Как сообщить, кто получил доступ к файлу или папке

  1. Настройка аудита файлов и папок Windows
  2. Импорт журналов событий Windows в WebSpy Vantage
  3. Анализ журналов событий Windows с помощью WebSpy Vantage
  4. Отчет о доступе к файлам или папкам с помощью WebSpy Vantage

Меня часто спрашивают о том, как лучше настроить и сообщить о доступе к файлам или папкам. Другими словами, у меня в сети куча конфиденциальных файлов, и я хочу знать, кто к ним обращается.

Так что вот (вы можете сначала выпить кофе!).

Если у вас нет сложного решения для обеспечения безопасности конечных точек или аудита файлов, вы в значительной степени ограничены качеством данных, найденных в журнале событий безопасности Windows. По умолчанию доступ к вашим конфиденциальным файлам не приводит к записи каких-либо записей в журнал событий. Сначала вам нужно настроить аудит файлов или папок.

Настройка аудита файлов и папок Windows

Сначала включите аудит доступа к объектам, перейдя в Панель управления | Административные инструменты | Политика локальной безопасности | Местная Политика | Политика аудита и настройка доступа к объектам аудита для успеха и неудачи .

Сначала включите аудит доступа к объектам, перейдя в Панель управления |  Административные инструменты |  Политика локальной безопасности |  Местная Политика |  Политика аудита и настройка доступа к объектам аудита для успеха и неудачи

Локальная политика безопасности Windows Vista

В проводнике Windows перейдите к папке или файлам для аудита, затем щелкните правой кнопкой мыши | Свойства | Безопасность | Расширенный | Аудит и нажмите Продолжить, когда Windows User Access Control мешает.

Здесь вы можете добавить пользователей или группы в политику аудита. Так что если вы хотите знать, когда Джо Блоггс получает доступ к файлу / папке, добавьте только Джо Блоггса. Если вы хотите знать, когда кто-нибудь обращается к файлу / папке, добавьте всю свою компанию.

Прокрутка ....

Нажмите OK и примените изменения. Если вы применяете это к папке, обратите внимание на настройку «применить записи аудита к контейнерам в этом контейнере» внизу и использовать по мере необходимости.

Поздравляю. Это настройка аудита. Как только люди начнут получать доступ к этим файлам, информация об аудите будет записана в Журнал событий безопасности на компьютере, на котором размещены рассматриваемые файлы.

Импорт журналов событий Windows в WebSpy Vantage

Следующим шагом является импорт журнала безопасности Windows в WebSpy Vantage ,

  1. Запустите Vantage от имени администратора (щелкните приложение правой кнопкой мыши и выберите « Запуск от имени администратора» ). Это необходимо для доступа к журналам событий безопасности.
  2. Перейдите на вкладку « Хранилища » и нажмите « Импорт журналов».
  3. Запустите мастер импорта с этими настройками:
    • Хранение: новое хранилище

      Диалог ввода: страница хранилищ

    • Тип входа: журнал событий Windows

      Диалог ввода: страница типа ввода

    • Выбор загрузчика: Microsoft

      Диалог ввода: выбор загрузчика
    • Выбор входа: Добавить
      Выберите либо локальный компьютер, либо несколько компьютеров, введите данные аутентификации и нажмите «Фильтровать журналы событий». Проверьте журнал безопасности и нажмите ОК .

      Диалог ввода: страница выбора ввода - добавление журналов событий

    • Нажмите OK, чтобы начать импорт.

Если есть какие-либо проблемы с процессом импорта, обратитесь к этим трем статьям базы знаний WebSpy, чтобы решить проблемы с импортом журналов событий:

Анализ журналов событий Windows с помощью WebSpy Vantage

После того, как данные были импортированы в ваше хранилище, проверьте их на Анализ экран.

Для этого перейдите на вкладку « Сводные данные» , запустите анализ в новом хранилище (специальный анализ) и перейдите к « Сводке по категориям» .

Там должно быть несколько элементов «Файловая система», если предполагается, что файл доступен после настройки аудита файлов. Затем можно перейти к типу события, чтобы увидеть «Аудит успеха» или «Ошибка аудита». Чтобы узнать, кто успешно получил доступ к определенному файлу, перейдите к пункту «Аудит успеха».

К сожалению, хороший материал скрыт в поле « Сообщение », доступ к которому можно получить только в представлении « Индивидуальные записи» . Это связано с тем, что поле «Сообщение» в журналах событий имеет произвольную форму и может значительно различаться, что приводит к миллионам уникальных элементов. Таким образом, сводка сообщений была исключена из специального анализа по умолчанию по очень хорошим причинам производительности.

Журналы событий также могут быть довольно многословными, и если вы перейдете к отдельным записям на этом этапе, вы увидите много сообщений, таких как « Запрошен дескриптор объекта », что, вероятно, не имеет большого значения с точки зрения отчетности. Один из способов отфильтровать этот шум - по идентификатору события.

Я обнаружил, что события, которые соответствуют « попытке доступа к объекту », имеют идентификатор 4663. Поэтому перейдите к сводке по идентификатору события и перейдите к 4463, чтобы перейти к представлению « Индивидуальные записи» .

Как только вы попали в Индивидуальные записи, вы можете навести курсор на поле сообщения, чтобы получить подробную информацию. Вы также можете использовать окно редактирования поиска для поиска конкретного пользователя или файла:

Вы также можете использовать окно редактирования поиска для поиска конкретного пользователя или файла:

Детализация успешных обращений к файловой системе (событие с кодом 4663)

Вы можете экспортировать это представление в Word Document, PDF, HTML, Text или CSV, щелкнув правой кнопкой мыши сводку Индивидуальные записи и выбрав Экспорт .

Отчет о доступе к файлам или папкам с помощью WebSpy Vantage

Анализ данных отлично подходит для специальных случаев, когда вы не совсем уверены, какие события нужно анализировать. Просто нужно копаться в данных.

Но как только вы узнаете, какое событие нужно проанализировать, и какие поля вы хотите извлечь для этих событий (например, поле «Сообщение»), вы также можете создать шаблон отчета для доступа к этой же информации.

Например, чтобы добавить таблицу и диаграмму в отчет, отображающий сообщение о событии:

  1. Перейдите на вкладку « Отчеты» и нажмите « Новый шаблон».
  2. Создайте шаблон анализа на основе схемы «Все схемы событий Windows».
  3. Нажмите New Node и выберите Message из выпадающего списка Summary .
  4. Вы можете нажать « Дополнительно», чтобы добавить дополнительные столбцы в таблицу, изменить тип диаграммы, добавить фильтры и т. Д. В противном случае нажмите кнопку « ОК» .

Чтобы отфильтровать отчет:

  1. Отредактируйте узел, который вы хотите фильтровать, и перейдите на страницу « Фильтры» диалогового окна. Либо щелкните Свойства шаблона, чтобы применить фильтр ко всем узлам в шаблоне.
  2. Нажмите Добавить | Фильтр значений полей . Выберите Category из выпадающего списка Summary и нажмите Add . Введите «Файловая система» (без кавычек) и нажмите ОК . Нажмите OK, чтобы добавить фильтр.
  3. Нажмите Добавить | Фильтр значений полей . Выберите Event ID из выпадающего списка Summary и нажмите Add . Введите «4463» (без кавычек) и нажмите ОК .
  4. Чтобы выполнить фильтрацию в поле «Сообщение», выберите « Добавить | Фильтр значений полей . Выберите Сообщение из выпадающего списка и нажмите Добавить . Введите любые строки, по которым вы хотите фильтровать, в окружении *. Например, чтобы найти сообщения, относящиеся к «scott», обращающимся к файлам «avi», нажмите «Добавить» и введите «* scott *» (без кавычек). Затем снова нажмите кнопку «Добавить» и введите «* avi *» (без кавычек).

WebSpy Vantage поставляется с готовым шаблоном под названием « Отчет о доступе к файлам», который вы можете использовать или дублировать и изменять в соответствии со своими требованиями. Просто перейдите на вкладку « Отчеты », выберите « Отчет о доступе к файлам» (который будет отображаться только после импорта некоторых журналов событий Windows в хранилище) и нажмите Создать отчет или же Опубликовать отчет ,

Это оно! Теперь запустите свой отчет, автоматизируйте его, используя Задачи экран, и ваш набор!

Смотрите также:

Похожие

Настройка аудита доступа к файлам в Windows Server 2016
Мы можем настроить аудит доступа к файлам в Windows Server 2016, чтобы события регистрировались каждый раз, когда указанный пользователь или группа успешно обращается или пытается и не может получить доступ к указанному файлу или папке. Этот пост покажет вам, как настроить аудит доступа к файлам в Windows Server 2016. Этот пост является частью серии учебных руководств Microsoft 70-744 по безопасности Windows Server 2016.Для более связанных постов и информации проверьте наш полный
Полная версия Windows 7 Ultimate для бесплатной загрузки ISO [32-64Bit]
... помощью BitLocker. Гибкость работы на любом из 35 языков. Получите все это с полной версией Windows 7 Скачать бесплатно. Вы также можете скачать Windows 7 Все в одном ISO, если вы заинтересованы в нескольких изданиях в одном ISO. Вы можете скачать Windows 10 ISO а также, который является последним
Как создать интернет-магазин? - Virtuemart 3 установка
... ь ли вы, как вы можете создать свой интернет-магазин? Используйте Virtuemart, который в конце прошлого года был выпущен в версии 3.0.0 и работает с последней версией Joomla 3.x. С чего начать? Лучше всего установить Joomla в последней версии 3.3.6, которая доступна здесь , Кроме того, установите языковой пакет Joomla, поскольку это руководство создано вместе с польскими языковыми пакетами для Joomla и Virtuemart, выпущенными Польским
Заражены вредоносным ПО? Проверьте ваш реестр Windows
... Windows не всегда изменяет базу данных реестра Windows (т. Е. Реестр)… но обычно это так. Вредоносное ПО изменяет реестр, чтобы он мог запускаться после перезагрузки, чтобы лучше скрыться или интегрироваться с существующим законным процессом. Таким образом, имеет смысл отслеживать области реестра, которыми часто манипулируют вредоносные программы. Проблема заключается в том, что большинство легитимных программ модифицируют те же самые ключи реестра, что приводит к слишком большому ложно-положительному
Как намерение пользователя влияет на контент-маркетинг?
Я помню шесть лет назад, «заполнение ключевыми словами» присутствовало на большинстве сайтов, заинтересованных в SEO-деятельности. Выборка ключевых слов, чтобы привлечь внимание роботов к домену, была практически идентична позиционированию. Однако оказалось, что это не так.
Установите DirectX 9 на Windows 10 для старых игр
Установите DirectX 9 на Windows 10, чтобы повысить производительность в старых видеоиграх, а также исправить различные проблемы, сбои и ошибки, которые могут возникнуть. (Если вы не можете смотреть видео, возможно, ваш AdBlocker блокирует его. Пожалуйста, рассмотрите белый список VULKK.com, чтобы помочь и поддержать сайт. Спасибо!) Это руководство действительно для любой старой игры, которая работает на старых версиях DirectX. Microsoft DirectX
Как использовать ретуширование и восстановление в Adobe Photoshop
... помощью различных кистей и инструментов, в том числе «Восстанавливающая кисть», «Штамп» и «Восстанавливающая кисть». Эта функция работает одинаково во всех последних версиях Adobe Photoshop: CS5, CS6 и Creative Cloud (CC). Выберите «Фотография» в меню «Рабочая область» в правом верхнем углу экрана. Теперь вы должны увидеть инструменты ретуши на панели инструментов.
Как удалить пароль из зашифрованного файла Outlook PST?
... сию MS Outlook, с которой вы имеете дело. Причиной такого заявления является то, что в версии, выпущенные после MS Outlook 2003, внесены некоторые изменения. Это меняет весь сценарий, связанный с удалением пароля из файла PST. Таким образом, шаги для удаления пароля также будут разными. Чтобы удалить пароль из файла PST, созданного в версии, предшествующей Outlook 2003, 2007, 2010 или Outlook 2013, необходимо выполнить следующие действия: Закройте MS Outlook и сделайте
Windows Phone 7.5 в HTC HD2
... Windows Phone 7. Однако ничто не мешает нам установить преемника поздней Windows Mobile 6.5 на наши уже изношенные HD-двойки, потому что это последняя официальная версия эта система, и HTC HD2 имеет его по умолчанию на борту. Вы должны немедленно объяснить, что нет официального обновления для HTC HD2 в форме Windows Phone. В этой статье мы представим метод загрузки специально подготовленной модификации WP7.5, которая была адаптирована для работы с нашими HD-парами. Такая созданная система
Технический совет: как включить аудит почтовых ящиков в Office 365
В связи с постоянно растущей потребностью в дополнительной информации о безопасности ваших систем, особенно почты, Microsoft всегда выпускает новые функции, помогающие выявлять
Как вы можете отразить iPhone на Samsung Smart TV
AirBeamTV выпустил приложение, которое позволяет вам отражать ваши iOS 11 -поддержка устройства на Samsung Smart TV, аналогично AirMirror. Вот как отразить iPhone на Smart TV от Samsung.

Комментарии

Хотите ли вы быть одним из тех, кому нет дела до того, как они дают упаковку, или те, кто даже прикрепляет такую ​​деталь, как лента, обращают внимание на узнаваемость своего бренда?
Хотите ли вы быть одним из тех, кому нет дела до того, как они дают упаковку, или те, кто даже прикрепляет такую ​​деталь, как лента, обращают внимание на узнаваемость своего бренда?
Удалите эти файлы и папки Windows, чтобы освободить место на диске Удалите эти файлы и папки Windows, чтобы освободить место на диске Хотите очистить место на вашем компьютере с Windows?
Хотите ли вы быть одним из тех, кому нет дела до того, как они дают упаковку, или те, кто даже прикрепляет такую ​​деталь, как лента, обращают внимание на узнаваемость своего бренда?
Как это сейчас модно: совпадение?
Как это сейчас модно: совпадение? Я так не думаю. Нет виновных? Я решил выступить на фан-странице оператора, где я также нашел несколько предыдущих приложений по этому вопросу
Почему вы хотите включить или выключить поддержку проигрывателя Dolby Vision или HDR10 +, если есть возможность автоматического переключения аппарата?
Почему вы хотите включить или выключить поддержку проигрывателя Dolby Vision или HDR10 +, если есть возможность автоматического переключения аппарата? Все это кажется немного ненужным. Картина Мы снабжаем DP-UB9000 набором из 4K Blu-ray, начиная с римейка Jumanji , и с картинки, которую мы получаем на нашем LG
Сколько форматов файлов существует для изображений?
Сколько форматов файлов существует для изображений? Дюжина? Две дюжины? Больше? К счастью для нас, нам действительно нужно заниматься тремя форматами изображений для повседневного использования. Когда дело доходит до дизайна электронной почты, вы должны только столкнуться со следующим: Вы можете столкнуться со случайными BMP, а в последнее время и с файлами SVG, но дизайнеры электронной почты в значительной степени стандартизировали три указанных выше формата.
Так как же работает это приложение для зеркалирования?
Так как же работает это приложение для зеркалирования? Приложение будет отображать экран и звук вашего iPhone или iPad на любом телевизоре Samsung Smart TV, выпущенном в 2012 году или позже. Что еще более важно, приложение не требует ничего, кроме iPhone или iPad, работающего на iOS 11 и умного телевизора Samsung. С другой стороны, AirPlay, собственное приложение Apple для зеркального отображения, требует Apple TV для зеркального отображения контента с вашего iPhone на экране
Это вопрос, который мы часто получаем: «Так как же YubiKey работает с iPhone?
Это вопрос, который мы часто получаем: «Так как же YubiKey работает с iPhone?» До сих пор ответ на этот вопрос был немного неясен из-за ограниченной поддержки NFC в iOS. Но сегодня у нас есть четкий ответ: поддержка YubiKey для iOS уже здесь, с двумя захватывающими новостями. Для разработчиков приложений мы представляем новый Mobile SDK для iOS, который позволяет любому мобильному приложению iOS быстро добавлять поддержку аппаратной двухфакторной аутентификации (2FA) с использованием YubiKey
Почему только пользователи Avast, AVG или Norton видят эти уведомления?
Почему только пользователи Avast, AVG или Norton видят эти уведомления? Как избавиться от надоедливых и страшных уведомлений о заражении vbs: malware-gen? Что такое вирус VBS: malware-gen Есть много предположений о том, что VBS: Троян / Червь он заражает компьютеры независимо от того, является ли это Windows или Mac OS, ворует учетные
Задумывалиь ли вы, как вы можете создать свой интернет-магазин?
Задумывалиь ли вы, как вы можете создать свой интернет-магазин? Используйте Virtuemart, который в конце прошлого года был выпущен в версии 3.0.0 и работает с последней версией Joomla 3.x. С чего начать? Лучше всего установить Joomla в последней версии 3.3.6, которая доступна здесь , Кроме того, установите языковой пакет Joomla, поскольку это руководство создано вместе с польскими языковыми пакетами для Joomla и Virtuemart, выпущенными
Как создать эффективное мета-описание?
Как создать эффективное мета-описание? Воспользуйтесь советами Google. Откуда берется контент, который идет в описание? До недавнего времени описания описания, появляющиеся в результатах поиска Google, получены из 3 источников: Контент с сайта, Описание метатега, Каталог DMOZ. Первым выбором Google являются тексты, размещенные на сайте. Если они отвечают на пользовательские запросы, выделенный фрагмент текста попадает в результат
Как починить молнию в куртке?
Как подготовить эффективное мета-описание? Помните, что оно должно быть кратким, иметь маркетинговый характер и отражать (или обобщать) содержание страницы к которому это относится. Поставьте себя на место пользователя и подумайте, не побудит ли подготовленное описание перейти по ссылке на страницу. Подготовьте описания для каждой подстраницы и не беспокойтесь, если Google покажет контент со страницы.

?ь ли вы, как вы можете создать свой интернет-магазин?
С чего начать?
Как удалить пароль из зашифрованного файла Outlook PST?
Хотите ли вы быть одним из тех, кому нет дела до того, как они дают упаковку, или те, кто даже прикрепляет такую ​​деталь, как лента, обращают внимание на узнаваемость своего бренда?
Удалите эти файлы и папки Windows, чтобы освободить место на диске Удалите эти файлы и папки Windows, чтобы освободить место на диске Хотите очистить место на вашем компьютере с Windows?
Хотите ли вы быть одним из тех, кому нет дела до того, как они дают упаковку, или те, кто даже прикрепляет такую ​​деталь, как лента, обращают внимание на узнаваемость своего бренда?
Как это сейчас модно: совпадение?
Как это сейчас модно: совпадение?
Нет виновных?
Почему вы хотите включить или выключить поддержку проигрывателя Dolby Vision или HDR10 +, если есть возможность автоматического переключения аппарата?