- Применение базовой политики аудита к файлу или папке Apply a basic audit policy on a file or folder
- Как включить аудит доступа к файлам Windows в картинках
- Запускаем редактор групповых политик
- Настраиваем политику
- Настраиваем аудит для файлов и папок
- Аудит сведений об общем файловом ресурсе Audit Detailed File Share
Применение базовой политики аудита к файлу или папке Apply a basic audit policy on a file or folder
Область применения Applies to
Политики аудита можно применять к отдельным файлам и папок на компьютере, задав тип разрешения для записи успешных попыток доступа или неудачных попыток доступа в журнале безопасности. You can apply audit policies to individual files and folders on your computer by setting the permission type to record successful access attempts or failed access attempts in the security log.
Для выполнения этой процедуры необходимо войти в систему в качестве члена встроенной группы администраторов или иметь права на управление аудитом и журналом безопасности. To complete this procedure, you must be signed in as a member of the built-in Administrators group or have Manage auditing and security log rights.
Применение или изменение параметров политики аудита для локального файла или папки To apply or modify auditing policy settings for a local file or folder
Выберите и удерживайте (или щелкните правой кнопкой мыши) **** файл или папку, для аудита, выберите «Свойства», а затем выберите вкладку «Безопасность». Select and hold (or right-click) the file or folder that you want to audit, select Properties, and then select the Security tab.
Выберите «Дополнительные». Select Advanced.
В диалоговом окне «Дополнительные **** параметры безопасности» выберите вкладку «Аудит» и выберите «Продолжить». In the Advanced Security Settings dialog box, select the Auditing tab, and then select Continue.
Выполните одно из следующих действий. Do one of the following:
- Чтобы настроить аудит для нового пользователя или группы, выберите «Добавить». To set up auditing for a new user or group, select Add. Select Select a principal, type the name of the user or group that you want, and then select OK. Select Select a principal, type the name of the user or group that you want, and then select OK.
- Чтобы удалить аудит для существующей группы или пользователя, выберите группу или имя пользователя, выберите «Удалить», ****»ОК» и пропустите остальную часть этой процедуры. To remove auditing for an existing group or user, select the group or user name, select Remove, select OK, and then skip the rest of this procedure.
- Чтобы просмотреть или изменить аудит для существующей группы или пользователя, выберите ее имя и выберите «Изменить». To view or change auditing for an existing group or user, select its name, and then select Edit.
В поле «Тип» указать действия, которые необходимо проверить, выбрав соответствующие флажки: In the Type box, indicate what actions you want to audit by selecting the appropriate check boxes:
- Для аудита успешных событий выберите «Успешно». To audit successful events, select Success.
- Для аудита событий сбоя выберите «Сбой». To audit failure events, select Fail.
- Для аудита всех событий выберите «Все». To audit all events, select All.
В поле «Применяется к» выберите объекты, к которым будет применяться аудит событий. In the Applies to box, select the object(s) to which the audit of events will apply. К ним можно отнести следующие. These include:
- Только эта папка This folder only
- Эта папка, вложенные папки и файлы This folder, subfolders and files
- Эта папка и вложенные папки This folder and subfolders
- Эта папка и файлы This folder and files
- Только в папки и файлы Subfolders and files only
- Только в подкаченики Subfolders only
- Только файлы Files only
По умолчанию для аудита выбраны следующие базовые разрешения: By default, the selected Basic Permissions to audit are the following:
- Чтение и выполнение Read and execute
- Список содержимого папки List folder contents
- Read Read
- Кроме того, с помощью выбранного сочетания аудита можно выбрать любое сочетание следующих разрешений: Additionally, with your selected audit combination, you can select any combination of the following permissions:
- Полный контроль Full control
- Изменение Modify
- Write Write
Перед тем как настроить аудит файлов и папок, необходимо включить аудит доступа к объектам. Before you set up auditing for files and folders, you must enable object access auditing. Для этого определите параметры политики аудита для категории событий доступа к объектам. To do this, define auditing policy settings for the object access event category. Если не включить аудит доступа к объекту, при настройках аудита файлов и папок вы получите сообщение об ошибке, и никакие файлы и папки не будут проверяться. If you don’t enable object access auditing, you’ll receive an error message when you set up auditing for files and folders, and no files or folders will be audited.
Как включить аудит доступа к файлам Windows в картинках
Запускаем редактор групповых политик
Для этого в Windows 10 или Server 2012 R2 кликаем правой кнопкой мыши по Пуск и нажимаем Панель управления:
В более ранних версиях Windows кликаем по Пуск и выбираем Панель управления:
Теперь открываем Система и безопасность:
И выбираем Локальная политика безопасности:
* Совет: редактор групповых политик можно открыть через командную строку командой gpedit.msc.
* Нюанс: в доменной среде с сервером Active Directory необходимо открывать групповые политики на стороне контроллера домена и применять их к серверам или компьютерам компании.
Настраиваем политику
Раскрываем Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Политика аудита:
В окне справа кликаем дважды по Аудит доступа к объектам:
В открывшемся окне ставим галочки на Успех и Отказ:
Нажимаем OK и закрываем редактор управления групповыми политиками.
Настраиваем аудит для файлов и папок
Кликаем правой кнопкой мыши по папке, для которой нужно настроить аудит и выбираем Свойства:
Переходим на вкладку Безопасность:
Нажимаем по Дополнительно:
В открывшемся окне переходим на вкладку Аудит и нажимаем Продолжить:
Кликаем по Выберите субьект:
и выбираем учетную запись или группу пользователей, для которых необходимо установить аудит, например, все:
Нажимаем OK и выставляем галочки напротив действий, для которых система будет протоколировать события:
Аудит сведений об общем файловом ресурсе Audit Detailed File Share
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит подробных файловой папки позволяет проверять попытки доступа к файлам и папок в общей папке. Audit Detailed File Share allows you to audit attempts to access files and folders on a shared folder.
Параметр «Подробный файл для доступа к файлу» регистрировать событие при каждом доступе к файлу или папке, в то время как параметр «Файловая папка» записи только одно событие для любого подключения, установленного между клиентом и файловым файлом. The Detailed File Share setting logs an event every time a file or folder is accessed, whereas the File Share setting only records one event for any connection established between a client and file share. Подробные события аудита файлового доступа включают подробные сведения о разрешениях или других критериях, используемых для предоставления или запрета доступа. Detailed File Share audit events include detailed information about the permissions or other criteria used to grant or deny access.
Для общих папок системные списки управления доступом (SACLs) не существуют. There are no system access control lists (SACLs) for shared folders. Если этот параметр политики включен, аудит доступа ко всем общим файлам и папок в системе. If this policy setting is enabled, access to all shared files and folders on the system is audited.
Том события: Event volume:
Высокая на файловом сервере. High on file servers.
Высокая доступность контроллеров домена из-за доступа к сети SYSVOL, требуемого групповой политикой. High on domain controllers because of SYSVOL network access required by Group Policy.
Низкий уровень на серверах-членах и рабочих станциях. Low on member servers and workstations.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Нет No | Да Yes | Нет No | Да Yes | Аудит успешности для этой подкатегории на контроллерах домена обычно приводит к высокому объему событий, особенно для совместной работы SYSVOL. Audit Success for this subcategory on domain controllers typically will lead to high volume of events, especially for SYSVOL share. Мы рекомендуем следить за попытками доступа к сбоям: громкость не должна быть высокой. We recommend monitoring Failure access attempts: the volume should not be high. Вы сможете увидеть, кто не смог получить доступ к файлу или папке в сетевой папке на компьютере. You will be able to see who was not able to get access to a file or folder on a network share on a computer. |
| Сервер-член Member Server | IF IF | Да Yes | IF IF | Да Yes | IF — если на сервере есть общие сетевые папки, которые обычно получают большое количество запросов на доступ (например, файловые серверы), объем событий может быть очень высоким. IF – If a server has shared network folders that typically get many access requests (File Server, for example), the volume of events might be high. Если вам действительно нужно отслеживать все события успешного доступа для каждого файла или папки, расположенной в общей папке, в качестве подкатегории аудита или использования подкатегории «Файловая система аудита», хотя эта подкатегория исключает некоторые сведения из общей папки аудита, например IP-адрес клиента. If you really need to track all successful access events for every file or folder located on a shared folder, enable Success auditing or use the Audit File System subcategory, although that subcategory excludes some information in Audit Detailed File Share, for example, the client’s IP address. Объем событий сбоя для серверов-членов не должен быть высоким (если они не являются файлами). The volume of Failure events for member servers should not be high (if they are not File Servers). С помощью аудита сбоев можно увидеть, кто не может получить доступ к файлу или папке в сетевой папке на этом компьютере. With Failure auditing, you can see who can’t access a file or folder on a network share on this computer. |
| Workstation Workstation | IF IF | Да Yes | IF IF | Да Yes | IF — если на рабочей станции есть общие сетевые папки, которые обычно получают большое количество запросов на доступ, объем событий может быть очень высоким. IF – If a workstation has shared network folders that typically get many access requests, the volume of events might be high. Если вам действительно нужно отслеживать все события успешного доступа для каждого файла или папки, расположенной в общей папке, в качестве подкатегории аудита или использования подкатегории «Файловая система аудита», хотя эта подкатегория исключает некоторые сведения из общей папки аудита, например IP-адрес клиента. If you really need to track all successful access events for every file or folder located on a shared folder, enable Success auditing or use Audit File System subcategory, although that subcategory excludes some information in Audit Detailed File Share, for example, the client’s IP address. Объем событий сбоя для рабочих станций не должен быть высоким. The volume of Failure events for workstations should not be high. С помощью аудита сбоев можно увидеть, кто не может получить доступ к файлу или папке в сетевой папке на этом компьютере. With Failure auditing, you can see who can’t access a file or folder on a network share on this computer. |
Список событий: Events List:
- 5145(S, F): объект сетевой обоймы был проверен, чтобы узнать, можно ли предоставить клиенту нужный доступ. 5145(S, F): A network share object was checked to see whether client can be granted desired access.
—>
