Зарегистрирован: 23.08.2007
Пользователь #: 60,096
Сообщения: 125

Зарегистрирован: 08.03.2008
Пользователь #: 67,678
Сообщения: 1080

Голоса: 24

Зарегистрирован: 23.08.2007
Пользователь #: 60,096
Сообщения: 125

Источник

Аудит доступа к файлам и папкам в Windows Server 2008 R2

Для ведения аудита доступа к файлам и папкам в Windows Server 2008 R2, необходимо включить функцию аудита, а также указать папки и файлы, доступ к которым необходимо фиксировать. После настройки аудита, в журнале сервера будет содержаться информация о доступе и других событиях на выбранные файлы и папки. Стоит заметить, что аудит доступа к файлам и папкам может вестись только на томах с файловой системой NTFS.

Включаем аудит на объекты файловой системы в Windows Server 2008 R2

Аудит доступа на файлы и папки включается и отключается при помощи групповых политик: доменный политик для домена Active Directory либо локальных политик безопасности для отдельно стоящих серверов. Чтобы включить аудит на отдельном сервере, необходимо открыть консоль управления локальный политик Start -> All Programs -> Administrative Tools -> Local Security Policy. В консоли локальной политики нужно развернуть дерево локальный политик (Local Policies) и выбрать элемент Audit Policy.

В правой панели нужно выбрать элемент Audit Object Access и в появившемся окне указать какие типы событий доступа к файлам и папкам нужно фиксировать (успешный/ неудачный доступ):

После выбора необходимой настройки нужно нажать OK.

Выбор файлов и папок, доступ к которым будет фиксироваться

После того, как активирован аудит доступа к файлам и папкам, необходимо выбрать конкретные объекты файловой системы, аудит доступа к которым будет вестись. Так же как и разрешения NTFS, настройки аудита по-умолчанию наследуются на все дочерние объекты (если не настроено иначе). Точно так же, как при назначении прав доступа на файлы и папки, наследование настроек аудита может быть включено как для всех, так и только для выбранных объектов.

Чтобы настроить аудит для конкретной папки/файла, необходимо щелкнуть по нему правой кнопкой мыши и выбрать пункт Свойства (Properties). В окне свойств нужно перейти на вкладку Безопасность (Security) и нажать кнопку Advanced. В окне расширенных настроек безопасности (Advanced Security Settings) перейдем на вкладку Аудит (Auditing). Настройка аудита, естественно, требует прав администратора. На данном этапе в окне аудита будет отображен список пользователей и групп, для которых включен аудит на данный ресурс:

Чтобы добавить пользователей или группы, доступ которых к данному объекту будет фиксироваться, необходимо нажать кнопку Add… и указать имена этих пользователей/групп (либо указать Everyone – для аудита доступа всех пользователей):

Далее нужно указать конкретные настройки аудита (такие события, как доступ, запись, удаление, создание файлов и папок и т.д.). После чего нажимаем OK.

Сразу после применения данных настроек в системном журнале Security (найти его можно в оснастке Computer Management -> Events Viewer), при каждом доступе к объектам, для которых включен аудит, будут появляться соответствующие записи.

Альтернативно события можно просмотреть и отфильтровать с помощью командлета PowerShell — Get-EventLog Например, чтобы вывести все события с eventid 4660, выполним комманду:

UPD от 06.08.2012 (Благодарим комментатора Roman).

В Windows 2008/Windows 7 для управления аудитом появилась специальная утилита auditpol. Полный список типов объектов, на который можно включить аудит можно увидеть при помощи команды:

Как вы видите эти объекты разделены на 9 категорий:

• System
• Logon/Logoff
• Object Access
• Privilege Use
• Detailed Tracking
• Policy Change
• Account Management
• DS Access
• Account Logon

И каждая из них, соответственно, делиться на подкатегории. Например, категория аудита Object Access включает в себя подкатегорию File System и чтобы включить аудит для объектов файловой системы на компьютере выполним команду:

Отключается он соответственно командой:

Т.е. если отключить аудит ненужных подкатегорий, можно существенно сократить объем журнала и количества ненужных событий.

После того, как активирован аудит доступа к файлам и папкам, нужно указать конкретные объекты которые будем контролировать (в свойствах файлов и папок). Имейте в виду, что по-умолчанию настройки аудита наследуются на все дочерние объекты (если не указано иное ).

Все собранные события можно сохранять во внешнюю БД для ведения истории. Пример реализации системы: Простая система аудита удаления файлов и папок для Windows Server.

Источник

Как определить с какого компьютера в сети открыт файл на Windows Server 2008 R2?

Определение с какого компьютера в сети был открыт файл.
Привет всем, программисты кто-нибудь в курсе можно ли сделать следующее. Несколько компов в.

Определить, от какого пользователя открыт файл
День добрый! Есть задача определить кто открыл файл дальше взять его логин и отправить ввиде.

Настройка сети и интернет на Windows server 2008
Добрый день. Есть задача — один компьютер с windows server 2008 и два с windows 7 professional.

Групповая политика рабочего компьютера, присоединенного к домену Windows Server 2008 R2
Доброго вечера. Имеется Server 2008 и XP, которые находятся в одном домене. С помощью оснастки.

бесполезно, если несколько заходят под учеткой «Гость»

Добавлено через 27 минут

Интересно, но то, что у вас гостевой доступ, разве не подразумевает, что вам по барабану кто открвыает файл?

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

TL-R480T+ в сети, в которой поднят домен на Windows Server 2008 R2
Добрый день! Небольшая локальная сеть , поднят домен на Windows Server 2008 R2. В сети есть.

Отключение доступа к сайту из глобальной сети. Windows server 2008
Здравствуйте. Нужен был ресурс для локальной сети и был поднят веб-сервер. Однако, к этому ресурсу.

Windows Server 2008 R2 синхронизация времени с сервером ntpd в локальной сети
Не работает синхронизация времени в WS 2008 R2. Настройки прилетают от dhcp-сервера на linux, на.

Синхронизация данных по сети организации штатными средствами Windows Server 2008 R2
Доброго всем дня или ночи, у кого как) В организации стоит задача автоматизировать получение.

Как определить открыт ли файл?
Нужна помощь. Некий макрос открывает нужные экселевские файлы. Как сделать проверку ‘Не открыт ли.

Как определить, открыт ли файл?
Вопрос по теме. За ранее все спасибо!

Источник