Включаем аудит доступа к файлам в Windows (логи создания, изменения и удаления файлов)

Для ведения аудита (журнала) доступа к файлам на файловом сервере Windows (или общих ресурсах) используется одноименная техника - аудит. Что она делает? Она позволяет записывать в журнал "Безопасность" операционной системы попытки - успешные и нет - доступа к файлам и операции нам ними, такие, как чтение, удаление, создание и изменение, а также изменение аттрибутов.

Итак, давайте ее включим.


1) Включаем полити аудита.

Первым делом нам надо включить политики аудита. Для этого открываем:

Администрирование / Локальная политика безопасности

Далее идем в раздел

Локальные политики / Аудиты

Где видим набор политик аудита данного сервера.

Вам нужно включить те политики, которые необходимы. Например, для аудита доступа к файлам - нужно включить "Аудит доступа к объектам".

При этом укажите - какие события хотите сохранять в журнале:

• Успех: когда пользователь успешно выполняет действие (у него есть на то права)
• Отказ: когда система отказывает пользователю в выполнении действия (нет прав)

2) Устанавливаем аудит для нужных папок и файлов

Включить политику аудиты - это только половина дела. Теперь нужно в файловой системе самого сервера указать - какие конкретно папки журналировать.

Для этого заходим в свойства нужной папки (Правая кнопка мыши на папке и "Свойства"), переходим на вкладку "Безопасность", жмем на "Допольнительно" и переходим на вкладку "Аудит".

Свойства папки -> Безопасность -> Дополнительно -> Аудит

Именно аудит Вам нужно и править. В Windows Server 2008, в отличие от 2003, для изменения нужно нажать еще кнопку "Продолжить".

Здесь:

а) Нажимаем на кнопку "Добавить"

б) Вводим имя (имена) пользователя (пользователей) или группы, для которых будет активна эта запись аудита - т.е. при работе каких пользователей должно срабатывать это правило аудита. Для того, чтобы правило срабатывало на всех пользователей - вводим "Все".

в) Нажимаем "ОК"

г) И в отрывшемся окне выбираем - для каких событий должно срабатывать это правило. Можно указать раздельно - для успешных событий ("Успех") и для событий, в которых пользователю отказано в действии ("Отказ").

д) Желательно поставить галочку на "Заменить все наследуемые элементы аудита...", если Вы хотите, чтобы записывались события для всех файлов и папок внутри выбранной. Для уверенности - а то вдруг где-то стоит переопределение правила аудита.

е) Все, сохраняем и выходим.

И повторяем процедуру для всех папок, для которых необходимо вести журнал доступа.


3) Просмотр

Смотреть события аудита можно через "Просмотр событий" - административную утилиту Windows - в разделе "Безопасность".

К сожалению, Microsoft не уделили никакого внимания этой процедуре, из-за чего для понимания - что же сделал какой пользователь с каким файлом приходится просмотреть сразу несколько событий, из которых выстроить цепочку событий.

Вот пример такой цепочки в журнале:

а) Пользователь DOMAIN\user запросил дескриптор 001 файла D:\file
б) Пользователь DOMAIN\user получил права на "Запись, чтение, изменение" для дескриптора 001
в) Пользователь DOMAIN\user : удаление файла. Дескриптор 001
г) Пользователь DOMAIN\user : запросил текущее состояние папки

Это очень упрощенно. Если у Вас сотни людей работают на сервере с общими ресурсами - события могут и будут переплетаться с событиями других пользователей и придется проводить работу по выуживанию нужной информации и выстраиванию цепочки действий. Но это лучше, чем совсем ничего.