Включить аудит доступа к файлам windows в картинках

Аудит доступа к файлам и папкам в Windows Server 2008 R2

Для ведения аудита доступа к файлам и папкам в Windows Server 2008 R2, необходимо включить функцию аудита, а также указать папки и файлы, доступ к которым необходимо фиксировать.

После настройки аудита, в журнале сервера будет содержаться информация о доступе и других событиях на выбранные файлы и папки.

Стоит заметить, что аудит доступа к файлам и папкам может вестись только на томах с файловой системой NTFS.

Включаем аудит на объекты файловой системы в Windows Server 2008 R2

Аудит доступа на файлы и папки включается и отключается при помощи групповых политик: доменный политик для домена Active Directory либо локальных политик безопасности для отдельно стоящих серверов.

Чтобы включить аудит на отдельном сервере, необходимо открыть консоль управления локальный политик Start -> All Programs -> Administrative Tools -> Local Security Policy.

В консоли локальной политики нужно развернуть дерево локальный политик (Local Policies) и выбрать элемент Audit Policy.

В правой панели нужно выбрать элемент Audit Object Access и в появившемся окне указать какие типы событий доступа к файлам и папкам нужно фиксировать (успешный/ неудачный доступ):

После выбора необходимой настройки нужно нажать OK.

Выбор файлов и папок, доступ к которым будет фиксироваться

После того, как активирован аудит доступа к файлам и папкам, необходимо выбрать конкретные объекты файловой системы, аудит доступа к которым будет вестись.

Так же как и разрешения NTFS, настройки аудита по-умолчанию наследуются на все дочерние объекты (если не настроено иначе).

Точно так же, как при назначении прав доступа на файлы и папки, наследование настроек аудита может быть включено как для всех, так и только  для выбранных объектов.

Чтобы настроить аудит для конкретной папки/файла, необходимо щелкнуть по нему правой кнопкой мыши и выбрать пункт Свойства (Properties).  В окне свойств нужно перейти на вкладку Безопасность (Security) и нажать кнопку Advanced.

В окне расширенных настроек безопасности (Advanced Security Settings) перейдем на вкладку Аудит (Auditing). Настройка аудита, естественно, требует прав администратора.

На данном этапе в окне аудита будет отображен список пользователей и групп, для которых включен аудит на данный ресурс:

Чтобы добавить пользователей или группы, доступ которых к данному объекту будет фиксироваться, необходимо нажать кнопку Add… и указать имена этих пользователей/групп (либо указать Everyone – для аудита доступа всех пользователей):

Далее нужно указать конкретные настройки аудита (такие события, как доступ, запись, удаление, создание файлов и папок и т.д.). После чего нажимаем OK.

Сразу после применения данных настроек в системном журнале Security (найти его можно в оснастке Computer Management -> Events Viewer), при каждом доступе к объектам, для которых включен аудит,  будут появляться соответствующие записи.

Альтернативно события можно просмотреть и отфильтровать с помощью командлета PowerShell —  Get-EventLog Например, чтобы вывести все события с eventid 4660, выполним комманду:

Get-EventLog security | ?{$_.eventid -eq 4660}

UPD от 06.08.2012 (Благодарим комментатора Roman).

В Windows 2008/Windows 7 для управления аудитом появилась специальная утилита auditpol.  Полный список типов объектов, на который можно включить аудит можно увидеть при помощи команды:

auditpol /list /subcategory:*

Как вы видите эти объекты разделены на 9 категорий:

  • System
  • Logon/Logoff
  • Object Access
  • Privilege Use
  • Detailed Tracking
  • Policy Change
  • Account Management
  • DS Access
  • Account Logon

И каждая из них, соответственно, делиться на подкатегории. Например, категория аудита  Object Access включает в себя подкатегорию File System и чтобы включить аудит для объектов файловой системы на компьютере выполним команду:

auditpol /set /subcategory:»File System» /failure:enable /success:enable

Отключается он соответственно командой:

auditpol /set /subcategory:»File System» /failure:disable /success:disable

Т.е. если отключить аудит ненужных подкатегорий, можно существенно сократить объем журнала и количества ненужных событий.

После того, как активирован аудит доступа к файлам и папкам, нужно указать конкретные объекты которые будем контролировать (в свойствах файлов и папок). Имейте в виду, что по-умолчанию настройки аудита наследуются на все дочерние объекты (если не указано иное ).

Все собранные события можно сохранять во внешнюю БД для ведения истории. Пример реализации системы:  Простая система аудита удаления файлов и папок для Windows Server.

Источник: http://winitpro.ru/index.php/2011/06/27/audit-dostupa-k-fajlam-i-papkam-v-windows-server-2008-r2/

Аудит удаления и доступа к файлам и запись событий в лог-файл средствами Powershell

Я думаю, многие сталкивались с задачей, когда к Вам приходят и спрашивают: «У нас тут файл пропал на общем ресурсе, был и не стало, похоже кто-то удалил, Вы можете проверить кто это сделал?» В лучшем случае вы говорите, что у вас нет времени, в худшем пытаетесь найти в логах упоминание данного файла.

А уж когда включен файловый аудит на файловом сервере, логи там, мягко говоря «ну очень большие», и найти что-то там — нереально.

Вот и я, после очередного такого вопроса (ладно бекапы делаются несколько раз в день) и моего ответа, что: «Я не знаю кто это сделал, но файл я Вам восстановлю», решил, что меня это в корне не устраивает…

Начнем

Для начала включим к групповых политиках возможность аудита доступа к файлам и папкам. Локальные политики безопасности->Конфигурация расширенной политики безопасности->Доступ к объектам Включим «Аудит файловой системы» на успех и отказ. После этого на необходимые нам папки необходимо настроить аудит.

Проходим в свойства папки общего доступа на файловом сервере, переходим в закладку «Безопасность», жмем «Дополнительно», переходим в закладку «Аудит», жмем «Изменить» и «Добавить». Выбираем пользователей для которых вести аудит. Рекомендую выбрать «Все», иначе бессмысленно. Уровень применения «Для этой папки и ее подпапок и файлов».

Выбираем действия над которыми мы хотим вести аудит. Я выбрал «Создание файлов/дозапись данных» Успех/Отказ, «Создание папок/дозапись данных» Успех/отказ, Удаление подпапок и файлов и просто удаление, так же на Успех/Отказ. Жмем ОК. Ждем применения политик аудита на все файлы. После этого в журнале событий безопасности, будет появляться очень много событий доступа к файлам и папкам.

Количество событий прямопропорционально зависит от количества работающих пользователей с общим ресурсом, и, конечно же, от активности использования. Итак, данные мы уже имеем в логах, остается только их оттуда вытащить, и только те, которые нас интересуют, без лишней «воды».

После этого акурратно построчно занесем наши данные в текстовый файл разделяя данные симовлами табуляции, чтобы в дальнейшем, к примеру, открыть их табличным редактором.#Задаем период, в течении которого мы будем запускать один раз скрипт, и искать нужные нам события. Здесь период задан — 1 час. Т.е. проверяются все события за последний час.

$time = (get-date) — (new-timespan -min 60) #$BodyL — переменная для записи в лог-файл
$BodyL = «» #$Body — переменная, в которую записываются ВСЕ события с нужным ID. $Body = Get-WinEvent -FilterHashtable @{LogName=»Security»;ID=4663;StartTime=$Time}|where{ ([xml]$_.ToXml()).Event.EventData.Data |where {$_.name -eq «ObjectName»}|where {($_.'#text') -notmatch «.

*tmp»} |where {($_.'#text') -notmatch «.*~lock*»}|where {($_.'#text') -notmatch «.*~$*»}} |select TimeCreated, @{n=»Файл_»;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq «ObjectName»} | %{$_.'#text'}}},@{n=»Пользователь_»;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq «SubjectUserName»} | %{$_.

'#text'}}} |sort TimeCreated #Далее в цикле проверяем содержит ли событие определенное слово (к примеру название шары, например: Secret) foreach ($bod in $body){ if ($Body -match «.*Secret*»){ #Если содержит, то пишем в переменную $BodyL данные в первую строчку: время, полный путь файла, имя пользователя.

И #в конце строчки переводим каретку на новую строчку, чтобы писать следующую строчку с данными о новом файле. И так #до тех пор, пока переменная $BodyL не будет содержать в себе все данные о доступах к файлам пользователей. $BodyL=$BodyL+$Bod.TimeCreated+»`t»+$Bod.Файл_+»`t»+$Bod.Пользователь_+»`n» }
} #Т.к.

записей может быть очень много (в зависимости от активности использования общего ресурса), то лучше разбить лог #на дни. Каждый день — новый лог. Имя лога состоит из Названия AccessFile и даты: день, месяц, год.
$Day = $time.day
$Month = $Time.Month
$Year = $Time.Year
$name = «AccessFile-«+$Day+»-«+$Month+»-«+$Year+».txt»
$Outfile = «serverServerLogFilesAccessFileLog»+$name #Пишем нашу переменную со всеми данными за последний час в лог-файл.
$BodyL | out-file $Outfile -append

А теперь очень интересный скрипт

Скрипт пишет лог об удаленных файлах.#Переменная $Time тут имеет такое же назначение как в предыдущем скрипте. $time = (get-date) — (new-timespan -min 60) #$Events — содержит время и порядковый номер записи евента с ID=4660. И сортируем по порядковому номеру.

#!!!!Это важное замечание!!! При удалении файла создается сразу 2 записи, с ID=4660 и ID=4663.
$Events = Get-WinEvent -FilterHashtable @{LogName=»Security»;ID=4660;StartTime=$time} | Select TimeCreated,@{n=»Запись»;e={([xml]$_.ToXml()).Event.System.EventRecordID}} |sort Запись #Самые важные команды поиска.

Опишу принцип ниже, после листинга скрипта.
$BodyL = «»
$TimeSpan = new-TimeSpan -sec 1
foreach($event in $events){ $PrevEvent = $Event.Запись $PrevEvent = $PrevEvent — 1 $TimeEvent = $Event.

TimeCreated $TimeEventEnd = $TimeEvent+$TimeSpan $TimeEventStart = $TimeEvent- (new-timespan -sec 1) $Body = Get-WinEvent -FilterHashtable @{LogName=»Security»;ID=4663;StartTime=$TimeEventStart;EndTime=$TimeEventEnd} |where {([xml]$_.ToXml()).Event.System.EventRecordID -match «$PrevEvent»}|where{ ([xml]$_.ToXml()).Event.EventData.Data |where {$_.

name -eq «ObjectName»}|where {($_.'#text') -notmatch «.*tmp»} |where {($_.'#text') -notmatch «.*~lock*»}|where {($_.'#text') -notmatch «.*~$*»}} |select TimeCreated, @{n=»Файл_»;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq «ObjectName»} | %{$_.'#text'}}},@{n=»Пользователь_»;e={([xml]$_.

ToXml()).Event.EventData.Data | ? {$_.Name -eq «SubjectUserName»} | %{$_.

'#text'}}} if ($Body -match «.*Secret*»){ $BodyL=$BodyL+$Body.TimeCreated+»`t»+$Body.Файл_+»`t»+$Body.Пользователь_+»`n» }
} $Month = $Time.Month
$Year = $Time.Year
$name = «DeletedFiles-«+$Month+»-«+$Year+».txt»
$Outfile = «serverServerLogFilesDeletedFilesLog»+$name $BodyL | out-file $Outfile -append

Как оказалось при удалении файлов и удалении дескрипторов создается одно и тоже событие в логе, под ID=4663. При этом в теле сообщения могут быть разные значения «Операции доступа»: Запись данных (или добавление файла), DELETE и т.д.

Конечно же нас интересует операция DELETE. Но и это еще не все. Самое интересное, то что, при обычном переименовании файла создается 2 события с ID 4663, первое с Операцией доступа: DELETE, а второе с операцией: Запись данных (или добавление файла).

Значит если просто отбирать 4663 то мы будем иметь очень много недостоверной информации: куда попадут файлы и удаленные и просто переименованные.

Однако мной было замечено, что при явном удалении файла создается еще одно событие с ID 4660, в котором, если внимательно изучить тело сообщения, содержится имя пользователя и еще много всякой служебной информации, но нет имени файла. Зато есть код дескриптора.Однако предшествующим данному событию было событие с ID 4663.

Где как раз таки и указывается и имя файла, и имя пользователя и время, и операция как не странно там DELETE. И самое главное там имеется номер дескриптора, который соответствует номеру дескриптора из события выше (4660, помните? которое создается при явном удалении файла).

Значит теперь, чтобы точно знать какие файлы удалены, необходимо просто найти все события с ID 4660, а так же предшествующие каждому этому событию, событие с кодом 4663, в котором будет содержаться номер нужного дескриптора.Эти 2 события генерируются одновременно при удалении файла, но записываются последовательно, сначала 4663, потом 4660.

При этом их порядковые номера различаются на один. У 4660 порядковый номер на единицу больше чем у 4663. Именно по этому свойству и ищется нужное событие.Т.е. берутся все события с ID 4660. У них берется 2 свойства, время создания и порядковый номер. Далее в цикле по одному берется каждое событие 4660. Выбирается его свойства, время и порядковый номер.

Читайте также:  Как исправить ошибку authentication token lock busy

Далее в переменную $PrevEvent заносится номер нужного нам события, где содержится нужная информация об удаленном файле. А так же определяются временные рамки в которых необходимо искать данное событие с определенным порядковым номером (с тем самым который мы занесли в $PrevEvent). Т.к.

событие генерируется практически одновременно, то поиск сократим до 2х секунд: + — 1 секунда. (Да, именно +1 сек и -1 сек, почему именно так, не могу сказать, было выявлено экспериментально, если не прибавлять секунду, то некоторые может не найти, возможно связано с тем, что возможно два эти события могут создаваться один раньше другой позже и наоборот).

Сразу оговорюсь, что искать только по порядковому номеру по всем событиям в течении часа — очень долго, т.к. порядковый номер находиться в теле события, и чтобы его определить, нужно пропарсить каждое событие — это очень долго. Именно поэтому необходим такой маленький период в 2 секунда (+-1сек от события 4660, помните?).

Именно в этом временном промежутке ищется событие с необходимым порядковым номером. После того как оно найдено, работают фильтры:|where{ ([xml]$_.ToXml()).Event.EventData.Data |where {$_.name -eq «ObjectName»}|where {($_.'#text') -notmatch «.*tmp»} |where {($_.'#text') -notmatch «.*~lock*»}|where {($_.'#text') -notmatch «.*~$*»}} Т.е.

не записываем информацию об удаленных временных файлах (.*tmp), файлах блокировок документов MS Office (.*lock), и временных файлах MS Office (.*~$*) Таким же образом берем необходимые поля из этого события, и пишем их в переменную $BodyL. После нахождения всех событий, пишем $BodyL в текстовый файл лога. Для лога удаленных файлов я использую схему: один файл на один месяц с именем содержащим номер месяца и год). Т.к. удаленных файлов в разы меньше чем файлов к которым был доступ. В итоге вместо бесконечного «рытья» логов в поисках правды, можно открыть лог-файл любым табличным редактором и просмотреть нужные нам данные по пользователю или файлу.

Рекомендации

Вам придется самим определить время в течении которого вы будете искать нужные события. Чем больше период, тем дольше ищет. Все зависит от производительности сервера. Если слабенький — то начните с 10 минут. Посмотрите, как быстро отработает.

Если дольше 10 минут, то либо увеличьте еще, вдруг поможет, либо наоборот уменьшите период до 5 минут.

После того как определите период времени. Поместите данный скрипт в планировщик задач и укажите, что выполнять данный скрипт необходимо каждые 5,10,60 минут (в зависимости какой период вы указали в скрипте).

У меня указано каждый 60 минут. $time = (get-date) — (new-timespan -min 60).

PS

У меня оба эти скрипта работают для сетевого ресурса в 100Гб, на котором ежедневно активно работают в среднем 50 пользователей. Время поиска удаленных файлов за час — 10-15 минут.

Время поиска всех файлов, к которым был доступ — от 3 до 10 минут. В зависимости от нагрузки на сервер.

Источник: https://habr.com/post/150149/

Аудит доступа к файлам и папкам Windows на примере Windows server 2012R2

Иногда бывает необходимо понять кто удалил/изменил/переименовал конкретный файл или папку. В ОС Windows для этого используется аудит доступа к объектам.

Аудит это запись в специальные журналы информации об определенных событиях (источник, код события, успешность, объект и т.д. ).

Объектом аудита может являться как любой файл или папка, так и определенное событие, например вход в систему или выход из нее, то есть можно записывать все события происходящие с конкретным файлом или папкой — чтение, запись, удаление и т.д., можно события входа в систему и т.д.

Необходимо понимать, что аудит забирает на себя.

Для того, чтобы можно было настраивать аудит файлов и папок необходимо предварительно включить эту возможность через локальные (или в случае если у Вас используется Microsoft AD групповые) политики безопасности.

В случае локальных политик необходимо запустить оснастку “Локальная политика безопасности”, для этого необходимо нажать комбинацию клавиш Win+R, в открывшееся поле ввести secpol.msc и нажать клавишу Enter.

В открывшейся оснастке в дереве слева необходимо перейти в раздел “Локальные политики” — “Политика аудита”.

Далее необходимо выбрать необходимую нам политику — в данном случае это “Аудит доступа к объектам”. Именно этой политикой регулируется доступ к объектам файловой системы (файлам и папкам) и раскрыть ее двойным щелчком мыши.

В открывшемся окне необходимо выбрать какие именно типы событий будут регистрироваться — “Успех” (разрешение на операцию получено) и/или “Отказ” — запрет операции и проставить соответствующие галочки, после чего нажать “Ок”.

Теперь когда включена возможность ведения аудита интересующих нас событий и их тип можно переходить к настройке самих объектов — в нашем случае файлов и папок.

Для этого необходимо открыть свойства файла или папки, перейти на вкладку “Безопасность”, нажать “Дополнительно” и “Аудит”.

Нажимаем “Добавить” и начинаем настраивать аудит.

Сначала выбираем субъект — это чьи действия будут аудироваться (записываться в журнал аудита).

Можно вписать туда имя пользователя или группы, если имя заранее неизвестно, то можно воспользоваться кнопкой “Дополнительно” которая открывает форму поиска где можно выбрать интересующих нас пользователей и группы. Чтобы контролировались действия всех пользователей необходимо выбрать группу “Все”.

Далее необходимо настроить тип аудируемых событий (Успех, Отказ, Все), также область область применения для аудита папок — только эта папка, папка с подпапками, только подпапки. только файлы и т.д., а также сами события аудита.

Для папок поля такие:

А такие для файлов:

После этого начнется сбор данных аудита. Все события аудита пишутся в журнал “Безопасность”. Открыть его проще всего через оснастку “Управление компьютером” compmgmt.msc.

В дереве слева выбрать “Просмотр событий” — “Журналы Windows” — “Безопасность”.

Каждое событие ОС Windows имеет свой код события. Список событий достаточно обширен и доступен на сайте Microsoft либо в интернете. Например события аудита можно посмотреть здесь.

Попробуем например найти событие удаления файла, для этого удалим файл на котором предварительно настроен аудит (если это не тестовые файл, то не забываем сделать его копию, так как аудит это всего лишь информация о действиях, а не разрешение/запрет этих действий).

Нам нужно событие с кодом 4663 — получение доступа к объекту, у которого в поле Операции доступа Написано “DELETE” . Поиск событий в журналах Windows достаточно сложен, поэтому обычно используются специализированные средства анализа — системы мониторинга, скрипты и т.д.

Вручную можно, например, задать например такой фильтр:

Далее в отфильтрованных событиях необходимо найти интересующее нас по имени объекта.

Открыть его двойным щелчком мыши и увидеть кто удалил данный файл в поле субъект.

Источник: https://oblako.kz/help/windows/audit-dostpa-k-failam-windows-server

Применение Аудита Windows для отслеживания деятельности пользователей

Среда, 31 — Август — 2011

        Иногда случаются события, которые требуют от нас ответить на вопрос «кто это сделал?» Такое может происходить «редко, но метко», поэтому к ответу на вопрос следует готовиться заранее.

        Практически повсеместно существуют проектные отделы, бухгалтерия, разработчики и другие категории сотрудников, совместно работающие над группами документов, хранящихся в общедоступной (Shared) папке на файловом сервере или на одной из рабочих станций. Может случиться так, что кто-то удалит важный документ или директорию из этой папки, в результате чего труд целого коллектива может быть потерян. В таком случае, перед системным администратором возникает несколько вопросов:

  • Когда и во сколько произошла  проблема?
  • Из какой наиболее близкой к этому времени резервной копии следует восстановить данные?
  • Это случилось непреднамеренно, или же кто-то действовал с умыслом?
  • Может, имел место системный сбой, который может повториться ещё раз?

        В Windows имеется система Аудита, позволяющая отслеживать и журналировать информацию о том, когда, кем и с помощью какой программы были удалены документы.

По умолчанию, Аудит не задействован — слежение само по себе требует определённый процент мощности системы, а если записывать всё подряд, то нагрузка станет слишком большой.

Тем более, далеко не все действия пользователей могут нас интересовать, поэтому политики Аудита позволяют включить отслеживание только тех событий, что для нас действительно важны.

        Система Аудита встроена во все операционные системы Microsoft WindowsNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. К сожалению, в системах серии Windows Home аудит спрятан глубоко, и его настраивать слишком сложно.

Что нужно настроить?

        Для включения аудита зайдите с правами администратора в компьютер, предоставляющий доступ к общим документам, и выполните команду Start Run gpedit.msc.

В разделе Computer Configuration раскройте папку Windows Settings Security Settings Local Policies Audit Policies:

        Дважды щёлкните по политике Audit object access (Аудит доступа к объектам) и выберите галочку Success.

Этот параметр включает механизм слежения за успешным доступом к файлам и реестру. Действительно, ведь нас интересуют только удавшиеся попытки удаления файлов или папок.

Включите Аудит только на компьютерах, непосредственно на которых хранятся отслеживаемые объекты.

        Простого включения политики Аудита недостаточно, мы также должны указать, доступ к каким именно папкам требуется отслеживать. Обычно такими объектами являются папки общих (разделяемых) документов и папки с производственными программами или базами данных (бухгалтерия, склад и т.п.) — то есть, ресурсы, с которыми работают несколько человек.

        Заранее угадать, кто именно удалит файл, невозможно, поэтому слежение и указывается за Всеми (Everyone). Удавшиеся попытки удаления отслеживаемых объектов любым пользователем будут заноситься в журнал.

Вызовите свойства требуемой папки (если таких папок несколько, то всех их по очереди) и на закладке Security (Безопасность) → Advanced (Дополнительно) → Auditing (Аудит) добавьте слежение за субъектом Everyone (Все), его успешными попытками доступа Delete (Удаление) и Delete Subfolders and Files (Удаление подкаталогов и файлов):

        Событий может журналироваться довольно много, поэтому также следует отрегулировать размер журнала Security (Безопасность), в который они будут записываться.

Для
этого выполните команду StartRuneventvwr.msc.

В появившемся окне вызовите свойства журнала Security и укажите следующие параметры:

  • Maximum Log Size = 65536 KB (для рабочих станций) или 262144 KB (для серверов)
  • Overwrite events as needed.

        На самом деле, указанные цифры не являются гарантированно точными, а подбираются опытным путём для каждого конкретного случая.

Итак, кто же удалил документы (Windows 2003/XP)?

        Нажмите Start Run eventvwr.msc и откройте для просмотра журнал Security (Безопасность).

Журнал может быть заполнен событиями, прямого отношения к проблеме не имеющими.

Щёлкнув правой кнопкой по журналу Security, выберите команду ViewFilter и отфильтруйте просмотр по следующим критериям:

  • Event Source:Security;
  • Category:         Object Access;
  • Event Types:      Success Audit;
  • Event ID:         560;

Просмотрите список отфильтрованных событий, обращая внимание на следующие поля внутри каждой записи:

  • ObjectName. Название искомой папки или  файла;
  • ImageFileName. Имя программы, с помощью которой удалили файл;
  • Accesses. Набор запрашиваемых прав.

Программа может запрашивать у системы сразу несколько типов доступа — например, Delete+Synchronize или Delete+Read_Control. Значимым для нас правом является Delete.

Итак, кто же удалил документы (Windows 2008/Vista)?

Нажмите Start Run eventvwr.msc и откройте для просмотра журнал Security (Безопасность).

Журнал может быть заполнен событиями, прямого отношения к проблеме не имеющими.

Щёлкнув правой кнопкой по журналу Security, выберите  команду ViewFilter и отфильтруйте просмотр по следующим критериям:

  • Event Source:     Security;
  • Category:         Object Access;
  • Event Types:      Success Audit;
  • Event ID:         4663;

Не спешите интерпретировать все удаления как злонамеренные.

Эта функция зачастую используется при обычной работе программ — например, исполненяя команду Save (Сохранить), программы пакета MicrosoftOffice сначала создают новый временный файл, сохраняют в него документ, после чего удаляют предыдущую версию файла. Аналогично, многие приложения баз данных при запуске сначала создают временный файл блокировок (.lck), затем удаляют его при выходе из программы.

Мне приходилось на практике сталкиваться и со злонамеренными действиями пользователей. Например, конфликтный сотрудник некоей компании при увольнении с места работы решил уничтожить все результаты своего труда, удалив файлы и папки, к которым он имел отношение.

События такого рода хорошо заметны — они генерируют десятки, сотни записей в секунду в журнале безопасности.

Конечно, восстановление документов из ShadowCopies (Теневых Копий) или ежесуточно автоматически создаваемого архива не составляет особого труда, но при этом я мог ответить на вопросы «Кто это сделал?» и «Когда это произошло?».

Last Content Update: 05-Oct-2010

Источник: http://blog.windowsnt.lv/2011/08/31/tracking-user-activity-russian/

File system auditor

Мы хотим предложить Вам ИТ аудит бесплатно. Наши специалисты готовы провести работу по анализу Вашей сети и рассказать обо всех особенностях Вашей сети без каких-либо денег или обещаний работать с нами.

Почему мы это делаем, и что это дает Вам?

Это взаимовыгодная процедура: для нас это способ убедить Вас в своей высокой квалификации и показать на примере ИТ аудита, что ваша сеть нуждается в хорошем уходе.

Для Вас ИТ аудит — это материал для понимания, в каком состоянии находится Ваша информационная система и что можно от нее ожидать, а чего нельзя. 
Поверьте, ИТ аудит действительно полезен и его проводят специалисты высокой квалификации.

Мы уверены, что для Вас это наиболее эффективный способ узнать истинное состояние сети и серверов.

Как мы проводим ИТ-аудит?

Главной целью ИТ аудита является определение возможностей вашей системы решать стратегические задачи Компании. Поэтому нам нужны ответы на важные вопросы.

Нам нужна не только информация о количестве компьютеров, используемых программных продуктах, каналах подключения к сети Интернет.

Гораздо важнее, — что ожидает руководство Вашей компании от своей информационной системы, насколько актуальны задачи разделения прав при доступе к документам и приложениям, обеспечения информационной безопасности, как внешней, так и внутренней, каковы планы развития бизнеса в ближайший год, планируется ли удаленная работа пользователей из дома, со склада или какого-либо подразделения. Нужен взгляд с высоты руководителя — какие ИТ-стратегии можно использовать, на чем можно экономить, что нужно для стабильного развития.

Кроме беседы с руководителем мы проведем технический ИТ аудит Вашей сети чтобы собрать техническую информацию о ее состоянии и спрогнозировать, какими средствами лучше проводить обслуживание сети.

Нам понадобится доступ к серверам (под Вашим присмотром), оборудованию, одной-двум рабочим станциям. Мы будем смотреть на настройки серверов, изучать журналы безопасности и системы на наличие ошибок и разбираться в том, как устроена ваши сеть. Это техническая часть ИТ аудита.

На следующем шаге Вы получите результат ИТ аудита — «Отчет об обследовании». Это аналитический документ, который содержит детальную информацию, как должна быть построена Ваша сеть и каково ее текущее состояние, а так же как проследовать из «точки А» текущего состояния в «точку Б» целевого. Мы заинтересованы в том, чтобы дать максимально объективную оценку состояния Вашей ИС.

Кроме того, отчет содержит развернутое коммерческое предложение по обслуживанию компьютеров, серверов и сети. Мы уверены, Вы найдете много интересного в этом отчете.

ИТ аудит полезен даже для той сети, где все всегда было «на пятерку». А для руководителя, который думает о перспективах развития своей компании и ожидает, что информационные технологии могут ему помочь, это незаменимый источник информации.

Оставьте заявку на бесплатный ИТ аудит, и Вы в этом убедитесь.

Источник: https://rpilot62.ru/file-system-auditor/

Аудит создания и удаления файлов в Windows 2008, 2012 и 2016 — Заметки системного администратора

Сен 5, 2016

Оптимальный инструмент — групповые политики (применять к OU отслеживаемых серверов). Возможно использование аналогичных локальных политик для каждого сервера

«Computer Settings Windows Settings Security Settings Advanced audit policy configuration system audit policies object access audit file system» => «audit events: success» enabled.

Весьма маловероятен сценарий, когда вам будет необходимо мониторить неудачные попытки доступа к файлам. Не отрицаю, что возможен. Но чаще нужно узнать кто удалил (или выложил) файл.

2.       Настройка аудита на конкретных папках

Далее непосредственно на серверах, которые хранят данные, используя проводник, зайдя в свойства папки, которую нужно мониторить, включить настройки аудита для группы, которую хотим мониторить. Например, Everyone, если мы хотим отслеживать любые изменения любыми возможными пользователями и сервисами:

«Delete subfolders and file — Successful»

«Delete — Successful»

“Create files / write data — Successful”

“Create folders / append data — Successful”

3.       Мониторинг событий

После этого в логах сервера (на котором хранятся файлы) в Security Event Log будут появляться события при создании и удалении файлов и поддиректорий из указанных выше папок.

Отследить конкретных участников операции можно с помощью двух событий:

Event ID: 4660
Description: An object was deleted.

  •  Сообщает, что файл был удалён.
  • Содержит аккаунт того, кто выполнил операцию удаления
  • Не содержит имени файла. Только его Handle ID

Event ID:      4663
Description:An attempt was made to access an object.

  • Сообщает о какой-либо попытке доступа к файлу.
  • Содержит аккаунт того, кто выполнил операцию.
  • Содержит Handle ID и имя файла (Object Name)
  • Access mask – маска доступа – определяет для каких целей была попытка доступа к файлу

Виды масок доступа:

Тип доступа Hex Описание
ReadData (or ListDirectory) 0×1 ReadData – чтение данных из файла или объекта директории.ListDirectory – просмотр содержимого директории.
WriteData (or AddFile) 0×2 WriteData – запись данных в файл.AddFile – создание файла в директории.
AppendData (or AddSubdirectory or CreatePipeInstance) 0×4 AppendData – дописывание данных в файл. Не перезаписывает существующие данные, если дополнительно не содержит флага WriteData.AddSubdirectory – создание поддиректорий.
DELETE 0×10000 Удаление объекта.

Ключевой источник информации – события 4663:

Раздел Subject содержит информацию об аккаунте, из-под которого производились операции над объектом.

Object – информация о файле (путь, имя, handle)

Process Information содержит информацию о том, какой процесс производил операции с файлом.

В разделе Access Request Information размещена информация о типе доступа и маске доступа.

При создании файла в указанной папке, в Security Event Log появляется пара событий с ID 4663, первое с маской 0х2, второе с маской 0х4.

При удалении файла появляется событие с ID 4663 и маской доступа 0х10000, а также событие 4660. Определить какой именно файл был удалён по событию 4660 можно найдя предваряющее его событие 4663, имеющее идентичный handle.

Для анализа логов можно использовать инструмент LogParser https://www.microsoft.com/en-us/download/details.aspx?id=24659 и, например, такой запрос:

LogParser.exe -i:evt «SELECT  TimeGenerated, EventID, Extract_Token(Strings, 1,’|’) AS User, Extract_Token(Strings, 6, ‘|’) AS File, Extract_Token(Strings, 7, ‘|’) AS HandleID INTO 111.docx.txt FROM ‘C:\*.evtx’ WHERE (STRCNT( Strings, ‘111.docx’ ) >0) ORDER BY TimeGenerated DESC»

Где «111.docx» — искомая строка, а C:\*.evtx – путь к лог-файлам, выгруженным в формате EVTX. LogParser понимает и другие форматы.

Источник: https://sys-admin.in.ua/audit-sozdaniya-udaleniya-fajlov-v-windows-2008-2012-2016.html

Статья

Возможности функции аудита в Windows Server 2008 R2 значительно расширены, а настройка упрощена, хотя по прежнему администратор должен самостоятельно настроить отлов событий теперь уже воспользовавшись обновленным Event Log, при помощи которого необходимо будет отобрать ID событий безопасности. Аудит доступа к файлам и папкам может вестись только на томах с файловой системой NTFS, хотя серверная ОС уже других и не поддерживает.

Аудит активируется при помощи групповых политик: доменных политик в случае использования Active Directory или локальных политик безопасности для отдельно стоящих серверов.

Для активации аудита вызваем Редактор управления групповыми политикамипереходим в ветку Параметры безопасности/Локальные политики/Политика аудита, где активировать политику Audit Object Access и в появившемся окне указать какие типы событий доступа к файлам и папкам нужно фиксировать (успешный/ неудачный доступ). (на отдельном сервере Start -> All Programs -> Administrative Tools -> Local Security Policy -> Local Policies -> Audit Policy).

Кроме этого политики аудита более тонко задаются в Advanced Audit Policy Configuration

Второй путь использовать для настройки утилиту командной строки auditpol, получить полный список GAP с установленными параметрами при помощи auditpol достаточно ввести команду:

> auditpol /list /subcategory:*

Активируем политику “audit object Access access”:

> auditpol /set /subcategory:»directory service changes» /success:enable

После того, как активирован аудит доступа к файлам и папкам, необходимо выбрать конкретные объекты которые будем контролировать. Нужно помнить, что настройки аудита по-умолчанию наследуются на все дочерние объекты (если не указано иначе).
Выбираем папку щелчком правой кнопкой мыши вызываем окно Свойств (Properties).

Далее переходим во вкладку Безопасность (Security) и нажимаем Advanced. В окне расширенных настроек безопасности (Advanced Security Settings) перейдем на вкладку Аудит (Auditing). Настройка аудита, естественно, требует прав администратора.

На данном этапе в окне аудита будет отображен список пользователей и групп, для которых включен аудит на данный ресурс.

Чтобы добавить пользователей или группы, доступ которых к данному объекту будет фиксироваться, необходимо нажать кнопку Add… и указать имена этих пользователей/групп (либо указать Everyone – для аудита доступа всех пользователей). Далее указываем конкретные настройки аудита (такие события, как доступ, запись, удаление, создание файлов и папок и т.д.).

Сразу после применения данных настроек в системном журнале Security (найти его можно в оснастке Computer Management -> Events Viewer), при каждом доступе к объектам, для которых включен аудит, будут появляться соответствующие записи.

Источник: http://xn—-8sbapcreae3aehgq2acbblimc8q.xn--80adxhks/nastroyka-audita-dostupa-k-papkam-v-windows-server

Аудит безопасности в Windows

Аудит безопасности Windows — это технические средства и мероприятия, направленные на регистрацию и систематический регулярный анализ событий, влияющих на безопасность информационных систем предприятия. Технически, аудит безопасности в Windows реализуется через настройку политик аудита и настройку аудита объектов.

Политика аудита определяет какие события и для каких объектов будут генерироваться в журнал событий Безопасность. Регулярный анализ данных журнала безопасности относится к организационным мерам, для поддержки которых может применяться различное программное обеспечение. В самом простом случае можно обходиться приложением Просмотр событий.

Для автоматизации задач анализа событий безопасности могут применяться более продвинутые программы и системы управления событиями безопасности (SIEM), обеспечивающие постоянный контроль журналов безопасности, обнаружение новых событий, их классификацию, оповещение специалистов при обнаружении критических событий.

Наша программа Event Log Explorer также содержит набор функций для автоматизации мониторинга событий для любых журналов событий.

See also: Security event log

Как установить и настроить аудит безопасности в Windows?

Аудит безопасности Windows включается через Групповую политику (Group Policy) в Active Directory или Локальную политику безопасности.

Чтобы настроить аудит на отдельном компьютере, без Active Directory, выполните следующие шаги:

  • Откройте Панель управления Windows, выберите Администрирование (Administrative Tools), и затем запустите Локальная политика безопасности (Local Security Policy)
  • Откройте ветвь Локальные политики и выберите Политика Аудита
  • В правой панели окна Локальная политика безопасности (Local Security Policy) вы увидите список политик аудита. Двойным кликом на интересующей вас политике откройте параметры и установите флажки Аудит успехов или Аудит отказов (Success or Failure).

Так настраиваются базовые политики аудита.

Начиная с Windows 2008 R2/Windows 7, вы можете использовать Расширенные политики (Advanced Security Audit Policy): Local Security Policy -> Advanced Audit Policy Configuration -> System Audit Policies.

Подробная информация про расширенные политики (Advanced Security Audit Policy) доступна тут https://technet.microsoft.com/en-us/library/dn319056.aspx

Как контролировать события входа в Windows?

Аудит безопасности Windows позволяет контроллировать события входа в систему и обнаруживать неудачные попытки входа.

Система Windows генерирует такие события не только при непосредственной попытке входа в систему, но и при удаленном доступе с другого компьютера к ресурсам с общим доступом.

Аудит событий входа помогает обнаруживать подозрительную активность или потенциальные атаки при администрировании и расследовании инцидентов

Для отдельного компьютера (без Active Directory) аудит событий входа настраивается так:

  • Откройте ветвь Локальные политики (Local Policies) в Локальная политика безопасности (Local Security Policy)
  • Выберите Audit Policy.
  • Двойным кликом откройте Аудит событий входа (Audit logon events) и включите опции аудита успехов и отказов (Success и Failure).

После этого все попытки входа — успешные и неудачные будут протоколироваться в журнал событий Безопасность

Список кодов важных событий входа в систему

Event IDТекст описания события
4624 Вход с учетной записью выполнен успешно
4625 Не удалось выполнить вход с учетной записью
4648 Попытка входа в систему, используя явные учетные данные
4675 Идентификаторы безопасности были отфильтрованы

Подробнее с кодами событий безопасности можно ознакомиться тут https://support.microsoft.com/ru-ru/kb/977519

Как контролировать события доступа к файлам?

Средства Аудита безопасности Windows позволяют контролировать доступ к файлам, папкам, ключам реестра и другим объектам и другим системным объектам у которых есть SACL.

Мониторинг доступа к файлам для файл-сервера может быть важной задачей и средства аудита безопасности Windows помогают администраторам в этом.

Аудит доступа к файлам и реестру позволяет обнаруживать попытки несанкционированного доступа к файлам и предотвращать или отслеживать изменения конфигураций системы и программ.

Подробнее с кодами событий безопасности можно ознакомиться тут https://support.microsoft.com/ru-ru/kb/977519

  • Версия: 4.7
  • Выпущена: 18-Dec-2018
  • ОС: XP, Vista, 7, 8, 10, 2003, 2008, 2012, 2016
  • Version: 5.0 beta 1
  • Released:

Источник: https://eventlogxp.com/rus/essentials/securityauditing.html

Иллюстрированный самоучитель по администрированию Windows 2000/2003

Тематика: Самоучители по операционным системам

Если задействована политика Аудит доступа к объектам (Audit Object Access), можно использовать аудит на уровне отдельных папок и файлов. Это позволит точно отслеживать их использование. Данная возможность доступна только на томах с файловой системой NTFS.

Для настройки аудита файла и папки проделайте следующее:

  1. В Проводнике (Windows Explorer) выберите файл или папку, для которой нужно настроить аудит. В контекстном меню выберите команду Свойства (Properties).
  2. Перейдите на вкладку Безопасность (Security), а затем нажмите кнопку Дополнительно (Advanced).
  3. В диалоговом окне Параметры управления доступом (Access Control Settings) перейдите на вкладку Аудит (Auditing), показанную на Рисунке 13-15.

    Рисунок 13-15 – Настройка политик аудита для отдельных файлов или папок на вкладке Аудит (Auditing).

  4. Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
  5. Чтобы дочерние объекты унаследовали параметры аудита текущего объекта, установите флажок Сбросить элементы аудита для всех дочерних объектов и включить перенос наследуемых элементов аудита(Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries).
  6. Используйте список Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку Удалить (Remove).
  7. Чтобы добавить учетную запись, нажмите кнопку Добавить (Add) для появления диалогового окна Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups), в котором выберите учетную запись для добавления. Когда нажмете OK, появится диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder), показанное на Рисунке 13-16.

    Примечание
    Если Вы желаете отслеживать действия всех пользователей, используйте специальную группу Все (Everyone). В других случаях для аудита выбирайте отдельных пользователей или группы в любых комбинациях.

    Рисунок 13-16 – Диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder), используемое для установки элементов аудита пользователю, контакту, компьютеру или группе.

  8. Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком Применять (Apply Onto).
  9. Установите флажки Успех (Successful) и/или Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для неудачного события (например, неудачной попытки удаления файла). События для аудита совпадают с особыми разрешениями (Таблицы 13-4 и 13-5) за исключением синхронизации автономных файлов и папок, аудит которой невозможен.
  10. По завершении нажмите кнопку OK. Повторите эти шаги для настройки аудита других пользователей, групп или компьютеров.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.

Источник: http://samoychiteli.ru/document41027.html

Контролируем доступ к файлам и папкам на Windows XP

Наверное, каждый из пользователей задавался вопросом не только безопасности, но и разграничения доступа к папкам и файлам.

Можно ли это реализовать без специальных программ и приложений, пользуясь лишь возможностями операционной системы. Да, можно. Эти навыки, наверняка, когда пригодятся.

С чего же начать? Если вашим домашним компьютером пользуются несколько человек, которые имеют свои учетные записи, и вам нужно определить, какими правами доступа к файлам и папкам наделен тот или иной, то для начала нужна обратиться к опции меню Сервис>Свойства Папки.

Там необходимо убрать галочки с пункта «использовать простой общий доступ к файлам». После этой операции в «Свойствах» любого из объектов появится вкладка «Безопасность». Выбрав определенную папку или файл, жмем «Свойства», щелкаем по вкладке «Безопасность» и обнаруживаем там что-то подобное этому.

Тут-то мы и вправе творить. Добавляем или удаляем группы пользователей (или отдельные учетные записи, разумеется), имеющих право доступа к объекту, наделяем их правами или ограничиваем. В окошке внизу видно, какие операции вообще возможны с папкой.

Например, даже если у вас одна учетная запись на всю семью, но вы уверены, что ваша сестра не знает таких хитростей, просто запрещаете чтение файла и для администратора, а по необходимости убираете эту галочку (если желаете воспользоваться этой папкой).

Так же система нам позволяет обратиться и дополнительным параметрам безопасности. Щелкаем по кнопке «Дополнительно».

Здесь отображаются разрешения, параметры аудита (об этом подробнее позже), владелец, действующие разрешения. Есть очень полезные функции, которые могут сэкономить много времени, но требуют осторожности.

Наследование свойств от родительских объектов, и замена разрешений всех дочерних объектов заданными именно в этом. Управлять этими галочками следует предельно внимательно. Дабы не потерять нить своих действий.

И не потерять тонкие настройки какого-либо из объектов.

Помимо разграничения прав доступа, система Windows снабжена инструментом аудита. Выбираем вкладку «Аудит». Далее, добавляем имя учетной записи пользователя, для кого этот аудит будет организован.

Выбираем те действия, успех или отказ в реализации которых, будет вестись аудит. То есть, если реализуется успешное обращение к папке, значит, запись об этом появится в журнале аудита.

Кстати, система может и не разрешить выбрать функцию аудита для выбранного объекта, так как эта опция не включена в политике безопасности. Для того, чтобы включить опцию необходимо обратиться к панели управления. Там щелкнуть по иконке «Администрирование», далее, выбрать Локальную политику безопасности.

Здесь пользователь получает гибкие настройки входа в систему, политики паролей, а так же (то о чем идет речь) политики аудита.

Выбираем пункт «Политика аудита», смотрим что доступно. «Аудит доступа к объектам» — это то, что нам нужно, двойной щелчок по надписи, открывается меню, в нем выбираем то, что должно фиксироваться (успех/отказ или вместе). Так же можем познакомиться с описанием данной функции аудита. Когда проделаны эти операции, то проблем при включении аудита в свойствах объекта не возникнет.

Кстати, специалисты рекомендуют познакомиться поближе со всеми параметрами безопасности. Здесь могут найтись необходимые опции системы, как для простого пользователя, так и для администратора. Особое внимание можно уделить назначениям прав пользователя, и параметрам безопасности. Но, вернёмся к аудиту. Мы же выбрали папку, для которой система будет вести журнал успешных обращений.

А где же этот журнал?

Возвращаемся к разделу панели управления «Администрирование». Там выбираем иконку «Просмотр событий», далее, щелкаем по пункту «Безопасность». Здесь отображаются все события аудита.

Выбрав то или иное событие, получим описание.

Эти сведения могут оказаться полезными для вас. Всё, вплоть от времени до операций совершаемых пользователем будет отображаться здесь.

Таким образом, узнав о такой возможности системы, вы навсегда станете настоящим владельцем ваших данных. Не будете волноваться об их целостности. Всегда сможете получить список событий, совершенных над этим объектом. Сможете обеспечить безопасность информации, хранящейся на вашем персональном компьютере.

Источник: https://www.softhome.ru/article/kontroliruem-dostup-k-faylam-i-papkam-na-windows-xp

Ссылка на основную публикацию