Untuk mengaudit akses ke file dan folder di Windows Server 2008 R2, Anda harus mengaktifkan fungsi audit, serta menentukan folder dan file yang aksesnya harus direkam. Setelah menyiapkan audit, log server akan berisi informasi tentang akses dan acara lainnya ke file dan folder yang dipilih. Perlu dicatat bahwa akses ke file dan folder hanya dapat diaudit pada volume dengan sistem file NTFS..
Aktifkan Audit untuk Objek Sistem File di Windows Server 2008 R2
Akses audit ke file dan folder diaktifkan dan dinonaktifkan menggunakan kebijakan grup: kebijakan domain untuk domain Active Directory atau kebijakan keamanan lokal untuk server yang berdiri sendiri. Untuk mengaktifkan audit pada server terpisah, Anda harus membuka konsol manajemen kebijakan lokal Mulai -> Semua Program -> Administratif Alat -> Lokal Keamanan Kebijakan. Di konsol kebijakan lokal, Anda perlu memperluas pohon kebijakan lokal (Lokal Kebijakan) dan pilih satu item Audit Kebijakan.
Di panel kanan, pilih item Audit Obyek Akses dan di jendela yang muncul, tunjukkan jenis kejadian akses file dan folder apa yang harus direkam (akses berhasil / tidak berhasil):
Setelah memilih pengaturan yang diperlukan, klik Ok.
Pilih file dan folder yang aksesnya akan diperbaiki
Setelah audit akses ke file dan folder diaktifkan, perlu untuk memilih objek tertentu dari sistem file, audit akses yang akan dilakukan. Seperti izin NTFS, pengaturan audit diwarisi secara default ke semua objek anak (kecuali dikonfigurasi sebaliknya). Dengan cara yang sama seperti ketika memberikan hak akses ke file dan folder, pewarisan pengaturan audit dapat diaktifkan untuk semua dan hanya objek yang dipilih.
Untuk mengkonfigurasi audit untuk folder / file tertentu, Anda harus klik kanan padanya dan pilih Properties (Properti) Di jendela properti, buka tab Keamanan (Keamanan) dan tekan tombol Mahir. Di jendela pengaturan keamanan lanjutan (Mahir Keamanan Pengaturan) buka tab Audit (Audit) Menyiapkan audit secara alami membutuhkan hak administrator. Pada tahap ini, jendela audit akan menampilkan daftar pengguna dan grup yang memungkinkan audit untuk sumber ini:
Untuk menambahkan pengguna atau grup yang aksesnya ke objek ini akan diperbaiki, klik tombol Tambahkan ... dan tentukan nama-nama pengguna / grup ini (atau sebutkan Semuanya - untuk mengaudit akses untuk semua pengguna):
Selanjutnya, Anda perlu menentukan pengaturan audit tertentu (acara seperti akses, menulis, menghapus, pembuatan file dan folder, dll.). Kemudian klik Ok.
Segera setelah menerapkan pengaturan ini di log sistem Keamanan (Anda dapat menemukannya di snap-in Komputer Manajemen -> Peraga Peristiwa), dengan setiap akses ke objek yang auditnya diaktifkan, entri yang sesuai akan muncul.
Atau, acara dapat dilihat dan difilter menggunakan cmdlet PowerShell. - Dapatkan-eventlog Misalnya, untuk menampilkan semua peristiwa dengan eventid 4660, jalankan perintah:
Dapatkan-EventLog keamanan | ? $ _. eventid -eq 4660Kiat. Dimungkinkan untuk menetapkan tindakan tertentu pada peristiwa apa pun di log Windows, seperti mengirim email atau menjalankan skrip. Bagaimana ini dikonfigurasi dijelaskan dalam artikel: Pemantauan dan pemberitahuan acara di log Windows
UPD dari 08/06/2012 (Terima kasih kepada komentator Romawi).
Di Windows 2008 / Windows 7, utilitas khusus muncul untuk mengelola audit auditpol. Daftar lengkap jenis objek di mana Anda dapat mengaktifkan audit dapat dilihat menggunakan perintah:
auditpol / daftar / subkategori: *
Seperti yang Anda lihat, benda-benda ini dibagi menjadi 9 kategori:
- Sistem
- Logon / logoff
- Akses objek
- Penggunaan Privilege
- Pelacakan terperinci
- Perubahan kebijakan
- Manajemen akun
- Akses DS
- Log masuk akun
Dan masing-masing, masing-masing, dibagi menjadi beberapa subkategori. Sebagai contoh, kategori Audit dari Akses Objek mencakup subkategori Sistem File dan untuk mengaktifkan audit objek sistem file di komputer, jalankan perintah:
auditpol / set / subkategori: "Sistem File" / kegagalan: aktifkan / sukses: aktifkan
Itu terputus sesuai dengan perintah:
auditpol / set / subkategori: "Sistem File" / kegagalan: disable / success: disable
Yaitu jika Anda menonaktifkan audit subkategori yang tidak perlu, Anda dapat secara signifikan mengurangi volume log dan jumlah peristiwa yang tidak perlu.
Setelah audit akses ke file dan folder diaktifkan, Anda perlu menentukan objek tertentu yang akan kami kontrol (dalam properti file dan folder). Ingatlah bahwa, secara default, pengaturan audit diwariskan ke semua objek anak (kecuali ditentukan lain).
Semua acara yang dikumpulkan dapat disimpan ke database eksternal untuk menjaga sejarah. Contoh penerapan sistem: Sistem audit penghapusan file dan folder sederhana untuk Windows Server.
