Как сообщить, кто получил доступ к файлу или папке

  1. Настройка аудита файлов и папок Windows
  2. Импорт журналов событий Windows в WebSpy Vantage
  3. Анализ журналов событий Windows с помощью WebSpy Vantage
  4. Отчет о доступе к файлам или папкам с помощью WebSpy Vantage

Меня часто спрашивают о том, как лучше настроить и сообщить о доступе к файлам или папкам. Другими словами, у меня в сети куча конфиденциальных файлов, и я хочу знать, кто к ним обращается.

Так что вот (вы можете сначала выпить кофе!).

Если у вас нет сложного решения для обеспечения безопасности конечных точек или аудита файлов, вы в значительной степени ограничены качеством данных, найденных в журнале событий безопасности Windows. По умолчанию доступ к вашим конфиденциальным файлам не приводит к записи каких-либо записей в журнал событий. Сначала вам нужно настроить аудит файлов или папок.

Настройка аудита файлов и папок Windows

Сначала включите аудит доступа к объектам, перейдя в Панель управления | Административные инструменты | Политика локальной безопасности | Местная Политика | Политика аудита и настройка доступа к объектам аудита для успеха и неудачи .

Сначала включите аудит доступа к объектам, перейдя в Панель управления |  Административные инструменты |  Политика локальной безопасности |  Местная Политика |  Политика аудита и настройка доступа к объектам аудита для успеха и неудачи

Локальная политика безопасности Windows Vista

В проводнике Windows перейдите к папке или файлам для аудита, затем щелкните правой кнопкой мыши | Свойства | Безопасность | Расширенный | Аудит и нажмите Продолжить, когда Windows User Access Control мешает.

Здесь вы можете добавить пользователей или группы в политику аудита. Так что если вы хотите знать, когда Джо Блоггс получает доступ к файлу / папке, добавьте только Джо Блоггса. Если вы хотите знать, когда кто-нибудь обращается к файлу / папке, добавьте всю свою компанию.

Прокрутка ....

Нажмите OK и примените изменения. Если вы применяете это к папке, обратите внимание на настройку «применить записи аудита к контейнерам в этом контейнере» внизу и использовать по мере необходимости.

Поздравляю. Это настройка аудита. Как только люди начнут получать доступ к этим файлам, информация об аудите будет записана в Журнал событий безопасности на компьютере, на котором размещены рассматриваемые файлы.

Импорт журналов событий Windows в WebSpy Vantage

Следующим шагом является импорт журнала безопасности Windows в WebSpy Vantage ,

  1. Запустите Vantage от имени администратора (щелкните приложение правой кнопкой мыши и выберите « Запуск от имени администратора» ). Это необходимо для доступа к журналам событий безопасности.
  2. Перейдите на вкладку « Хранилища » и нажмите « Импорт журналов».
  3. Запустите мастер импорта с этими настройками:
    • Хранение: новое хранилище

      Диалог ввода: страница хранилищ

    • Тип входа: журнал событий Windows

      Диалог ввода: страница типа ввода

    • Выбор загрузчика: Microsoft

      Диалог ввода: выбор загрузчика
    • Выбор входа: Добавить
      Выберите либо локальный компьютер, либо несколько компьютеров, введите данные аутентификации и нажмите «Фильтровать журналы событий». Проверьте журнал безопасности и нажмите ОК .

      Диалог ввода: страница выбора ввода - добавление журналов событий

    • Нажмите OK, чтобы начать импорт.

Если есть какие-либо проблемы с процессом импорта, обратитесь к этим трем статьям базы знаний WebSpy, чтобы решить проблемы с импортом журналов событий:

Анализ журналов событий Windows с помощью WebSpy Vantage

После того, как данные были импортированы в ваше хранилище, проверьте их на Анализ экран.

Для этого перейдите на вкладку « Сводные данные» , запустите анализ в новом хранилище (специальный анализ) и перейдите к « Сводке по категориям» .

Там должно быть несколько элементов «Файловая система», если предполагается, что файл доступен после настройки аудита файлов. Затем можно перейти к типу события, чтобы увидеть «Аудит успеха» или «Ошибка аудита». Чтобы узнать, кто успешно получил доступ к определенному файлу, перейдите к пункту «Аудит успеха».

К сожалению, хороший материал скрыт в поле « Сообщение », доступ к которому можно получить только в представлении « Индивидуальные записи» . Это связано с тем, что поле «Сообщение» в журналах событий имеет произвольную форму и может значительно различаться, что приводит к миллионам уникальных элементов. Таким образом, сводка сообщений была исключена из специального анализа по умолчанию по очень хорошим причинам производительности.

Журналы событий также могут быть довольно многословными, и если вы перейдете к отдельным записям на этом этапе, вы увидите много сообщений, таких как « Запрошен дескриптор объекта », что, вероятно, не имеет большого значения с точки зрения отчетности. Один из способов отфильтровать этот шум - по идентификатору события.

Я обнаружил, что события, которые соответствуют « попытке доступа к объекту », имеют идентификатор 4663. Поэтому перейдите к сводке по идентификатору события и перейдите к 4463, чтобы перейти к представлению « Индивидуальные записи» .

Как только вы попали в Индивидуальные записи, вы можете навести курсор на поле сообщения, чтобы получить подробную информацию. Вы также можете использовать окно редактирования поиска для поиска конкретного пользователя или файла:

Вы также можете использовать окно редактирования поиска для поиска конкретного пользователя или файла:

Детализация успешных обращений к файловой системе (событие с кодом 4663)

Вы можете экспортировать это представление в Word Document, PDF, HTML, Text или CSV, щелкнув правой кнопкой мыши сводку Индивидуальные записи и выбрав Экспорт .

Отчет о доступе к файлам или папкам с помощью WebSpy Vantage

Анализ данных отлично подходит для специальных случаев, когда вы не совсем уверены, какие события нужно анализировать. Просто нужно копаться в данных.

Но как только вы узнаете, какое событие нужно проанализировать, и какие поля вы хотите извлечь для этих событий (например, поле «Сообщение»), вы также можете создать шаблон отчета для доступа к этой же информации.

Например, чтобы добавить таблицу и диаграмму в отчет, отображающий сообщение о событии:

  1. Перейдите на вкладку « Отчеты» и нажмите « Новый шаблон».
  2. Создайте шаблон анализа на основе схемы «Все схемы событий Windows».
  3. Нажмите New Node и выберите Message из выпадающего списка Summary .
  4. Вы можете нажать « Дополнительно», чтобы добавить дополнительные столбцы в таблицу, изменить тип диаграммы, добавить фильтры и т. Д. В противном случае нажмите кнопку « ОК» .

Чтобы отфильтровать отчет:

  1. Отредактируйте узел, который вы хотите фильтровать, и перейдите на страницу « Фильтры» диалогового окна. Либо щелкните Свойства шаблона, чтобы применить фильтр ко всем узлам в шаблоне.
  2. Нажмите Добавить | Фильтр значений полей . Выберите Category из выпадающего списка Summary и нажмите Add . Введите «Файловая система» (без кавычек) и нажмите ОК . Нажмите OK, чтобы добавить фильтр.
  3. Нажмите Добавить | Фильтр значений полей . Выберите Event ID из выпадающего списка Summary и нажмите Add . Введите «4463» (без кавычек) и нажмите ОК .
  4. Чтобы выполнить фильтрацию в поле «Сообщение», выберите « Добавить | Фильтр значений полей . Выберите Сообщение из выпадающего списка и нажмите Добавить . Введите любые строки, по которым вы хотите фильтровать, в окружении *. Например, чтобы найти сообщения, относящиеся к «scott», обращающимся к файлам «avi», нажмите «Добавить» и введите «* scott *» (без кавычек). Затем снова нажмите кнопку «Добавить» и введите «* avi *» (без кавычек).

WebSpy Vantage поставляется с готовым шаблоном под названием « Отчет о доступе к файлам», который вы можете использовать или дублировать и изменять в соответствии со своими требованиями. Просто перейдите на вкладку « Отчеты », выберите « Отчет о доступе к файлам» (который будет отображаться только после импорта некоторых журналов событий Windows в хранилище) и нажмите Создать отчет или же Опубликовать отчет ,

Это оно! Теперь запустите свой отчет, автоматизируйте его, используя Задачи экран, и ваш набор!

Смотрите также: