Настройка аудита доступа к файлам в Windows Server 2016

  1. Настроить аудит доступа к файлам
  2. Пример аудита доступа к файлам
  3. Резюме

Мы можем настроить аудит доступа к файлам в Windows Server 2016, чтобы события регистрировались каждый раз, когда указанный пользователь или группа успешно обращается или пытается и не может получить доступ к указанному файлу или папке. Этот пост покажет вам, как настроить аудит доступа к файлам в Windows Server 2016. Этот пост является частью серии учебных руководств Microsoft 70-744 по безопасности Windows Server 2016.Для более связанных постов и информации проверьте наш полный 70-744 учебное пособие ,

Настроить аудит доступа к файлам

Мы хотим включить политику «Аудит файловой системы», которую можно найти в разделе «Конфигурация компьютера»> «Политики»> «Параметры Windows»> «Параметры безопасности»> «Конфигурация расширенной политики безопасности»> «Политики аудита»> «Доступ к объектам».

Эта политика будет проверять попытки пользователей получить доступ к объектам в файловой системе, мы можем просматривать эти события в средстве просмотра событий. Из этой политики мы можем включить ее, установив флажок, показанный ниже. Затем у нас также есть возможность аудита событий успеха или неудачи, или обоих.

Хотя эта политика разрешит аудит файловой системы на компьютере, к которому она была применена, нам нужно включить аудит для каждого файла или папки. Мы можем сделать это, щелкнув правой кнопкой мыши файл или папку, выбрав свойства и перейдя на вкладку безопасности.

Затем нажмите кнопку «Дополнительно» и в открывшемся окне расширенных настроек безопасности выберите вкладку аудита.

Теперь мы можем определить пользователя или группу, которые должны проверяться, когда они пытаются получить доступ к этой конкретной папке или файлу в случае успеха, сбоя или обоих типов событий. Мы также можем указать, применяется ли правило только к этому файлу или папке, подпапкам, файлам в подпапках, только подпапкам, только файлам и т. Д.

Внизу мы также можем добавить условия, которые еще больше ограничивают то, что мы проверяем.

Пример аудита доступа к файлам

В этом примере я настроил «тестовую» папку на рабочем столе пользователя-администратора. Каждый раз, когда любой пользователь успешно получает доступ к этой папке, мы хотим знать об этом.

Теперь, если мы откроем папку, к которой у нас есть доступ, в журналах событий безопасности будет зарегистрировано следующее событие с идентификатором 4663.

Теперь, если мы откроем папку, к которой у нас есть доступ, в журналах событий безопасности будет зарегистрировано следующее событие с идентификатором 4663

Мы видим событие успеха аудита с того момента, когда пользователь администратора получил доступ к тестовой папке на рабочем столе, он работает как положено.

Резюме

Мы показали, как настроить аудит доступа к файлам в Windows Server 2016, сначала включив соответствующий параметр групповой политики, а затем настроив аудит для определенного файла или папки.

Этот пост является частью серии учебных руководств Microsoft 70-744 по безопасности Windows Server 2016.Для более связанных постов и информации проверьте наш полный 70-744 учебное пособие ,

связанные с