Skip to content

Ghid pornire audit fisiere windows


Content

Windows Server 2008 și 2008 R2 au fost unul dintre cele mai răspândite servere din setările proiectului, unde sunt utilizate pentru a sprijini mediile de lucru colaborative. Cu toate acestea, datorită însăși naturii acestor tipuri de configurare în care mai multe resurse au acces la aceleași obiecte, atribuirea responsabilității pentru acțiunile utilizatorilor devine extrem de importantă. Acest lucru poate fi asigurat prin auditarea tuturor acțiunilor utilizatorului legate de accesul la fișiere și dosare. În acest ghid, vom vedea cum putem permite auditarea pe Windows Server 2008 și 2008R2.

Pe Windows Server 2008 și 2008 R2, accesul la fișiere și foldere de audit este alcătuit din două părți.

Pasul 1

Activați auditarea fișierelor și a dosarelor

Activarea auditului de fișiere și foldere

Se poate face în două moduri:

A) Prin politica de grup (pentru domenii, site-uri și unități organizaționale)

B) politica locală de securitate (pentru servere unice)

Pasul 2

Activați auditul pentru accesul la obiecte

Pentru a activa auditarea pentru accesul obiect pe un MS Windows Server 2008, urmați acești pași:

A) Deschideți Consola de gestionare a politicii de grup.

B) Mergeți la domeniul în cauză și extindeți nodul împotriva acestuia

C) Mergeți la Obiectul politicilor de grup și faceți clic dreapta pe el

D) Selectați New din meniul pop-up

E) În caseta de dialog New GPO, introduceți numele noului GPO și faceți clic pe "Ok"

F) Faceți clic dreapta pe GPO nou creat și selectați "Editare" din meniul pop-up

G) Se deschide fereastra Editor de gestionare a politicii de grup

H) Accesați Configurare computer ► Politici ► Setări Windows ► Setări securitate ► Politici locale ► Politici de audit

I) În panoul din dreapta, este afișată lista tuturor politicilor:

(I) Evenimente de conectare la contul de audit

(II) Gestiunea contului de audit

(III) acces la Serviciul Director al Auditului

(IV) Evenimente de Logon Audit

(V) Accesul la obiecte de audit

(VI) Schimbarea politicii de audit

(VII) Utilizarea privilegiilor de audit

(VIII) Urmărirea procesului de audit

(IX) Evenimente ale sistemului de audit

(J) Accesați politica pentru care doriți să definiți setările. Dacă definiți setările pentru toate politicile, vor fi generate multe jurnale

(K) Faceți dublu clic pe politica pentru care doriți să definiți setările

(L) În caseta de dialog Proprietăți care se deschide, selectați Succes / Failure sau ambele

(M) Faceți clic pe "Ok" pentru a închide fereastra

(N) Apoi, trebuie să aplicați această politică în DC. Mergeți la comanda RUN și tastați: gpupdate force și faceți clic pe "Ok"

(O) Se deschide promptul de comandă Gpupdate și se afișează un mesaj: "Actualizarea politicii ..."

Pasul 3

Selectați Folder specific și definiți Utilizatori

După ce politica a fost aplicată, următorul lucru este selectarea fișierelor și a dosarelor și acțiunile utilizatorilor care urmează să fie auditate

Pentru a selecta Folder specific și pentru a defini utilizatori, urmați acești pași:

A) Mergeți la Windows Explorer

B) Faceți clic dreapta pe el și selectați Proprietăți

C) În caseta de dialog Proprietăți, selectați fila Securitate și faceți clic pe "Advanced"

D) În caseta de dialog Setări complexe de securitate, selectați fila Audit

E) Faceți clic pe butonul "Adăugați ...".

F) În caseta de dialog Select User (Selectare utilizator) sau Group (Grup de utilizatori), introduceți numele utilizatorilor ale căror accesuri urmează să fie auditate

G) Selectați "Toată lumea" pentru a încerca încercările de acces ale tuturor Utilizatorilor. Faceți clic pe "OK"

H) Se deschide caseta de dialog Audit Entry for Accounts

I) Selectați tipul de acces care urmează să fie auditat. Accesul reușit / accesul nereusit sau ambele pot fi selectate

J) Faceți clic pe "Ok" și pe "Apply" pentru a salva setările Concluzie

Din acest moment, toate încercările de acces la acest dosar special de către toți utilizatorii vor fi înregistrate pe statia locala in logul de Security. Pentru a vizualiza aceste jurnale de evenimente, utilizați vizualizatorul de evenimente Windows.

Cazuri audit:

1. Audit pe fisier

Politica trebuie pornita pe grupul din care fac parte serverele/statiile iar local pe server/statie trebuie pornit auditul pe fisierul respectiv pentru „Everyone”: clickdreapta->Properties->Security->Advanced->Auditing->Add->Principal->Everyone->OK

2. Audit pe document printat

Se porneste din politica locala a statiilor cu windows 2012 R2 + (Windows 2016/ Windows 10) din Policies>Administrative Template policy>Printers>Allow job name in event logs: Alt text

Procedura pe sitemul de operare este: Rularea registrului :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Microsoft-Windows-PrintService/Operational] " "=-

Editarea fisierului de configurare agent : Collections.xml si adaugarea intrarii:

<log name="Microsoft-Windows-PrintService/Operational">
            <add name="collectionMethod" value="wmilight" />
         <add name="logType" value="WindowsStandard" />
  </log>

Pentru a aplica modificarile este necesara repornirea serviciului CyberQuest Log Gathering Service

3. Audit pe Removable Storage

Se porneste din politica locala a statiilor cu windows 2012 R2 + (Windows 2016/ Windows 10) din Advanced Audit Policy Configuration>Object Access>Audit Removable Storage: Alt text

Pentru salvarea setarilor se ruleaza din Start>CMD comanda „gpupdate /force”

Alt text

Reference:

Pentru pornirea auditului procedura este urmatoarea:

https://communityspiceworkscom/how_to/122828-how-to-enable-file-andfolder-access-auditing-on-windows-server-2008-and-2008-r2