- Включение аудита для файлов и папок.
- 1.Включение аудита в политиках(локальных или групповых).
- 2.Настройка аудита непосредственно в настройках NTFS.
- 3.Настройка размера журнала событий Security.
- 4.Утилита auditpol, или против лома нет приема.
- Настройка параметров политики безопасности Configure security policy settings
- Настройка параметра с помощью консоли «Локализованная политика безопасности» To configure a setting using the Local Security Policy console
- Настройка параметра политики безопасности с помощью консоли редактора локальных групповых политик To configure a security policy setting using the Local Group Policy Editor console
- Настройка параметра для контроллера домена To configure a setting for a domain controller
Включение аудита для файлов и папок.
Помимо настроек прав доступа, в файловой системе NTFS есть возможность включить аудит для действий пользователей с папками и файлами. Понимаю что на домашнем компьютере такое не часто необходимо, поэтому дальнейший текст больше расчитан на продвинутых пользователей и администраторов.
Итак, по шагам все выглядит следующим образом:
1.Включение аудита в политиках(локальных или групповых);
2.Настройка аудита непосредственно в настройках NTFS;
3.Настройка размера журнала событий Security;
4.Утилита auditpol, или против лома нет приема;
1.Включение аудита в политиках(локальных или групповых).
Если у вас сервер или компьютер в домене, то настройку лучше всего проводить через групповые политики, но можно и через локальные политики. Такие ситуации не редкость когда у вас домен 2003 а сервера или компьютеры в сети Windows Server 2008 и выше, Windows 7,8,10. Групповые политики вашего 2003 домена просто еще не содержат того, что появилось позже. Но это все не принципиально, просто добавляет немного работы по индивидуальной настройке вашего сервера или компьютера.
Следующие примеры я буду показывать на примере локальных политик 2008-го сервера. Итак, открываем локальные политики командой «gpedit.msc» 
Разворачиваем дерево политик «Computer Configuration»—«Windows Settings»—«Security Options» 
На скрине выше я выделил политики, которые включают различные виды аудита. Меня сечас интересует файловый аудит.
Если у вас Windows Server 2003 или компьютер под Windows XP, то вам необходимо включить политику «Audit: Audit the access of global system objects». 
Если у вас Windows Server 2008, 2012, 2016 или Windows 7,8,10 то вам необходимо пользоваться другими политиками «Computer Configuration»—«Windows Settings»—«Advanced Audit Policy Configuration»—«System Audit Policies – Local Group Policy Object»-«Object Access». 
Когда вы раскроете раздел «Object Access», то увидите более подробные политики. 
Такое подробное разбиение очень удобно, так как позволяет существенно сократить количество ненужных событий, записываемых в журнал Security. Для того, чтобы записать все события, касающиеся аудита файлов, нам понадобится следующие политики:
- Audit File System
- Audit Registry
- Audit SAM
- Audit Handle Manipulation
- Audit Other Object Access Events
Все эти политики переводим из состояния «Not Configured» в состояние «Configure the following audit events:»—«Success» 
Таким образом, все успешные события, касающиеся действий с файлами и папками, попадут в журнал. Если вам нужны записи для неудачных попыток, тогда включите и «Failure».
Когда все политики настроены остается только включить аудит для нужных папок и файлов непосредственно в NTFS.
2.Настройка аудита непосредственно в настройках NTFS.
Настройка аудита для папок и файлов аналогична настройке прав.
Открываем окно свойств для нужной папки или файла 
Открываем закладку «Безопасность»(«Security») и нажимаем кнопку «Advanced»(«Дополнительно») 
Переходим на закладку «Auditing»(«Аудит») и нажимаем кнопку «Edit…»(«Изменить») 
Затем нажимаем кнопку «Add»(«Добавить») и выбираем пользователя «Everyone»(«Все») 
. Вместо Everyone(Все) можно выбрать нужного пользователя или группу, тогда в журнал попадут события, которые сделал данный пользователь или член группы.
После выбора пользователя добавляем нужные для аудита свойства. Обычно я выбираю только те свойства, которые отражают изменения файлов и папок. Включение аудита на чтение файла или на просмотр списка файлов в папке приводит к резкому увеличению количества записей в журнале Security. Трудно потом копаться в миллионах событий, пытаясь найти нужное. J
.
Обратите внимание, что в данном примере я включил аудит только успешных событий! 
Если вы хотите отслеживать только те события, которые меняют права на папки и файлы, то вам достаточно будет включить аудит двух событий «Change permissions»(«Смена разрешений») и «Take ownership»(«Смена владельца») 
Если же вы хотите отследить только удаление файлов и папок, тогда вам нужно включить аудит для событий «Delete subfolders and files» и «Delete»
В остальном настройка аудита аналогична настройкам прав. Тоже наследование, такие же области применения(папка, эта папка и подпапки, только файлы и т.п.)
. Помните, что большое количество событий может нагружать дисковую систему и снижать производительность, да и места под журнал требуется больше.
3.Настройка размера журнала событий Security.
Когда аудит включен в политиках и в настройках безопасности папок и файлов, остается только настроить размер журнала Security 
Правой клавишей мышки на Security и открываем Properties(Свойства). В моем случае максимальный размер выставлен в 10 Гб, и события будут перезаписываться по мере достижения журналом максимального размера. 
Если все получилось и аудит заработал, то в журнале вы увидите много событий. Вот одно из событий, показывающее удаление файла: 
4.Утилита auditpol, или против лома нет приема.
Для управления настройками аудита в Windows Server 2008, 2012, 2016 или Windows 7,8,10 есть такая замечательная утилита как auditpol. Прелесть ее в том, что с ее помощью можно посмотреть фактическое положение дел в аудите. Да, вы не ослышались. Групповые и локальные политики могут быть не настроены а аудит может прекрасно работать. Многие позиционируют auditpol как последнюю инстанцию, отражающую реальное положение дел.
Я тоже столкнулся с проблемами, которые с успехом решил с помощью этой утилиты. Я не буду разбирать подробно все возможности auditpol а приведу один пример, который обеспечит работоспособность аудита в 99% случаев.
Итак, еще раз приведу скрин локальных политик рабочего сервера: 
Как вы можете видеть политики «Object Access» не сконфигурированы, но! Аудит прекрасно работает!
А теперь посмотрим что показывет auditpol. Запускаем командную строку и набираем:
auditpol /get /category:*
И смотрим результат: 
Как вы можете видеть в категории «Object Access» некоторые субкатегории имеют состояние «Success», хотя в политиках ничего не сконфигурировано.
Чтобы сконфигурировать категории и субкатегории используем следующий синтаксис:
auditpol /set /category:» » [/success: | ][/failure: | ]
auditpol /set /subcategory:» » [/success: | ][/failure: | ]
Еще лучше сделать bat-файл в котором прописать нужные действия для включения файлового аудита, описанного мной в разделе 2 этой статьи. Я использую bat файл с таким содержимым:
auditpol /set /subcategory:»File System» /success:enable
auditpol /set /subcategory:»Registry» /success:enable
auditpol /set /subcategory:»SAM» /success:enable
auditpol /set /subcategory:»Handle Manipulation» /success:enable
auditpol /set /subcategory:»Other Object Access Events» /success:enable
Если у вас русская ОС, то придется писать названия на русском:
auditpol /set /subcategory:»Файловая система» /success:enable
auditpol /set /subcategory:»Реестр» /success:enable
auditpol /set /subcategory:»SAM» /success:enable
auditpol /set /subcategory:»Работа с дескриптором» /success:enable
auditpol /set /subcategory:»Другие события доступа к объекту» /success:enable
. К сожалению одну из политик придется все-таки настроить. Это политика «Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings», ее переводим в режим «Enabled»(«Включено»). В русских ОС эта политика называется «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии)» 
Вот собственно и все. Глубина темы бесконечна а практически хватает и этих настроек.
Если у вас нет 2003-х серверов или Windows XP, то лучше все сделать через GPO, ну а если нет, то auditpol нам поможет!
Настройка параметров политики безопасности Configure security policy settings
Область применения Applies to
Описание действий по настройке параметра политики безопасности на локальном устройстве, на устройстве, которое присоединилось к домену, и на контроллере домена. Describes steps to configure a security policy setting on the local device, on a domain-joined device, and on a domain controller.
Для выполнения этих процедур необходимы права администраторов на локальном устройстве или соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена. You must have Administrators rights on the local device, or you must have the appropriate permissions to update a Group Policy Object (GPO) on the domain controller to perform these procedures.
Если локальный параметр недоступен, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is inaccessible, it indicates that a GPO currently controls that setting.
Настройка параметра с помощью консоли «Локализованная политика безопасности» To configure a setting using the Local Security Policy console
Чтобы открыть локализованную политику безопасности, на экране «Начните» введите secpol.mscи нажмите ввод. To open Local Security Policy, on the Start screen, type secpol.msc, and then press ENTER.
В области «Параметры безопасности» дерева консоли сделайте одно из следующих параметров: Under Security Settings of the console tree, do one of the following:
- Щелкните «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей. Click Account Policies to edit the Password Policy or Account Lockout Policy.
- Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.
При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить. When you find the policy setting in the details pane, double-click the security policy that you want to modify.
Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.
- Некоторые параметры политики безопасности требуют перезапуска устройства до того, как параметр вступает в силу. Some security policy settings require that the device be restarted before the setting takes effect.
- Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Настройка параметра политики безопасности с помощью консоли редактора локальных групповых политик To configure a security policy setting using the Local Group Policy Editor console
Для выполнения этих процедур необходимы соответствующие разрешения для установки и использования консоли управления (MMC) и обновления объекта групповой политики (GPO) на контроллере домена. You must have the appropriate permissions to install and use the Microsoft Management Console (MMC), and to update a Group Policy Object (GPO) on the domain controller to perform these procedures.
Откройте редактор локальных групповых политик (gpedit.msc). Open the Local Group Policy Editor (gpedit.msc).
В дереве консоли щелкните «Конфигурация компьютера», «Параметры Windows» и выберите «Параметры безопасности». In the console tree, click Computer Configuration, click Windows Settings, and then click Security Settings.
Выполните одно из следующих действий. Do one of the following:
- Щелкните «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей. Click Account Policies to edit the Password Policy or Account Lockout Policy.
- Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.
В области сведений дважды щелкните параметр политики безопасности, который необходимо изменить. In the details pane, double-click the security policy setting that you want to modify.
Если эта политика безопасности еще не определена, выберите этот параметр. If this security policy has not yet been defined, select the Define these policy settings check box.
Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.
Если вы хотите настроить параметры безопасности для многих устройств в сети, можно использовать консоль управления групповыми политиками. If you want to configure security settings for many devices on your network, you can use the Group Policy Management Console.
Настройка параметра для контроллера домена To configure a setting for a domain controller
В следующей процедуре описывается настройка параметра политики безопасности только для контроллера домена (из контроллера домена). The following procedure describes how to configure a security policy setting for only a domain controller (from the domain controller).
Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите политику GroupPolicyObject [Имя компьютера], выберите «Конфигурация компьютера»,«Параметры Windows» и «Параметры безопасности». **** To open the domain controller security policy, in the console tree, locate GroupPolicyObject [ComputerName] Policy, click Computer Configuration, click Windows Settings, and then click Security Settings.
Выполните одно из следующих действий. Do one of the following:
- Дважды щелкните «Политики учетных записей», **** чтобы изменить политику паролей, **** политику блокировки учетных записей или политику Kerberos. Double-click Account Policies to edit the Password Policy, Account Lockout Policy, or Kerberos Policy.
- Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности. Click Local Policies to edit the Audit Policy, a User Rights Assignment, or Security Options.
В области сведений дважды щелкните политику безопасности, которую необходимо изменить. In the details pane, double-click the security policy that you want to modify.
Если эта политика безопасности еще не определена, выберите этот параметр. If this security policy has not yet been defined, select the Define these policy settings check box.
Измените параметр политики безопасности и нажмите кнопку «ОК». Modify the security policy setting, and then click OK.
- Всегда проверяйте созданную политику в тестовом подразделении, прежде чем применять ее к сети. Always test a newly created policy in a test organizational unit before you apply it to your network.
- При изменении параметра безопасности с **** помощью GPO и нажатии кнопки «ОК» этот параметр вступает в силу при следующем обновлении параметров. When you change a security setting through a GPO and click OK, that setting will take effect the next time you refresh the settings.
