Включение аудита для файлов и папок.

Помимо настроек прав доступа, в файловой системе NTFS есть возможность включить аудит для действий пользователей с папками и файлами. Понимаю что на домашнем компьютере такое не часто необходимо, поэтому дальнейший текст больше расчитан на продвинутых пользователей и администраторов.

Итак, по шагам все выглядит следующим образом:

1.Включение аудита в политиках(локальных или групповых);

2.Настройка аудита непосредственно в настройках NTFS;

3.Настройка размера журнала событий Security;

4.Утилита auditpol, или против лома нет приема;

1.Включение аудита в политиках(локальных или групповых).

Если у вас сервер или компьютер в домене, то настройку лучше всего проводить через групповые политики, но можно и через локальные политики. Такие ситуации не редкость когда у вас домен 2003 а сервера или компьютеры в сети Windows Server 2008 и выше, Windows 7,8,10. Групповые политики вашего 2003 домена просто еще не содержат того, что появилось позже. Но это все не принципиально, просто добавляет немного работы по индивидуальной настройке вашего сервера или компьютера.

Следующие примеры я буду показывать на примере локальных политик 2008-го сервера. Итак, открываем локальные политики командой «gpedit.msc»

Разворачиваем дерево политик «Computer Configuration»—«Windows Settings»—«Security Options»

На скрине выше я выделил политики, которые включают различные виды аудита. Меня сечас интересует файловый аудит.

Если у вас Windows Server 2003 или компьютер под Windows XP, то вам необходимо включить политику «Audit: Audit the access of global system objects».

Если у вас Windows Server 2008, 2012, 2016 или Windows 7,8,10 то вам необходимо пользоваться другими политиками «Computer Configuration»—«Windows Settings»—«Advanced Audit Policy Configuration»—«System Audit Policies – Local Group Policy Object»-«Object Access».

Когда вы раскроете раздел «Object Access», то увидите более подробные политики.

Такое подробное разбиение очень удобно, так как позволяет существенно сократить количество ненужных событий, записываемых в журнал Security. Для того, чтобы записать все события, касающиеся аудита файлов, нам понадобится следующие политики:

• Audit File System
  
• Audit Registry
  
• Audit SAM
  
• Audit Handle Manipulation
  
• Audit Other Object Access Events
  

Все эти политики переводим из состояния «Not Configured» в состояние «Configure the following audit events:»—«Success»

Таким образом, все успешные события, касающиеся действий с файлами и папками, попадут в журнал. Если вам нужны записи для неудачных попыток, тогда включите и «Failure».

Когда все политики настроены остается только включить аудит для нужных папок и файлов непосредственно в NTFS.

2.Настройка аудита непосредственно в настройках NTFS.

Настройка аудита для папок и файлов аналогична настройке прав.

Открываем окно свойств для нужной папки или файла

Открываем закладку «Безопасность»(«Security») и нажимаем кнопку «Advanced»(«Дополнительно»)

Переходим на закладку «Auditing»(«Аудит») и нажимаем кнопку «Edit…»(«Изменить»)

Затем нажимаем кнопку «Add»(«Добавить») и выбираем пользователя «Everyone»(«Все»)

. Вместо Everyone(Все) можно выбрать нужного пользователя или группу, тогда в журнал попадут события, которые сделал данный пользователь или член группы.

После выбора пользователя добавляем нужные для аудита свойства. Обычно я выбираю только те свойства, которые отражают изменения файлов и папок. Включение аудита на чтение файла или на просмотр списка файлов в папке приводит к резкому увеличению количества записей в журнале Security. Трудно потом копаться в миллионах событий, пытаясь найти нужное. J
.
Обратите внимание, что в данном примере я включил аудит только успешных событий!

Если вы хотите отслеживать только те события, которые меняют права на папки и файлы, то вам достаточно будет включить аудит двух событий «Change permissions»(«Смена разрешений») и «Take ownership»(«Смена владельца»)

Если же вы хотите отследить только удаление файлов и папок, тогда вам нужно включить аудит для событий «Delete subfolders and files» и «Delete»

В остальном настройка аудита аналогична настройкам прав. Тоже наследование, такие же области применения(папка, эта папка и подпапки, только файлы и т.п.)

. Помните, что большое количество событий может нагружать дисковую систему и снижать производительность, да и места под журнал требуется больше.

3.Настройка размера журнала событий Security.

Когда аудит включен в политиках и в настройках безопасности папок и файлов, остается только настроить размер журнала Security

Правой клавишей мышки на Security и открываем Properties(Свойства). В моем случае максимальный размер выставлен в 10 Гб, и события будут перезаписываться по мере достижения журналом максимального размера.

Если все получилось и аудит заработал, то в журнале вы увидите много событий. Вот одно из событий, показывающее удаление файла:

4.Утилита auditpol, или против лома нет приема.

Для управления настройками аудита в Windows Server 2008, 2012, 2016 или Windows 7,8,10 есть такая замечательная утилита как auditpol. Прелесть ее в том, что с ее помощью можно посмотреть фактическое положение дел в аудите. Да, вы не ослышались. Групповые и локальные политики могут быть не настроены а аудит может прекрасно работать. Многие позиционируют auditpol как последнюю инстанцию, отражающую реальное положение дел.

Я тоже столкнулся с проблемами, которые с успехом решил с помощью этой утилиты. Я не буду разбирать подробно все возможности auditpol а приведу один пример, который обеспечит работоспособность аудита в 99% случаев.

Итак, еще раз приведу скрин локальных политик рабочего сервера:

Как вы можете видеть политики «Object Access» не сконфигурированы, но! Аудит прекрасно работает!

А теперь посмотрим что показывет auditpol. Запускаем командную строку и набираем:

auditpol /get /category:*

И смотрим результат:

Как вы можете видеть в категории «Object Access» некоторые субкатегории имеют состояние «Success», хотя в политиках ничего не сконфигурировано.

Чтобы сконфигурировать категории и субкатегории используем следующий синтаксис:

auditpol /set /category:» » [/success: | ][/failure: | ]
auditpol /set /subcategory:» » [/success: | ][/failure: | ]

Еще лучше сделать bat-файл в котором прописать нужные действия для включения файлового аудита, описанного мной в разделе 2 этой статьи. Я использую bat файл с таким содержимым:
auditpol /set /subcategory:»File System» /success:enable
auditpol /set /subcategory:»Registry» /success:enable
auditpol /set /subcategory:»SAM» /success:enable
auditpol /set /subcategory:»Handle Manipulation» /success:enable
auditpol /set /subcategory:»Other Object Access Events» /success:enable

Если у вас русская ОС, то придется писать названия на русском:
auditpol /set /subcategory:»Файловая система» /success:enable
auditpol /set /subcategory:»Реестр» /success:enable
auditpol /set /subcategory:»SAM» /success:enable
auditpol /set /subcategory:»Работа с дескриптором» /success:enable
auditpol /set /subcategory:»Другие события доступа к объекту» /success:enable

. К сожалению одну из политик придется все-таки настроить. Это политика «Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings», ее переводим в режим «Enabled»(«Включено»). В русских ОС эта политика называется «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии)»

Вот собственно и все. Глубина темы бесконечна а практически хватает и этих настроек.

Если у вас нет 2003-х серверов или Windows XP, то лучше все сделать через GPO, ну а если нет, то auditpol нам поможет!

Применение базовой политики аудита к файлу или папке Apply a basic audit policy on a file or folder

Область применения Applies to

Политики аудита можно применять к отдельным файлам и папок на компьютере, задав тип разрешения для записи успешных попыток доступа или неудачных попыток доступа в журнале безопасности. You can apply audit policies to individual files and folders on your computer by setting the permission type to record successful access attempts or failed access attempts in the security log.

Для выполнения этой процедуры необходимо войти в систему в качестве члена встроенной группы администраторов или иметь права на управление аудитом и журналом безопасности. To complete this procedure, you must be signed in as a member of the built-in Administrators group or have Manage auditing and security log rights.

Применение или изменение параметров политики аудита для локального файла или папки To apply or modify auditing policy settings for a local file or folder

Выберите и удерживайте (или щелкните правой кнопкой мыши) **** файл или папку, для аудита, выберите «Свойства», а затем выберите вкладку «Безопасность». Select and hold (or right-click) the file or folder that you want to audit, select Properties, and then select the Security tab.

Выберите «Дополнительные». Select Advanced.

В диалоговом окне «Дополнительные **** параметры безопасности» выберите вкладку «Аудит» и выберите «Продолжить». In the Advanced Security Settings dialog box, select the Auditing tab, and then select Continue.

Выполните одно из следующих действий. Do one of the following:

• Чтобы настроить аудит для нового пользователя или группы, выберите «Добавить». To set up auditing for a new user or group, select Add. Select Select a principal, type the name of the user or group that you want, and then select OK. Select Select a principal, type the name of the user or group that you want, and then select OK.
• Чтобы удалить аудит для существующей группы или пользователя, выберите группу или имя пользователя, выберите «Удалить», ****»ОК» и пропустите остальную часть этой процедуры. To remove auditing for an existing group or user, select the group or user name, select Remove, select OK, and then skip the rest of this procedure.
• Чтобы просмотреть или изменить аудит для существующей группы или пользователя, выберите ее имя и выберите «Изменить». To view or change auditing for an existing group or user, select its name, and then select Edit.

В поле «Тип» указать действия, которые необходимо проверить, выбрав соответствующие флажки: In the Type box, indicate what actions you want to audit by selecting the appropriate check boxes:

• Для аудита успешных событий выберите «Успешно». To audit successful events, select Success.
• Для аудита событий сбоя выберите «Сбой». To audit failure events, select Fail.
• Для аудита всех событий выберите «Все». To audit all events, select All.

В поле «Применяется к» выберите объекты, к которым будет применяться аудит событий. In the Applies to box, select the object(s) to which the audit of events will apply. К ним можно отнести следующие. These include:

• Только эта папка This folder only
• Эта папка, вложенные папки и файлы This folder, subfolders and files
• Эта папка и вложенные папки This folder and subfolders
• Эта папка и файлы This folder and files
• Только в папки и файлы Subfolders and files only
• Только в подкаченики Subfolders only
• Только файлы Files only

По умолчанию для аудита выбраны следующие базовые разрешения: By default, the selected Basic Permissions to audit are the following:

• Чтение и выполнение Read and execute
• Список содержимого папки List folder contents
• Read Read
• Кроме того, с помощью выбранного сочетания аудита можно выбрать любое сочетание следующих разрешений: Additionally, with your selected audit combination, you can select any combination of the following permissions:
  • Полный контроль Full control
  • Изменение Modify
  • Write Write

Перед тем как настроить аудит файлов и папок, необходимо включить аудит доступа к объектам. Before you set up auditing for files and folders, you must enable object access auditing. Для этого определите параметры политики аудита для категории событий доступа к объектам. To do this, define auditing policy settings for the object access event category. Если не включить аудит доступа к объекту, при настройках аудита файлов и папок вы получите сообщение об ошибке, и никакие файлы и папки не будут проверяться. If you don’t enable object access auditing, you’ll receive an error message when you set up auditing for files and folders, and no files or folders will be audited.