Da biste pregledali pristup datotekama i mapama u sustavu Windows Server 2008 R2, morate omogućiti revizijsku funkciju, kao i odrediti mape i datoteke kojima pristup mora biti snimljen. Nakon postavljanja revizije, zapisnik poslužitelja sadrži informacije o pristupu i drugim događajima odabranim datotekama i mapama. Vrijedno je napomenuti da se pristup datotekama i mapama može revidirati u količinama samo s datotečnim sustavom NTFS..
Omogući reviziju objekata datotečnog sustava u sustavu Windows Server 2008 R2
Revizija pristupa datotekama i mapama omogućena je i onemogućena pomoću grupnih pravila: pravila domene za Active Directory domenu ili lokalna sigurnosna pravila za samostalne poslužitelje. Da biste omogućili reviziju na zasebnom poslužitelju, morate otvoriti lokalnu konzolu za upravljanje politikama Početak -> sve Programi -> upravni Alati -> lokalne sigurnosti politika. U konzoli za lokalna pravila morate proširiti stablo lokalne politike (lokalne politika) i odaberite stavku revizija politika.
U desnom oknu odaberite stavku revizija objekt pristup i u prozoru koji se pojavi unesite koje vrste događaja i datoteka pristupa trebaju biti zabilježene (uspješan / neuspješan pristup):
Nakon odabira potrebnih postavki pritisnite U redu.
Odaberite datoteke i mape kojima će pristup biti fiksiran
Nakon što se aktivira revizija pristupa datotekama i mapama, potrebno je odabrati konkretne objekte datotečnog sustava, čija će se revizija pristupa provoditi. Kao i dopuštenja NTFS, postavke revizije se nasljeđuju prema zadanim postavkama za sve podređene objekte (osim ako nije konfigurirano drugačije). Na isti način kao i prilikom dodjeljivanja prava pristupa datotekama i mapama, nasljeđivanje postavki revizije može se omogućiti i za sve i samo za odabrane objekte.
Da biste konfigurirali reviziju za određenu mapu / datoteku, morate desnom tipkom miša kliknuti na nju i odabrati Svojstva (Nekretnine). U prozoru svojstava idite na karticu Sigurnost (sigurnosti) i pritisnite gumb napredan. U prozoru naprednih sigurnosnih postavki (napredan sigurnosti postavke) idite na karticu Revizija (revizija). Postavljanje revizije naravno zahtijeva prava administratora. U ovoj fazi, prozor za reviziju prikazat će popis korisnika i grupa za koje je omogućena revizija za ovaj resurs:
Da biste dodali korisnike ili grupe čiji će pristup ovom objektu biti fiksiran, kliknite gumb Dodaj ... i odredite imena ovih korisnika / grupa (ili odredite svako - za reviziju pristupa svim korisnicima):
Zatim trebate odrediti određene postavke revizije (događaji poput pristupa, pisanja, brisanja, stvaranja datoteka i mapa itd.). Zatim kliknite U redu.
Odmah nakon primjene ovih postavki u dnevniku sigurnosnog sustava (možete ga pronaći u snap-u računalo Upravljanje -> Event Viewer), pri svakom pristupu objektima za koje je omogućena revizija pojavit će se odgovarajući unosi.
Alternativno, događaji se mogu pregledati i filtrirati pomoću PowerShell cmdleta. - Get-EventLog Na primjer, da biste prikazali sve događaje s eventid 4660, izvršite naredbu:
Sigurnost Get-EventLog | ? $ _. eventid -eq 4660vijeće. Moguće je dodijeliti određene radnje bilo kojim događajima u dnevniku sustava Windows, kao što je slanje e-pošte ili pokretanje skripte. Kako je to konfigurirano opisano je u članku: Nadgledanje i obavijesti o događajima u Windows zapisima
UPD od 08.08.2012 (Hvala komentatoru) rimski).
U sustavu Windows 2008 / Windows 7 pojavio se poseban uslužni program za upravljanje revizijom auditpol. Potpuni popis vrsta objekata za koje možete omogućiti reviziju može se vidjeti pomoću naredbe:
auditpol / list / podkategorija: *
Kao što vidite, ovi su objekti podijeljeni u 9 kategorija:
- sistem
- Prijava / odjava
- Pristup objektu
- Korištenje privilegija
- Detaljno praćenje
- Promjena politike
- Upravljanje računom
- DS Pristup
- Prijava na račun
I svaki je od njih podijeljen u potkategorije. Na primjer, kategorija revizije Object Access uključuje potkategoriju datotečnog sustava i da biste omogućili reviziju objekata datotečnog sustava na računalu, pokrenite naredbu:
auditpol / set / podkategorija: "Datotečni sustav" / neuspjeh: omogućiti / uspjeh: omogućiti
Prekida se u skladu s naredbom:
auditpol / set / podkategorija: "Datotečni sustav" / neuspjeh: onesposobiti / uspjeti: onesposobiti
tj ako onemogućite reviziju nepotrebnih potkategorija, možete značajno smanjiti volumen dnevnika i broj nepotrebnih događaja.
Nakon što se aktivira revizija pristupa datotekama i mapama, morate navesti određene objekte kojima ćemo upravljati (u svojstvima datoteka i mapa). Imajte na umu da su zadane postavke revizije naslijeđene na sve podređene objekte (osim ako nije drugačije navedeno).
Svi prikupljeni događaji mogu se spremiti u vanjsku bazu podataka za održavanje povijesti. Primjer implementacije sustava: Jednostavan sustav revizije brisanja datoteka i mapa za Windows Server.
