Включить аудит доступа к файлам. Настройка общей политики аудита. Как лучше провести аудит
Для ведения аудита доступа к файлам и папкам в Windows Server 2008 R2, необходимо включить функцию аудита, а также указать папки и файлы, доступ к которым необходимо фиксировать. После настройки аудита, в журнале сервера будет содержаться информация о доступе и других событиях на выбранные файлы и папки. Стоит заметить, что аудит доступа к файлам и папкам может вестись только на томах с файловой системой NTFS.
Включаем аудит на объекты файловой системы в Windows Server 2008 R2
Аудит доступа на файлы и папки включается и отключается при помощи групповых политик: доменный политик для домена Active Directory либо локальных политик безопасности для отдельно стоящих серверов. Чтобы включить аудит на отдельном сервере, необходимо открыть консоль управления локальный политик Start -> All Programs -> Administrative Tools -> Local Security Policy . В консоли локальной политики нужно развернуть дерево локальный политик (Local Policies) и выбрать элемент Audit Policy .
В правой панели нужно выбрать элемент Audit Object Access и в появившемся окне указать какие типы событий доступа к файлам и папкам нужно фиксировать (успешный/ неудачный доступ):
После выбора необходимой настройки нужно нажать OK.
Выбор файлов и папок, доступ к которым будет фиксироваться
После того, как активирован аудит доступа к файлам и папкам, необходимо выбрать конкретные объекты файловой системы, аудит доступа к которым будет вестись. Так же как и разрешения NTFS, настройки аудита по-умолчанию наследуются на все дочерние объекты (если не настроено иначе). Точно так же, как при назначении прав доступа на файлы и папки, наследование настроек аудита может быть включено как для всех, так и только для выбранных объектов.
Чтобы настроить аудит для конкретной папки/файла, необходимо щелкнуть по нему правой кнопкой мыши и выбрать пункт Свойства (Properties ). В окне свойств нужно перейти на вкладку Безопасность (Security ) и нажать кнопку Advanced . В окне расширенных настроек безопасности (Advanced Security Settings ) перейдем на вкладку Аудит (Auditing ). Настройка аудита, естественно, требует прав администратора. На данном этапе в окне аудита будет отображен список пользователей и групп, для которых включен аудит на данный ресурс:
Чтобы добавить пользователей или группы, доступ которых к данному объекту будет фиксироваться, необходимо нажать кнопку Add… и указать имена этих пользователей/групп (либо указать Everyone – для аудита доступа всех пользователей):
Сразу после применения данных настроек в системном журнале Security (найти его можно в оснастке Computer Management -> Events Viewer), при каждом доступе к объектам, для которых включен аудит, будут появляться соответствующие записи.
Альтернативно события можно просмотреть и отфильтровать с помощью командлета PowerShell — Get-EventLog Например, чтобы вывести все события с eventid 4660, выполним комманду:
Get-EventLog security | ?{$_.eventid -eq 4660}
Совет . Возможно назначить на любые события в журнале Windows определенные действия, например отправку электронного письма или выполнение скрипта. Как это настраивается описано в статье:
UPD от 06.08.2012 (Благодарим комментатора ).
В Windows 2008/Windows 7 для управления аудитом появилась специальная утилита auditpol . Полный список типов объектов, на который можно включить аудит можно увидеть при помощи команды:
Auditpol /list /subcategory:*
Как вы видите эти объекты разделены на 9 категорий:
- System
- Logon/Logoff
- Object Access
- Privilege Use
- Detailed Tracking
- Policy Change
- Account Management
- DS Access
- Account Logon
И каждая из них, соответственно, делиться на подкатегории. Например, категория аудита Object Access включает в себя подкатегорию File System и чтобы включить аудит для объектов файловой системы на компьютере выполним команду:
Auditpol /set /subcategory:"File System" /failure:enable /success:enable
Отключается он соответственно командой:
Auditpol /set /subcategory:"File System" /failure:disable /success:disable
Т.е. если отключить аудит ненужных подкатегорий, можно существенно сократить объем журнала и количества ненужных событий.
После того, как активирован аудит доступа к файлам и папкам, нужно указать конкретные объекты которые будем контролировать (в свойствах файлов и папок). Имейте в виду, что по-умолчанию настройки аудита наследуются на все дочерние объекты (если не указано иное).
В каждом из журналов накапливается большое количество событий, в которых трудно иногда найти нужные события. Заметим вначале, что щелчок мышью на заголовке любого столбца в консоли (оснастке) " Просмотр событий " позволяет отсортировать события по убыванию или возрастанию значений данного столбца. Для более точного отбора искомых событий служат средства фильтрации в " Просмотре событий ". Если открыть свойства какого-либо журнала, то в открывшейся панели, кроме закладки " Общие ", имеется также закладка " Фильтр ", позволяющая установить правила для отбора событий. Посмотрим внимательно на данную закладку (рис. 16.4):
Рис.
16.4.
Можно установить правила отбора:
- по типу событий - уведомления, предупреждения, ошибки, аудит успехов, аудит отказов;
- по источнику (например, компоненты системы Alerter , Browser , DCOM , DHCP , disk , eventlog , Server , System и др.);
- по категории (например, Диск , Оболочка , Принтеры , Сеть , Службы , Устройства и др.);
- по известному коду события;
- по имени пользователя;
- по имени компьютера;
- задать период времени - с какого по какой момент времени отобрать события.
Рис. 16.7.
Аудит
Настройка политик аудита - важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности. Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале " Безопасность ".
Процесс аудита безопасности настраивается с помощью групповых политик (напомним, что групповые политики можно определять для сайта, домена или организационного подразделения, а также для отдельной рабочей станции или сервера). Параметры аудита безопасности находятся в разделе " Параметры безопасности - Локальные политики - Политики аудита " любого объекта групповых политик .
Рис. 16.9.
После применения политик настроим аудит доступа для нужных объектов (например, для папки Folder1 на сервере DC1 ) - откроем Свойства данной папки (папка должна быть размещена на разделе с файловой системой NTFS), перейдем на закладку " Безопасность ", нажмем кнопку " Дополнительно " и перейдем на закладку " Аудит ". Добавим в список пользователей, для которых будут отслеживаться попытки доступа к папке Folder1 , группу " Пользователи домена " и установим, какие именно попытки будут регистрироваться в журнале " Безопасность " (например, попытки удаления папок и файлов, успешные и неуспешные,
Для того чтобы изменения вступили в силу, необходимо обновить локальную политику .
Включение аудита за определенным объектом
Мы уже активировали возможность аудита доступа к объекту файловой системы NTFS. Теперь нам осталось только указать за какими объектами необходимо наблюдать. Для этого откройте окно Свойства выбранного объекта и перейдите во вкладку Безопасность . Далее необходимо нажать кнопку Дополнительно и в открывшемся окне перейти во вкладку Аудит . Дальнейшие действия можно описать следующим планом:
- Жмём кнопку Добавить и добавляем пользователя или группу пользователей, за действиями которых мы хотим следить.
- Настраиваем область действия аудита(аудит только папки, аудит папки и его содержимого и т. д.)
- Выбираем либо аудит успешных, либо аудит неудачных действий по отношении к объекту.
- Выбираем те действия, которые должны документироваться. Например, выбрав пункт Удаление , Вы укажете компьютеру документировать только те действия пользователей, которые связаны с удалением объекта. Все предложенные действия являются правами доступа к файлу или папке , можете ознакомится с ними.
- Сохранить изменения.
Как просмотреть результаты аудита доступа к объекту?
За результатами аудита файловой системы NTFS прошу пожаловать в Журнал Windows и пройти в окно Безопасность . Там Вы получите необычайно длинный список всех действий, которые связаны с безопасностью компьютера. Именно среди них Вы и найдете документацию по попыткам доступа к Вашему объекту. Применяя сортировку, я уверен, Вы легко найдете интересующую Вас документацию.
Как активировать возможность аудита файловой системы NTFS через Реестр?
Данный пункт, как я уже говорил, будет интерес для обладателей Windows Starter или Home Basic. У них нет доступа к Редактору локальной групповой политики, но за то есть доступ к Реестру. А Реестр позволяет проделать те же действия, что и Редактор локальной политики. Только, к сожалению, я не нашел второй параметр, который дублирует вторую политику. С первым же параметром я Вас познакомлю: параметр
HKLM\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
необходимо изменить с 0 на 1. Если найдете второй параметр, будьте добры, отпишите в комментариях.
нужные ОП отдела сбыта, могут сильно отличаться от ОП ф и- нансового отдела.
Оснастка Group Policy (Групповая политика)разрешает устанавливать параметры безопасности прямо в хранилище Active Directory. Папка Security Settings (Параметры безопасности)находится в узле Computer Configuration (Конфигурация компьютера)и узле User Configuration (Конфигурация пользо-
вателя) . Параметры безопасности разрешают администраторам групповой политики устанавливать политики, которые ограничивают пользователям доступ к файлам и папкам, определяют количество неверных паролей, которое пользователь может вводить до того, как ему будет отказано во входе, управляют правами пользователя, в частности определяют, какие пользователи могут входить на сервер домена.
8.5. Аудит в Microsoft Windows
8.5.1. Обзор аудита в Windows
Аудит в Windows - это процесс отслеживания действий пользователя и действий Windows (называемых событиями). Во время аудита Windows в соответствии с указаниями записывает информацию о событиях в журнал безопасности. В этот журнал записываются попытки входа в систему с правильными и неправильными паролями, а также события, связанные с созданием, открытием, уничтожением файлов или других объектов.
Каждая запись в журнале безопасности содержит:
сведения о выполненном действии;
сведения о пользователе, выполнившем это действие;
сведения о событии, произошедшем при этом, а также о том, было ли оно успешно.
8.5.1.1. Использование политики аудита
Политика аудита определяет, какие типы событий Windows должна записывать в журнал безопасности на каждом компьютере. Этот журнал позволяет отслеживать указанные Вами события.
Windows записывает сведения о событии в журнал безопасности на том компьютере, на котором это событие имело
место. Например, можно настроить аудит так, что каждый раз, когда кто-то неудачно пытается войти в домен с какой -то доменной учетной записью, это событие записывалось в журнал безопасности на контроллере домена.
Это событие записывается на контроллере домена, а не на компьютере, на котором была сделана попытка входа в систему, потому что именно контроллер домена пытался и не смог аутентифицировать вход в систему.
Можно настроить политику аудита на компьютере для:
отслеживания успеха/неудачи событий, таких как попытка входа в систему, попытка определенного пользователя прочесть указанный файл, изменений учетной записи пользователя или членства в группе, а также изменений в Ваших параметрах безопасности;
устранения или минимизации риска несанкционированного использования ресурсов.
Для просмотра событий, записанных Windows в журнал безопасности, можно использовать оснастку Event Viewer (Просмотр событий) . Можно также архивировать журналы для вы-
явления долговременных тенденций - например, для определения интенсивности доступа к принтерам или файлам или для контроля попыток несанкционированного доступа к ресурсам.
8.5.2.Планирование политики аудита
Администратор должен решить, на каких компьютерах вести аудит. По умолчанию аудит отключен.
При определении компьютеров для аудита администратор должен также спланировать, что отслеживать на каждом компьютере. Windows записывает проверяемые события отдельно на каждом компьютере.
Можно вести аудит:
доступа к файлам и папкам;
входа в систему и выхода из н ее определенных пользо-
выключения и перезагрузки компьютера с Windows
изменений учетных записей пользователей и групп;
попыток изменения объектов Active Directory.
Определив, какие события проверять, необходимо решить, отслеживать ли их успех и/или неудачу. Отслеживание успешных событий расскажет, как часто пользователи Windows или ее службы получают доступ к определенным файлам, принтерам и другим объектам. Это пригодится при планировании использования ресурсов. Отслеживание неудачных событий может предупредить о возможных нарушениях безопасности. Например, многочисленные неудачные попытки входа в систему с определенной учетной записью, особенно если они происходили вне обычного рабочего времени, могут означать, что некто, не имеющий прав доступа, пытается взломать систему.
При определении политики аудита целесообразно руководствоваться следующими принципами:
решите, нужно ли отслеживать тенденции в использовании ресурсов системы. В этом случае запланируйте архивацию журналов событий. Это позволит увидеть изменения в использовании системных ресурсов и заблаговременно увеличить их;
чаще просматривайте журнал безопасности. Составьте расписание и регулярно просматривайте этот журнал, поскольку настройка аудита сама по себе не предупредит о нарушениях безопасности;
сделайте политику аудита полезной и легкой в управлении. Всегда проверяйте уязвимые и конфиденциальные данные. Проверяйте только такие события, чтобы получить содержательную информацию об обстановке в сети. Это минимизирует использование ресурсов сервера и позволит легче находить нужную информацию. Аудит слишком многих событий приведет к замедлению работы Windows;
проверяйте доступ к ресурсам не пользователей группы Users (Пользователи), а пользователей группыEveryone (Все) . Это гарантирует, что Вы отследите любого, кто подсоединился к сети, а не только тех, для кого создана учетная запись.
8.5.3.Внедрение политики аудита
Необходимо продумать требования аудита и настроить его политику. Настроив политику аудита на каком-либо компьютере, можно вести аудит файлов, папок, принтеров и объектов Active Directory.
8.5.3.1. Настройка аудита
Можно выполнять политику аудита, основанную на роли данного компьютера в сети Windows. Аудит настраивается поразному для следующих типов компьютеров с Windows:
для рядового сервера домена, изолированного сервера или рабочих станций с Windows политика аудита настраивается отдельно для каждой машины;
для контроллеров домена устанавливается одна политика аудита на весь домен; для аудита событий на контроллерах домена, таких как изменения объектов Active Directory, следует настроить групповую политику для домена, которая будет действовать на всех контроллерах.
Требования для выполнения аудита
Настройка и администрирование аудита требуют выполнения следующих условий:
Вы должны иметь разрешениеManage Auditing And Security Log (Управление аудитом и журналом безопасности) для
компьютера, на котором Вы хотите настроить политику аудита или просмотреть журнал аудита. По умолчанию Windows дает такие права группе Administrators (Администраторы);
файлы и папки, подвергаемые аудиту, должны находиться на дисках NTFS.
Настройка аудита
Вы должны настроить:
политику аудита, которая включает режим проверки, но не осуществляет аудит для конкретных объектов;
аудит для конкретных ресурсов, т,е. указывать определенные отслеживаемые события для файлов, папок, принтеров и
объектов Active Directory. Windows будет отслеживать и записывать в журнал эти события.
8.5.3.2. Настройка политики аудита
В первую очередь надо выбрать типы отслеживаемых событий. Для каждого события устанавливаются параметры
настройки, показывающие, какие попытки отслеживать: успешные или неудачные. Настраивать политики аудита можно через оснастку Group Policy (Групповая политика).
Типы событий, которые могут проверяться в Windows, представлены в таблице 8.1.
Таблица 8.1
Типы событий, которые могут проверяться в Windows
Описание |
||
События входа в | Контроллер домена получил запрос на проверку |
|
систему с | правильности учетной записи пользователя |
|
ной записью | ||
Управление | Администратор создал, изменил или удалил |
|
учетную запись или группу. Учетная запись |
||
пользователя была изменена, включена или вы- |
||
ключена, или пароль был установлен или изме- |
||
Доступ к службе | Пользователь получил доступ к объекту Active |
|
каталогов | Directory . Вы должны указать конкретные объ- |
|
екты Active Directory для отслеживания этого |
||
типа события |
||
События входа в | Пользователь входил в систему и выходил из нее |
|
или подключился/не смог подключиться по сети |
||
к данному компьютеру |
||
Доступ к объе к- | Пользователь получил доступ к файлу, папке |
|
или принтеру. Вы должны указать файлы, папки |
||
или принтеры для проверки. Режим проверки |
||
доступа к службе каталогов проверяет доступ |
||
пользователя к определенному объекту Active |
||
Directory. Режим доступа к объекту проверяет |
||
доступ пользователя к файлам, папкам или |
||
принтерам |
||
Изменение | Были сделаны изменения в пользовательских |
|
настройках безопасности, правах пользователя |
||
или политиках аудита |
||
Использование | Пользователь применил права, например, по из- |
|
привилегий | менению системного времени. (Сюда не вклю- |
|
чаются права, связанные с входом в систему и |
||
выходом из нее) |
||
Отслеживание | Пользователь произвел действие. Эта информа- |
|
процесса | ция полезна программистам, желающим отсле- |
|
дить детали выполнения программы |
||
Системное | Пользователь перезагрузил или выключил ком- |
|
пьютер, или произошло событие, влияющее на |
||
безопасность Windows или на журнал безопас- |
||
ности. (Например, журнал аудита переполнен, и |
||
Windows не смогла записать новую информа- |
||
Иногда случаются события, которые требуют от нас ответить на вопрос «кто это сделал?» Такое может происходить «редко, но метко», поэтому к ответу на вопрос следует готовиться заранее.
Практически повсеместно существуют проектные отделы, бухгалтерия, разработчики и другие категории сотрудников, совместно работающие над группами документов, хранящихся в общедоступной (Shared) папке на файловом сервере или на одной из рабочих станций. Может случиться так, что кто-то удалит важный документ или директорию из этой папки, в результате чего труд целого коллектива может быть потерян. В таком случае, перед системным администратором возникает несколько вопросов:
Когда и во сколько произошла проблема?
Из какой наиболее близкой к этому времени резервной копии следует восстановить данные?
Может, имел место системный сбой, который может повториться ещё раз?
В Windows имеется система Аудита, позволяющая отслеживать и журналировать информацию о том, когда, кем и с помощью какой программы были удалены документы. По умолчанию, Аудит не задействован - слежение само по себе требует определённый процент мощности системы, а если записывать всё подряд, то нагрузка станет слишком большой. Тем более, далеко не все действия пользователей могут нас интересовать, поэтому политики Аудита позволяют включить отслеживание только тех событий, что для нас действительно важны.
Система Аудита встроена во все операционные системы Microsoft Windows NT : Windows XP/Vista/7, Windows Server 2000/2003/2008. К сожалению, в системах серии Windows Home аудит спрятан глубоко, и его настраивать слишком сложно.
Что нужно настроить?
Для включения аудита зайдите с правами администратора в компьютер, предоставляющий доступ к общим документам, и выполните команду Start → Run → gpedit.msc . В разделе Computer Configuration раскройте папку Windows Settings → Security Settings → Local Policies → Audit Policies:
Дважды щёлкните по политике Audit object access (Аудит доступа к объектам) и выберите галочку Success . Этот параметр включает механизм слежения за успешным доступом к файлам и реестру. Действительно, ведь нас интересуют только удавшиеся попытки удаления файлов или папок. Включите Аудит только на компьютерах, непосредственно на которых хранятся отслеживаемые объекты.
Простого включения политики Аудита недостаточно, мы также должны указать, доступ к каким именно папкам требуется отслеживать. Обычно такими объектами являются папки общих (разделяемых) документов и папки с производственными программами или базами данных (бухгалтерия, склад и т.п.) - то есть, ресурсы, с которыми работают несколько человек.
Заранее угадать, кто именно удалит файл, невозможно, поэтому слежение и указывается за Всеми (Everyone). Удавшиеся попытки удаления отслеживаемых объектов любым пользователем будут заноситься в журнал. Вызовите свойства требуемой папки (если таких папок несколько, то всех их по очереди) и на закладке Security (Безопасность) → Advanced (Дополнительно) → Auditing (Аудит) добавьте слежение за субъектом Everyone (Все), его успешными попытками доступа Delete (Удаление) и Delete Subfolders and Files (Удаление подкаталогов и файлов):
Событий может журналироваться довольно много, поэтому также следует отрегулировать размер журнала Security
(Безопасность)
, в который они будут записываться. Для
этого выполните команду Start
→
Run
→
eventvwr
.
msc
.
В появившемся окне вызовите свойства журнала Security и укажите следующие параметры:
Maximum Log Size = 65536 KB (для рабочих станций) или 262144 KB (для серверов)
Overwrite events as needed.
На самом деле, указанные цифры не являются гарантированно точными, а подбираются опытным путём для каждого конкретного случая.
Windows 2003/ XP )?
Нажмите Start → Run → eventvwr.msc Security (Безопасность). View → Filter
- Event Source:Security;
- Category: Object Access;
- Event Types: Success Audit;
- Event ID: 560;
Просмотрите список отфильтрованных событий, обращая внимание на следующие поля внутри каждой записи:
- Object Name . Название искомой папки или файла;
- Image File Name . Имя программы, с помощью которой удалили файл;
- Accesses . Набор запрашиваемых прав.
Программа может запрашивать у системы сразу несколько типов доступа - например, Delete + Synchronize или Delete + Read _ Control . Значимым для нас правом является Delete .
Итак, кто же удалил документы (Windows 2008/ Vista )?
Нажмите Start → Run → eventvwr.msc и откройте для просмотра журнал Security (Безопасность). Журнал может быть заполнен событиями, прямого отношения к проблеме не имеющими. Щёлкнув правой кнопкой по журналу Security, выберите команду View → Filter и отфильтруйте просмотр по следующим критериям:
- Event Source: Security;
- Category: Object Access;
- Event Types: Success Audit;
- Event ID: 4663;
Не спешите интерпретировать все удаления как злонамеренные. Эта функция зачастую используется при обычной работе программ - например, исполненяя команду Save (Сохранить), программы пакета Microsoft Office сначала создают новый временный файл, сохраняют в него документ, после чего удаляют предыдущую версию файла. Аналогично, многие приложения баз данных при запуске сначала создают временный файл блокировок (. lck ), затем удаляют его при выходе из программы.
Мне приходилось на практике сталкиваться и со злонамеренными действиями пользователей. Например, конфликтный сотрудник некоей компании при увольнении с места работы решил уничтожить все результаты своего труда, удалив файлы и папки, к которым он имел отношение. События такого рода хорошо заметны - они генерируют десятки, сотни записей в секунду в журнале безопасности. Конечно, восстановление документов из Shadow Copies (Теневых Копий) или ежесуточно автоматически создаваемого архива не составляет особого труда, но при этом я мог ответить на вопросы «Кто это сделал?» и «Когда это произошло?».
