Аудит Windows: аудит системных событий для отслеживания деятельности пользователей
Даже самое современное производство, небольшой офис или крупная компания сталкиваются с проблемой банальной человеческой ошибки. Бухгалтерия, экономический отдел, менеджеры, любые другие сотрудники – многие могут иметь доступ к определенным файлам. Поэтому очень важным является применение аудита Windows для отслеживания деятельности пользователей. Может получиться так, что кто-то из сотрудников удалил очень важный файл или данные, которые включены в общедоступные папки на файловом сервере. В результате плоды труда целой организации могут быть удалены или искажены, а системному администратору придется биться над этой проблемой самостоятельно. Но только не в том случае, если вы закажете услугу аудит Windows.
Стоит отметить, что в ОС есть система Audit, в которой есть возможность отслеживать и заносить в журнал данные о том, когда, где и при каких обстоятельствах, а еще при помощи какой именно программы произошли те или иные события, которые повлекли за собой удаление папки или позволили стереть или изменить важный файл. Но по умолчанию Аудит не работает, так как важно задействовать определенную мощность системы. А нагрузка может быть слишком высокой, поэтому политики в Аудит ведут выборочную запись тех событий, которые по-настоящему важны.
Audit встроен в любые ОС Windows, но самостоятельная настройка может оказаться достаточно сложной, поэтому лучше заказать аудит доступа к файлам на Windows сервере.
Итак, для ведения аудита необходимо включить его функцию и указать каждый файл и папки, к которым придется фиксировать доступность. Windows аудит доступа к файлам проводится только на томах файловой системы NTFS.
Включаем Audit на объекты файловой системы в Windows Server 2008 R2
Включить или отключить аудит доступа к объектам можно с помощью групповой политики. Это может быть доменный вариант для Active Directory или локальный – безопасности, предназначенный для отдельных серверов.
Включение аудита на отдельном сервере происходит следующим образом. Следует открыть консоль управления для локальных вариантов Start -> … -> Local Security Policy. После этого развернуть дерево Local Policies, а затем выбрать Audit Policy. В правой части выбирают Audit Object Access, после чего выбирают события доступности к каждому файлу и в папки, которые необходимо фиксировать.
Выбор файлов и папок, доступ к которым будет фиксироваться
После того, как Audit на файловом сервере активирован, подобрать определенные объекты, по отношению к которым будет проводиться аудит доступа. Чтобы выполнить это, следует щелкнуть правой кнопкой и выбрать Свойства. Затем перейти в меню Безопасности (Security) и после этого нажать Advanced. Расширенные настройки безопасности открывают вкладку Аудит. Для настройки требуются права администратора. Чтобы настроить права использования, важно добавить запись в Add и указать имя пользователей. Позже указываются точные настройки, включая вход, создание/изменение или, при удалении файла, другие операции.
После этого в журнале Security (Computer Management -> Events Viewer) будет появляться при каждом входе соответствующая запись. Задачи можно отфильтровать PowerShell — Get-Event Log. Так, на операции с eventid 4660 придется выполнить Get-EventLog security | ?<$_.eventid -eq 4660.
Включаем расширенный аудит файлов и папок на файловых серверах
Аудит Windows Server 2008 R2 лучше проводить на тестовом главном устройстве. Файловый главный компьютер аудит доступа требует управления групповыми папками. Его проверка подразумевает создание нового GPO. Через Конфигурации компьютера необходимо перейти в Параметры безопасности. Там потребуется отрегулировать параметры Журнала и настроить сам аудит. Настраиваемые операции принято делать индивидуально. Обычно хватает 200 Мб, максимальное время хранения до 2 недель, поставить автоматическое сохранение по дням.
Чтобы настроить аудит файлового обслуживающего центра баз данных, потребуется использовать аудит файловой системы. Если выбрать вариант «Об общем файловом ресурсе», то запись будет вестись максимально подробно, и будут записываться любые сведения. Для оптимизации политики важно применить ее к главному аппаратному устройству. Лучше делать это на контроллере домена. Нажимают «Добавить», а в качестве объектов указывают «Компьютеры». Потом проводят контрольную проверку политики, сверяют результаты и уходят на файловый главный обслуживающий центр. Важно убедиться в том, что папка представлена с файловым доступом.
Теперь можно перейти во вкладку безопасности в раздел «Дополнительно». Затем добавляют SACL. Что касается типа, то это может быть Audit доступа к файлам, Audit удаления файлов, аудит изменения файлов – каждый механизм действия зависит от поставленных перед пользователем задач. Важно понимать, что для каждого отдельного предприятия такие задачи могут быть разными и по содержанию, и по объему.
Аудит доступа к файлам на Windows сервере
При удалении файла создаются одинаковые события под номером Причем в теле BodyL появляется запись данных или удаление файла DELETE. При переименовании появляется не одна запись а сразу две. В первом случае происходит удаление, во втором – запись данных. Нельзя обойти вариант сообщения 4660, в котором присутствует имя пользователя и другие служебные данные, в том числе и код дескриптора.
При удалении файла такие события генерируются одновременно, но их последовательность всегда 4663 в первую очередь, и только потом 4660. Причем порядковый номер различается на 1. И порядковый номер у 4660 больше на 1, чему 4663. И вот по этому свойству нужно искать требуемые задачи.
Соответственно, берут происходящие события с 4660. У них выделяется два свойства: время (Time) создания и порядковый номер. Позже в переменной $PrevEvent вносят номер операции, где содержатся данные об удаленном файле. Обязательно определяются временные рамки для поиска, при этом их нужно сократить до 2 с (с интервалом +- 1 с). Скорее всего, это дополнительное время (Time) потребуется для создания каждого выполненного задания отдельно.
Соответственно, аудит файлового сервера Windows Server 2008 R2 не записывает данные о временных доках, которые удалены (.*tmp). Не записываются документы блокировок (.*lock) и временные (.*
$*). Аналогично выбираются поля для переменной $BodyL, а после того, как будут найдены задачи, $BodyL записывается в Text файл лог.
Лог для Audit доступа к документам требует такой схемы: 1 файл на месяц с именем (Name), в котором содержится месяц и год. Дело в том, что удаленных элементов намного меньше, чем тех доков, при которых проводится аудит доступа. Именно поэтому вместо того, чтобы проверять каждый лог, открывается лог-файл в любой таблице и просматриваются данные по пользователю или самому содержимому документа.
Можно поделиться своим мнением по этому поводу и посмотреть другие комментарии (20):
Настройка аудита файловых серверов: подробная инструкция и шпаргалка (.pdf)
Аудит папки Windows Server 2008 осуществляется очень просто. Нужно открыть Start → Run → eventvwr.msc, далее журнал безопасности Security. Так как в нем присутствуют разные события, совершенно ненужные, то потребуется нажать View → Filter и отфильтровать события
Event Types: Success Audit;
а также Category: Object Access;
Event Source: Security.
Превратно понимать удаления не нужно. Просто такая функция при операции Аудит Windows XP применима к обычной работе программ. В том числе большинство приложений при запуске сначала формируют временный файл, потом основной, а временный удаляют, когда происходит выход из программы. Бывает и так, что файл и целые папки (иногда – базы данных) удаляются со злым умыслом. Например, уволенный сотрудник решил навредить предприятию и удалить всю информацию. Но восстановить папки не составит труда и для обычного системного администратора. Совсем другое дело, когда можно сказать, когда и кто сделал подобное.
Аудит сетевой папки или аудит сетевых папок (как вам будет удобнее) начинается с настройки. Для этого нужно зайти в Свойства шары, зайти во вкладку безопасности и выделить «Advanced», далее вкладка Audit, где (where) нужно выбрать группу пользователей Everyone. Затем нужно выбрать Edit, и только после этого кликнуть присутствующие флажки как на скрине:
При этом список «Apply onto» должен содержать значение «This folder, subfolders…». А потом, как настройка будет завершена, следует кликнуть ОК.
Аудит Windows Server 2008 подразумевает настройку общей политики. Перед настройкой следует убедиться в том, что учетная запись есть в группе администраторов. Аудит сетевой папки Windows Server 2008 R2 Standart сравним с более ранними версиями. Но при этом сами разработчики советуют использовать расширенные возможности, а не папки или элементов(объектов), хотя с времен 2003 мало что поменялось. Поэтому искать какие-либо актуальные данные вряд ли стоит. Просто потребуется немного времени, чтобы настроить аудит Server 2008 для конкретных задач и в соответствии с теми требованиями, которые предъявляются для определенных бизнес-целей компании
Аудит других системных событий Audit Other System Events
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит других системных событий содержит события запуска и остановки драйвера брандмауэра Windows и брандмауэра Windows, события сбоев для этих служб и сбои обработки политики брандмауэра Windows. Audit Other System Events contains Windows Firewall Service and Windows Firewall driver start and stop events, failure events for these services and Windows Firewall Service policy processing failures.
Аудит других системных событий определяет, проводит ли операционная система аудит различных системных событий. Audit Other System Events determines whether the operating system audits various system events.
Системные события в этой категории включают: The system events in this category include:
Запуск и завершение работы службы и драйвера брандмауэра Windows. Startup and shutdown of the Windows Firewall service and driver.
Обработка политики безопасности службой брандмауэра Windows. Security policy processing by the Windows Firewall service.
Операции с файлом ключа шифрования и миграцией. Cryptography key file and migration operations.
События BranchCache. BranchCache events.
Объем события: низкий. Event volume: Low.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Да Yes | Да Yes | Да Yes | Мы рекомендуем использовать аудит успешности и сбоя, так как вы сможете получать события состояния службы брандмауэра Windows и драйвера брандмауэра Windows. We recommend enabling Success and Failure auditing because you will be able to get Windows Firewall Service and Windows Firewall Driver status events. |
| Сервер-член Member Server | Да Yes | Да Yes | Да Yes | Да Yes | Мы рекомендуем использовать аудит успешности и сбоя, так как вы сможете получать события состояния службы брандмауэра Windows и драйвера брандмауэра Windows. We recommend enabling Success and Failure auditing because you will be able to get Windows Firewall Service and Windows Firewall Driver status events. |
| Workstation Workstation | Да Yes | Да Yes | Да Yes | Да Yes | Мы рекомендуем использовать аудит успешности и сбоя, так как вы сможете получать события состояния службы брандмауэра Windows и драйвера брандмауэра Windows. We recommend enabling Success and Failure auditing because you will be able to get Windows Firewall Service and Windows Firewall Driver status events. |
Список событий: Events List:
5024(S): служба брандмауэра Windows успешно запущена. 5024(S): The Windows Firewall Service has started successfully.
5025(S): служба брандмауэра Windows остановлена. 5025(S): The Windows Firewall Service has been stopped.
5027(F): службе брандмауэра Windows не удалось извлечь политику безопасности из локального хранилища. 5027(F): The Windows Firewall Service was unable to retrieve the security policy from the local storage. Служба может продолжить применять текущую политику. The service will continue enforcing the current policy.
5028(F): службе брандмауэра Windows не удалось разлить новую политику безопасности. 5028(F): The Windows Firewall Service was unable to parse the new security policy. Служба продолжит применять текущую политику. The service will continue with currently enforced policy.
5029(F): службе брандмауэра Windows не удалось инициализировать драйвер. 5029(F): The Windows Firewall Service failed to initialize the driver. Служба продолжит применять текущую политику. The service will continue to enforce the current policy.
5030(F): не удалось запустить службу брандмауэра Windows. 5030(F): The Windows Firewall Service failed to start.
5032(F): брандмауэру Windows не удалось уведомить пользователя о том, что приложение не может принимать входящие подключения в сети. 5032(F): Windows Firewall was unable to notify the user that it blocked an application from accepting incoming connections on the network.
5033(S): драйвер брандмауэра Windows успешно запущен. 5033(S): The Windows Firewall Driver has started successfully.
5034(S): драйвер брандмауэра Windows остановлен. 5034(S): The Windows Firewall Driver was stopped.
5035(F): не удалось запустить драйвер брандмауэра Windows. 5035(F): The Windows Firewall Driver failed to start.
5037(F): драйвер брандмауэра Windows обнаружил критическую ошибку времени работы. 5037(F): The Windows Firewall Driver detected critical runtime error. Завершение работы. Terminating.
5058(S, F): операция с файлом ключа. 5058(S, F): Key file operation.
5059(S, F): операция переноса ключей. 5059(S, F): Key migration operation.
6400(-): BranchCache: получен неправильно отформатированный ответ при обнаружении доступности контента. 6400(-): BranchCache: Received an incorrectly formatted response while discovering availability of content.
6401(-): BranchCache: получено недопустимые данные от одноранговой сети. 6401(-): BranchCache: Received invalid data from a peer. Данные удалены. Data discarded.
6402(-): BranchCache: сообщение в кэш, предоставляющий данные, неправильно отформатировано. 6402(-): BranchCache: The message to the hosted cache offering it data is incorrectly formatted.
6403(-): BranchCache: hosted cache sent an incorrectly formatted response to the client. 6403(-): BranchCache: The hosted cache sent an incorrectly formatted response to the client.
6404(-): BranchCache: hosted cache could not be authenticated using the provisioned SSL certificate. 6404(-): BranchCache: Hosted cache could not be authenticated using the provisioned SSL certificate.
6405(-): BranchCache: произошло %2 экземпляра события с ид %1. 6405(-): BranchCache: %2 instance(s) of event id %1 occurred.
6406(-): %1 зарегистрирован в брандмауэре Windows для управления фильтрацией для следующего: %2 6406(-): %1 registered to Windows Firewall to control filtering for the following: %2
6408(-): сбой зарегистрированного продукта %1, и брандмауэр Windows теперь управляет фильтрацией для %2 6408(-): Registered product %1 failed and Windows Firewall is now controlling the filtering for %2
6409(-): BranchCache: не удалось разлить объект точки подключения службы. 6409(-): BranchCache: A service connection point object could not be parsed.
