Включение аудита для файлов и папок.

Помимо настроек прав доступа, в файловой системе NTFS есть возможность включить аудит для действий пользователей с папками и файлами. Понимаю что на домашнем компьютере такое не часто необходимо, поэтому дальнейший текст больше расчитан на продвинутых пользователей и администраторов.

Итак, по шагам все выглядит следующим образом:

1.Включение аудита в политиках(локальных или групповых);

2.Настройка аудита непосредственно в настройках NTFS;

3.Настройка размера журнала событий Security;

4.Утилита auditpol, или против лома нет приема;

1.Включение аудита в политиках(локальных или групповых).

Если у вас сервер или компьютер в домене, то настройку лучше всего проводить через групповые политики, но можно и через локальные политики. Такие ситуации не редкость когда у вас домен 2003 а сервера или компьютеры в сети Windows Server 2008 и выше, Windows 7,8,10. Групповые политики вашего 2003 домена просто еще не содержат того, что появилось позже. Но это все не принципиально, просто добавляет немного работы по индивидуальной настройке вашего сервера или компьютера.

Следующие примеры я буду показывать на примере локальных политик 2008-го сервера. Итак, открываем локальные политики командой «gpedit.msc»

Разворачиваем дерево политик «Computer Configuration»«Windows Settings»«Security Options»

На скрине выше я выделил политики, которые включают различные виды аудита. Меня сечас интересует файловый аудит.

Если у вас Windows Server 2003 или компьютер под Windows XP, то вам необходимо включить политику «Audit: Audit the access of global system objects».

Если у вас Windows Server 2008, 2012, 2016 или Windows 7,8,10 то вам необходимо пользоваться другими политиками «Computer Configuration»«Windows Settings»«Advanced Audit Policy Configuration»«System Audit Policies – Local Group Policy Object»-«Object Access».

Когда вы раскроете раздел «Object Access», то увидите более подробные политики.

Такое подробное разбиение очень удобно, так как позволяет существенно сократить количество ненужных событий, записываемых в журнал Security. Для того, чтобы записать все события, касающиеся аудита файлов, нам понадобится следующие политики:

  • Audit File System
  • Audit Registry
  • Audit SAM
  • Audit Handle Manipulation
  • Audit Other Object Access Events

Все эти политики переводим из состояния «Not Configured» в состояние «Configure the following audit events:»«Success»

Таким образом, все успешные события, касающиеся действий с файлами и папками, попадут в журнал. Если вам нужны записи для неудачных попыток, тогда включите и «Failure».

Когда все политики настроены остается только включить аудит для нужных папок и файлов непосредственно в NTFS.

2.Настройка аудита непосредственно в настройках NTFS.

Настройка аудита для папок и файлов аналогична настройке прав.

Открываем окно свойств для нужной папки или файла

Открываем закладку «Безопасность»(«Security») и нажимаем кнопку «Advanced»(«Дополнительно»)

Переходим на закладку «Auditing»(«Аудит») и нажимаем кнопку «Edit…»(«Изменить»)

Затем нажимаем кнопку «Add»(«Добавить») и выбираем пользователя «Everyone»(«Все»)

!!! Вместо Everyone(Все) можно выбрать нужного пользователя или группу, тогда в журнал попадут события, которые сделал данный пользователь или член группы.

После выбора пользователя добавляем нужные для аудита свойства. Обычно я выбираю только те свойства, которые отражают изменения файлов и папок. Включение аудита на чтение файла или на просмотр списка файлов в папке приводит к резкому увеличению количества записей в журнале Security. Трудно потом копаться в миллионах событий, пытаясь найти нужное. J
!!!
Обратите внимание, что в данном примере я включил аудит только успешных событий!

Если вы хотите отслеживать только те события, которые меняют права на папки и файлы, то вам достаточно будет включить аудит двух событий «Change permissions»(«Смена разрешений») и «Take ownership»(«Смена владельца»)

Если же вы хотите отследить только удаление файлов и папок, тогда вам нужно включить аудит для событий «Delete subfolders and files» и «Delete»

В остальном настройка аудита аналогична настройкам прав. Тоже наследование, такие же области применения(папка, эта папка и подпапки, только файлы и т.п.)

!!! Помните, что большое количество событий может нагружать дисковую систему и снижать производительность, да и места под журнал требуется больше.

3.Настройка размера журнала событий Security.

Когда аудит включен в политиках и в настройках безопасности папок и файлов, остается только настроить размер журнала Security

Правой клавишей мышки на Security и открываем Properties(Свойства). В моем случае максимальный размер выставлен в 10 Гб, и события будут перезаписываться по мере достижения журналом максимального размера.

Если все получилось и аудит заработал, то в журнале вы увидите много событий. Вот одно из событий, показывающее удаление файла:

4.Утилита auditpol, или против лома нет приема.

Для управления настройками аудита в Windows Server 2008, 2012, 2016 или Windows 7,8,10 есть такая замечательная утилита как auditpol. Прелесть ее в том, что с ее помощью можно посмотреть фактическое положение дел в аудите. Да, вы не ослышались. Групповые и локальные политики могут быть не настроены а аудит может прекрасно работать. Многие позиционируют auditpol как последнюю инстанцию, отражающую реальное положение дел.

Я тоже столкнулся с проблемами, которые с успехом решил с помощью этой утилиты. Я не буду разбирать подробно все возможности auditpol а приведу один пример, который обеспечит работоспособность аудита в 99% случаев.

Итак, еще раз приведу скрин локальных политик рабочего сервера:

Как вы можете видеть политики «Object Access» не сконфигурированы, но! Аудит прекрасно работает!

А теперь посмотрим что показывет auditpol. Запускаем командную строку и набираем:

auditpol /get /category:*

И смотрим результат:

Как вы можете видеть в категории «Object Access» некоторые субкатегории имеют состояние «Success», хотя в политиках ничего не сконфигурировано.

Чтобы сконфигурировать категории и субкатегории используем следующий синтаксис:

auditpol /set /category:»<имя категории>» [/success:<enable>|<disable>][/failure:<enable>|<disable>]
auditpol /set /subcategory:»<имя субкатегории>» [/success:<enable>|<disable>][/failure:<enable>|<disable>]

Еще лучше сделать bat-файл в котором прописать нужные действия для включения файлового аудита, описанного мной в разделе 2 этой статьи. Я использую bat файл с таким содержимым:
auditpol /set /subcategory:»File System» /success:enable
auditpol /set /subcategory:»Registry» /success:enable
auditpol /set /subcategory:»SAM» /success:enable
auditpol /set /subcategory:»Handle Manipulation» /success:enable
auditpol /set /subcategory:»Other Object Access Events» /success:enable

Если у вас русская ОС, то придется писать названия на русском:
auditpol /set /subcategory:»Файловая система» /success:enable
auditpol /set /subcategory:»Реестр» /success:enable
auditpol /set /subcategory:»SAM» /success:enable
auditpol /set /subcategory:»Работа с дескриптором» /success:enable
auditpol /set /subcategory:»Другие события доступа к объекту» /success:enable

!!! К сожалению одну из политик придется все-таки настроить. Это политика «Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings», ее переводим в режим «Enabled»(«Включено»). В русских ОС эта политика называется «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии)»

Вот собственно и все. Глубина темы бесконечна а практически хватает и этих настроек.

Если у вас нет 2003-х серверов или Windows XP, то лучше все сделать через GPO, ну а если нет, то auditpol нам поможет!

Добавить комментарий

Ваш адрес email не будет опубликован.