Для ведення аудиту доступу до файлів і папок в Windows Server 2008 R2, необхідно включити функцію аудиту, а також вказати папки та файли, доступ до яких необхідно фіксувати. Після настройки аудиту, в журналі сервера буде міститися інформація про доступ та інші події на вибрані файли і папки. Варто зауважити, що аудит доступу до файлів і папок може вестися тільки на томах з файловою системою NTFS.
Включаємо аудит на об'єкти файлової системи в Windows Server 2008 R2
Аудит доступу на файли і папки включається і відключається за допомогою групових політик: доменний політик для домену Active Directory або локальних політик безпеки для окремо розташованих серверів. Щоб включити аудит на окремому сервері, необхідно відкрити консоль управління локальний політик Start -> All Programs -> Administrative Tools -> Local Security Policy. В консолі локальної політики потрібно розгорнути дерево локальний політик (Local Policies) і вибрати елемент Audit Policy.
У правій панелі потрібно вибрати елемент Audit Object Access і у вікні вказати які типи подій доступу до файлів і папок потрібно фіксувати (успішний / невдалий доступ):
Після вибору необхідної настройки потрібно натиснути OK.
Вибір файлів і папок, доступ до яких буде фіксуватися
Після того, як активований аудит доступу до файлів і папок, необхідно вибрати конкретні об'єкти файлової системи, аудит доступу до яких буде вестися. Так само як і дозволу NTFS, настройки аудиту за замовчуванням успадковуються на всі дочірні об'єкти (якщо не налаштоване інакше). Точно так же, як при призначенні прав доступу на файли і папки, успадкування налаштувань аудиту може бути включено як для всіх, так і тільки для обраних об'єктів.
Щоб налаштувати аудит для конкретної папки / файлу, необхідно клацнути по ньому правою кнопкою миші і вибрати пункт Властивості (Properties). У вікні властивостей потрібно перейти на вкладку Безпека (Security) І натиснути кнопку Advanced. У вікні розширених налаштувань безпеки (Advanced Security Settings) Перейдемо на вкладку Аудит (Auditing). Налаштування аудиту, природно, вимагає прав адміністратора. На даному етапі в вікні аудиту буде відображений список користувачів і груп, для яких включений аудит на даний ресурс:
Щоб додати користувачів або групи, доступ яких до даного об'єкта буде фіксуватися, необхідно натиснути кнопку Add ... і вказати імена цих користувачів / груп (або вказати Everyone - для аудиту доступу всіх користувачів):
Далі потрібно вказати конкретні настройки аудиту (такі події, як доступ, запис, видалення, створення файлів і папок і т.д.). Після чого натискаємо OK.
Відразу після застосування даних налаштувань в системному журналі Security (знайти його можна в оснащенні Computer Management -> Events Viewer), при кожному доступі до об'єктів, для яких включений аудит, будуть з'являтися відповідні записи.
Альтернативно події можна переглянути і відфільтрувати за допомогою командлета PowerShell - Get-EventLog Наприклад, щоб вивести всі події з eventid 4660, виконаємо комманду:
Get-EventLog security | ? $ _. Eventid -eq 4660Порада. Можливо призначити на будь-які події в журналі Windows певні дії, наприклад відправку електронного листа або виконання скрипта. Як це налаштовується описано в статті: Моніторинг та оповіщення про події в журналах Windows
UPD від 06.08.2012 (Дякуємо коментатора Roman).
У Windows 2008 / Windows 7 для управління аудитом з'явилася спеціальна утиліта auditpol. Повний список типів об'єктів, на який можна включити аудит можна побачити за допомогою команди:
auditpol / list / subcategory: *
Як ви бачите ці об'єкти розділені на 9 категорій:
- System
- Logon / Logoff
- Object Access
- Privilege Use
- Detailed Tracking
- Policy Change
- Account Management
- DS Access
- Account Logon
І кожна з них, відповідно, ділитися на підкатегорії. Наприклад, категорія аудиту Object Access включає в себе підкатегорію File System і щоб включити аудит для об'єктів файлової системи на комп'ютері виконаємо команду:
auditpol / set / subcategory: "File System" / failure: enable / success: enable
Відключається він відповідно командою:
auditpol / set / subcategory: "File System" / failure: disable / success: disable
Тобто якщо відключити аудит непотрібних підкатегорій, можна істотно скоротити обсяг журналу і кількості непотрібних подій.
Після того, як активований аудит доступу до файлів і папок, потрібно вказати конкретні об'єкти які будемо контролювати (у властивостях файлів і папок). Майте на увазі, що за замовчуванням настройки аудиту успадковуються на всі дочірні об'єкти (якщо не вказано інше).
Всі зібрані події можна зберігати в зовнішнє БД для ведення історії. Приклад реалізації системи: Проста система аудиту видалення файлів і папок для Windows Server.
