Če želite pregledati dostop do datotek in map v operacijskem sistemu Windows Server 2008 R2, morate omogočiti revizijsko funkcijo ter določiti mape in datoteke, do katerih mora biti zabeležen dostop. Po nastavitvi revizije bo dnevnik strežnika vseboval informacije o dostopu in drugih dogodkih do izbranih datotek in map. Omeniti velja, da je dostop do datotek in map mogoče revidirati samo v obsegu z datotečnim sistemom NTFS..
Omogočanje preverjanja objektov datotečnega sistema v sistemu Windows Server 2008 R2
Pregledovanje dostopa do datotek in map je omogočeno in onemogočeno z uporabo skupinskih pravilnikov: domenskih pravilnikov za domeno Active Directory ali lokalnih varnostnih pravilnikov za samostojne strežnike. Če želite omogočiti revizijo na ločenem strežniku, morate odpreti lokalno konzolo za upravljanje politike Začetek -> Vse Programi -> Upravni Orodja -> Lokalno Varnost Politika. V konzoli za lokalno politiko morate razširiti drevo lokalnih politik (Lokalno Politike) in izberite predmet Revizija Politika.
V desnem podoknu izberite element Revizija Predmet Dostop v oknu, ki se prikaže, navedite, katere vrste dogodkov za dostop do datotek in map je treba posneti (uspešen / neuspešen dostop):
Po izbiri potrebnih nastavitev kliknite V redu.
Izberite datoteke in mape, do katerih bo določen dostop
Po aktiviranju revizije dostopa do datotek in map je treba izbrati posebne predmete datotečnega sistema, katerih revizija dostopa bo izvedena. Tako kot dovoljenja NTFS so tudi nastavitve revizije privzeto podedovane za vse podrejene predmete (razen če je drugače nastavljeno). Enako kot pri dodeljevanju pravic dostopa datotekam in mapam je mogoče omogočiti podedovanje revizijskih nastavitev tako za vse kot samo za izbrane predmete.
Če želite konfigurirati revizijo za določeno mapo / datoteko, jo morate z desno miškino tipko klikniti in izberite Lastnosti (Lastnosti) V oknu lastnosti pojdite na zavihek Varnost (Varnost) in pritisnite gumb Napredno. V oknu naprednih varnostnih nastavitev (Napredno Varnost Nastavitve) pojdite na zavihek Revizija (Revizija) Za nastavitev revizije so seveda potrebne skrbniške pravice. Na tej stopnji bo v revizijskem oknu prikazan seznam uporabnikov in skupin, za katere je omogočeno revidiranje tega vira:
Če želite dodati uporabnike ali skupine, katerih dostop do tega predmeta bo popravljen, kliknite gumb Dodaj ... in določite imena teh uporabnikov / skupin (ali podajte) Vsi - za pregled dostopa za vse uporabnike):
Nato morate določiti posebne nastavitve revizije (dogodki, kot so dostop, pisanje, brisanje, ustvarjanje datotek in map itd.). Nato kliknite V redu.
Takoj po uporabi teh nastavitev v dnevniku varnostnega sistema (najdete ga v pripenjanju Računalnik Upravljanje -> Prikazovalnik dogodkov) z vsakim dostopom do predmetov, za katere je omogočena revizija, se prikažejo ustrezni vnosi.
Dogodke si lahko ogledate in filtrirate z ukaznim programom PowerShell. - Get-eventlog Na primer, če želite prikazati vse dogodke z eventid 4660, izvedite ukaz:
Varnost Get-EventLog | ? $ _. eventid -eq 4660Namig. Možno je dodeliti določena dejanja za vse dogodke v dnevniku Windows, na primer pošiljanje e-pošte ali zagon skripta. Kako je to nastavljeno, je opisano v članku: Nadzor in obveščanje o dogodkih v dnevnikih Windows
UPD od 06.08.2012 (Hvala komentatorju) Rimski).
V sistemih Windows 2008 / Windows 7 se je pojavil poseben pripomoček za upravljanje revidiranja revizijski nadzor. Popoln seznam vrst predmetov, za katere lahko omogočite pregled, si lahko ogledate z ukazom:
revizijski seznam / seznam / podkategorija: *
Kot lahko vidite, so ti predmeti razdeljeni v 9 kategorij:
- Sistem
- Prijava / odjava
- Dostop do objekta
- Privilegiranje uporabe
- Podrobno sledenje
- Sprememba politike
- Upravljanje računa
- DS Dostop
- Prijava v račun
In vsaka od njih je razdeljena na podkategorije. Na primer, kategorija revizije Object Access vključuje podkategorijo datotečnega sistema in če želite omogočiti revizijo predmetov datotečnega sistema v računalniku, zaženite ukaz:
auditpol / set / podkategorija: "Datotečni sistem" / neuspeh: omogoči / uspeh: omogoči
Prekinjena je v skladu z ukazom:
auditpol / set / podkategorija: "Datotečni sistem" / neuspeh: onemogoči / uspeh: onemogoči
I.e. če onemogočite revizijo nepotrebnih podkategorij, lahko znatno zmanjšate obseg dnevnika in število nepotrebnih dogodkov.
Po aktiviranju revizije dostopa do datotek in map morate določiti posebne predmete, ki jih bomo nadzirali (v lastnostih datotek in map). Upoštevajte, da so privzeto nastavitve revizije podedovane na vse podrejene predmete (razen če ni določeno drugače).
Vsi zbrani dogodki se lahko shranijo v zunanjo bazo podatkov za ohranjanje zgodovine. Primer implementacije sistema: Preprost sistem za preverjanje brisanja datotek in map v sistemu Windows Server.
