Bună ziua, prieteni și colegi. Astăzi, hai să vorbim despre cum să urmăriți în continuare modificările de pe serverele de fișiere, și anume cine și ce a făcut cu fișierul; Nu l-am șters accidental? a creat dintr-un motiv oarecare un dosar inutil, etc. Desigur, cel puțin trei lucruri sunt strâns asociate cu acest subiect: o descriere documentară a sferelor de fișiere, aplicarea filtrelor de fișiere (interzicerea unui anumit tip de fișiere) și un sistem de limitare a dimensiunii sistemului de stocare (sistem de cote). Dar aceste lucruri vor depăși limitele unui articol. În cazul în care tema este în cerere, articole vor apărea în viitor pe aceste subiecte.
Pentru administratorii experimentați care au făcut deja lucruri similare, nu veți găsi nimic nou aici. Tehnologiile de audit s-au aflat de mult timp. Pur și simplu îmi împărtășesc experiența și exprim opinia cu privire la unele lucruri care, în opinia mea, sunt pur și simplu necesare pe serverele de fișiere dintr-o rețea de domenii.
În Gestionarea politicii de grup, accesați secțiunea Politica de grup și creați un nou GPO acolo:
Obiectul politicii de grup
Chemată, ați dat click pe OK. Acum trebuie să mergeți la proprietățile noului obiect. Tot ceea ce se referă la audit și alte tipuri de securitate este aproape întotdeauna în configurația computerului, așa că mergem imediat (vezi captura de ecran):
În setările de securitate, trebuie să "ajustăm" setările jurnalului de securitate (în secțiunea "Jurnal de evenimente") și să configuram, de fapt, auditul în sine (în secțiunea "Configurarea politicii avansate de audit"):
Lungimea stocării intrărilor din jurnalul de securitate
Voi explica prin minim, pentru că toate pur individuale. Am pus mărimea (100-200 MB pentru ochi cel mai probabil, în funcție de dimensiunea dosarului de rețea și numărul de utilizatori), pune perioada maximă de evenimente de stocare (am 2 săptămâni este suficient), metoda de salvare "pe zi" este înlocuită automat. Cred că nu este nimic complicat. Acum vom organiza un audit, cel mai important lucru pentru noi:
Audiți sistemul de fișiere
Acum optimizăm politica. Mai întâi îl aplicăm pe server. În cazul meu, fac totul pe controlerul de domeniu și, prin urmare, se aplică la subdiviziunea Controlerelor de Domeniu. Serviciile de fișiere rulează pe un controler de domeniu, ceea ce nu este bun. Dar din cauza motivelor care au avut loc. Ștergeți "ultima verificată" astfel încât politica să nu fie aplicată altor servere (am restul controlerelor de domeniu):
Faceți clic pe "Adăugați", specificați tipul de obiecte "Computere" și înregistrați numele serverului nostru acolo:
Să polonez politica chiar mai abruptă. Pentru a accelera implementarea politicilor, Microsoft recomandă întotdeauna să specificați configurațiile care trebuie aplicate și care nu. În caz contrar, se face o încercare de a aplica configurația atât pentru computer cât și pentru utilizator. Avem o politică aplicată computerului, deci într-o stare de politică, putem specifica acest lucru. În tehnete scriu că în acest fel descărcăm controlerul de domeniu.
Dezactivați setările de configurare ale utilizatorilor
Verificați verificarea politicii. Verificați rezultatele: Prima parte este finalizată. Acum mergeți la serverul de fișiere. Asigurați-vă că folderul este configurat pentru partajarea în rețea:
Foldere comune Windows
și accesați fila "Securitate" sau, mai degrabă, secțiunea "suplimentare":
Suntem interesați de fila "Audit":
Acum este gol, pentru că nimic nu este configurat. Acum vom adăuga așa-numita listă SACL (listele de control al accesului la sistem). De la NTFS'nogo ACL se deosebește prin faptul că este doar un audit, nu dăm niciun drept la dosar, deci nu tratezi această listă ca o listă cu accesul real la dosar. Amintiți-vă că acest lucru este complet diferit. Prin urmare, adaug grupul Toate și dau criteriul de audit necesar:
Adăugarea parametrilor de audit
Caseta de selectare "Adăugați elemente de audit, moștenite ..." Am curățat, pentru că viitorul poate fi util. La urma urmei, putem efectua în viitor un audit al bilelor de rețea într-o altă minge. Dacă părăsiți daia, e în regulă.
Selectați tipurile de evenimente corespunzătoare
De asemenea, după tipul de audit, consultați-vă singur. Am nevoie de un audit pentru a schimba fișierele, puteți face chiar mai flexibil, dar trebuie să vă amintiți despre creșterea încărcării pe server și mărimea jurnalului.
Setările de audit pentru folder pot fi aplicate o perioadă de timp (apare fereastra de stare a aplicației). După toate aceste acțiuni, să trecem la a treia parte - verificare.
Aplicăm o nouă politică pe serverul de fișiere și vedem dacă a fost aplicată (comenzi gpupdate / force și gpresult / r):
Aplicați politica de grup
La mine a fost aplicată. Acum mă duc la jurnalul de securitate și îl curăț:
Urmăriți pista de audit
Acum, cel mai interesant. Încerc de la un alt PC să merg la dosarul din rețea și să schimb ceva. Ideea imediat după acest lucru este un eveniment cum ar fi "cine a făcut / a făcut / când, etc.":
Urmăriți pista de audit
Într-un eveniment, totul este afișat. Dar când sunt multe evenimente, nu este atât de convenabil să folosiți revista. Prin urmare, este recomandat să salvați jurnalul într-un format convenabil (csv, txt, evtx, xml) și fișierul deja generat pentru a fi chinuit. Asta e tot. Utilizați auditul, colegii. Atunci când există dovezi ale vinovăției cuiva pe mâini, este foarte util și acoperă foarte mult un loc pentru administrator.
Veți dori de asemenea:
