protokol serveru obsahovat informace o přístupu a dalších událostech k vybraným souborům a složkám. Je třeba poznamenat, že přístup k souborům a složkám lze auditovat pouze na svazcích pomocí systému souborů NTFS..

Povolte auditování objektů systému souborů v systému Windows Server 2008 R2

Auditování přístupu k souborům a složkám je povoleno a zakázáno pomocí skupinových zásad: zásady domény pro doménu služby Active Directory nebo zásady místní bezpečnosti pro samostatné servery. Chcete-li povolit auditování na samostatném serveru, musíte otevřít konzolu pro správu místních zásad Start -> Všechny Programy -> Administrativní Nástroje -> Místní Zabezpečení Zásady. V konzole místní zásady je třeba rozbalit strom místních zásad (Místní Zásady) a vyberte položku Audit Zásady.


V pravém podokně vyberte položku Audit Objekt Přístup av zobrazeném okně uveďte, jaké typy událostí přístupu k souborům a složkám by měly být zaznamenány (úspěšný / neúspěšný přístup):


Po výběru potřebného nastavení klikněte na Dobře.

Vyberte soubory a složky, ke kterým bude přístup opraven

Po aktivaci auditu přístupu k souborům a složkám je nutné vybrat konkrétní objekty systému souborů, u kterých bude proveden audit přístupu. Stejně jako oprávnění NTFS jsou nastavení auditu standardně zděděna pro všechny podřízené objekty (pokud není nakonfigurováno jinak). Stejně jako při přiřazování přístupových práv k souborům a složkám lze dědičnost nastavení auditu povolit pro všechny a pouze vybrané objekty..

Chcete-li nakonfigurovat auditování pro konkrétní složku / soubor, musíte na něj kliknout pravým tlačítkem a vybrat Vlastnosti (Vlastnosti) V okně vlastností přejděte na kartu Zabezpečení (Zabezpečení) a stiskněte tlačítko Pokročilé. V okně pokročilých nastavení zabezpečení (Pokročilé Zabezpečení Nastavení) přejděte na kartu Audit (Auditování) Nastavení auditu přirozeně vyžaduje administrátorská práva. V této fázi se v okně auditu zobrazí seznam uživatelů a skupin, pro které je povoleno monitorování tohoto zdroje:

Chcete-li přidat uživatele nebo skupiny, jejichž přístup k tomuto objektu bude opraven, klikněte na tlačítko Přidat ... a zadejte jména těchto uživatelů / skupin (nebo zadejte Všichni - auditovat přístup pro všechny uživatele):

Dále je třeba určit konkrétní nastavení auditu (události, jako je přístup, zápis, odstranění, vytvoření souboru a složky atd.). Poté klikněte na Dobře.

Ihned po použití těchto nastavení v protokolu zabezpečení systému (najdete jej v modulu snap-in) Počítač Management -> Prohlížeč událostí), s každým přístupem k objektům, u kterých je povolen audit, se zobrazí odpovídající záznamy.

Eventuálně lze události prohlížet a filtrovat pomocí rutiny PowerShell. -  Get-eventlog Chcete-li například zobrazit všechny události s eventid 4660, spusťte příkaz:

 Zabezpečení Get-EventLog | ? $ _. eventid -eq 4660
Tip. Je možné přiřadit určité akce k jakýmkoli událostem v protokolu Windows, jako je například odeslání e-mailu nebo spuštění skriptu. Jak je to nakonfigurováno, je popsáno v článku: Monitorování a oznámení událostí v protokolech systému Windows

UPD od 8. 6. 2012 (Díky komentátorovi Roman).

Ve Windows 2008 / Windows 7 se objevil speciální nástroj pro správu auditu auditpol.  Úplný seznam typů objektů, u kterých můžete povolit auditování, lze vidět pomocí příkazu:

auditpol / seznam / podkategorie: *

Jak vidíte, tyto objekty jsou rozděleny do 9 kategorií:

  • Systém
  • Přihlášení / odhlášení
  • Přístup k objektu
  • Použití oprávnění
  • Podrobné sledování
  • Změna politiky
  • Správa účtu
  • Přístup DS
  • Přihlášení k účtu

A každá z nich je rozdělena do podkategorií. Například kategorie Audit objektu Object Access obsahuje podkategorii File System a chcete-li povolit auditování objektů systému souborů v počítači, spusťte příkaz:

auditpol / set / subcategory: "File System" / fail: enable / success: enable

Odpojí se podle příkazu:

auditpol / set / subcategory: "File System" / fail: disable / success: disable

I.e. pokud zakážete audit zbytečných podkategorií, můžete výrazně snížit objem protokolu a počet nepotřebných událostí.

Po aktivaci auditu přístupu k souborům a složkám je třeba určit konkrétní objekty, které budeme kontrolovat (ve vlastnostech souborů a složek). Mějte na paměti, že ve výchozím nastavení jsou nastavení auditu zděděna pro všechny podřízené objekty (pokud není uvedeno jinak).

Všechny shromážděné události lze uložit do externí databáze pro udržování historie. Příklad implementace systému: Jednoduchý systém auditu odstraňování souborů a složek pro Windows Server.