Активація аудиту доступу до об`єктів для системи windows, до файлів і папок

Хоча повноваження доступу підвищують безпеку даних, вони не надають інформації про спроби несанкціонованого доступу до інформації (файли і папки з обмеженим доступом) або про видалення файлів, як ненавмисних, так і навмисних. Щоб відстежувати звернення до файлів і папок, і дії з ними, необхідно налаштувати аудит визначення доступу до об`єктів типу файл і папка. Відстежувати звернення до файлів і папок можна, включивши аудит, вказавши які файли і папки підлягають аудиту, а потім перевіряючи записи в журналах безпеки.

Відео: Надання доступу до Директ для аудиту

Включення можливості аудиту файлів і папок

Налаштувати політики аудиту можна, використовуючи як групову, так і локальну політику безпеки. Говорячи про групову політику, її краще використовувати, коли є необхідність у визначенні політики аудиту для всієї організації. Локальною політику безпеки слід використовувати, коли є необхідність у визначенні політики аудиту для конкретного комп`ютера, але при цьому, не варто забувати, що локальна політика може заміщатися груповою політикою.

Відео: Відеокурс UralSOFT - Режим аудиту ч 1

Включити аудит файлів і папок можна одним з таких способів

- Щоб визначити, як локальної політики для певного комп`ютера, відкрийте, так звану, консоль "Локальна політика безпеки"(Local security policy). Якщо включено відображення коштів адміністрування на екрані"Пуск", Цю консоль можна запустити за допомогою її пошуку на цьому екрані. Інший спосіб зробити це - виконати команду secpol.exe в поле пошуку панелі Додатки або в командному рядку. Ліва панель консолі містить вузол"локальні політики"(Local Policies), його необхідно розгорнути і вибрати в ньому подузел"політика аудиту"(Audit Policy).

- Щоб налаштувати політику для всієї організації, використовуйте редактор з управління груповими політиками, в ньому відкрийте для зміни необхідний об`єкт відповідної політики. Права панель консолі редактора містить вузол - Конфігурація комп`ютера конфігурація Windows параметри безпеки локальні політики, який треба розгорнути і вибрати в ньому подузел "Політика аудиту".

Відео: Аудит системних подій за допомогою auditd

Далі (для настройки як локальної, так і організаційної політики) в правій панелі консолі двічі клікнути на політиці "Аудит доступу до об`єктів"(Audit object access). Після цього з`явиться діалогове вікно, з найменуванням"Властивості: Аудит доступу до об`єктів"(Audit access object Properties). Під написом"Вести аудит наступних спроб доступу"(Audit these attempts) потрібно встановити прапорець"успіх"(Success), щоб записувати в журнал успішні спроби доступу, або прапорець"відмова"(Failure), щоб записувати в журнал невдалі спроби доступу, або ж встановіть обидва прапорця, щоб журналіровать спроби доступу з результатом обох типів. Далі натиснути кнопку"OK", Щоб налаштування були збережені і закрити вікно.

Функціональність аудиту буде активована, таку дію буде вказівка переліку файлів і папок, які підлягають аудиту.

Відео: Як відновити вилучені облікові записи в AD

Подібні дії робляться так само, як з аудитом доступу до об`єктів.