Kao što sam ranije rekao, vrijedi voditi računa o sigurnosti korisničkih računa i privatnosti vaših poslovnih podataka u današnje vrijeme. U prethodnim člancima o lokalnim sigurnosnim politikama naučili ste o metodama korištenja lokalnih sigurnosnih politika i o politikama računa koje mogu uvelike povećati sigurnost korisničkih računa. Sada kada ste pravilno konfigurisali sigurnosne politike vašeg naloga, napadačima će biti mnogo teže da dobiju pristup korisničkim nalozima. Ali nemojte zaboraviti da se vaš posao osiguranja vaše mrežne infrastrukture tu ne završava. Svi pokušaji upada i neuspješne autentifikacije vaših korisnika moraju se evidentirati kako bi se znalo da li je potrebno poduzeti dodatne sigurnosne mjere. Provjera takvih informacija radi utvrđivanja aktivnosti u preduzeću naziva se revizija.

Proces revizije koristi tri kontrole: politiku revizije, postavke revizije na objektima i dnevnik revizije. "Sigurnost", gdje se bilježe sigurnosni događaji kao što su prijava/odjava, korištenje privilegija i pristup resursima. U ovom članku ćemo pogledati politike revizije i kasniju analizu događaja u dnevniku. "Sigurnost".

Politika revizije

Politika revizije konfigurira određenog korisnika i grupu na sistemu za reviziju aktivnosti. Da biste konfigurirali politike revizije, u uređivaču upravljanja grupnim politikama morate otvoriti Konfiguracija računara/Postavke Windowsa/Sigurnosne postavke/Lokalne politike/Politika revizije. Imajte na umu da je po defaultu postavka politike revizije za radne stanice postavljena na "Nedefinirano". Ukupno možete konfigurirati devet pravila revizije, koja su prikazana na sljedećoj ilustraciji:

Rice. 1. Čvor “Politika revizije”

Baš kao i kod drugih sigurnosnih politika, morate definirati postavku politike da biste konfigurirali reviziju. Nakon dvostrukog klika lijevom tipkom miša na bilo koju od opcija, označite okvir na toj opciji "Definirajte sljedeće postavke pravila" i specificirajte da li da revidirate uspjeh, neuspjeh ili obje vrste događaja.

Rice. 2. Svojstva politike revizije "Pristup servisu direktorija revizije"

Jednom kada se konfigurira politika revizije, događaji će biti evidentirani u sigurnosni dnevnik. Ove događaje možete vidjeti u sigurnosnom dnevniku. Pogledajmo bliže svaku politiku revizije:

Prijava Audit. Trenutna politika određuje da li operativni sistem korisnika na čijem računaru se ova politika revizije primjenjuje na reviziju svakog pokušaja prijave ili odjave korisnika. Na primjer, ako se korisnik uspješno prijavi na računar, generiše se događaj prijave na nalog. Događaji odjave se generiraju svaki put kada završi sesija prijavljenog korisničkog računa. Revizija uspjeha znači kreiranje unosa revizije za svaki uspješan pokušaj prijave. Revizija neuspjeha znači kreiranje unosa revizije za svaki neuspjeli pokušaj prijave.

Revizija pristupa objektu. Ova sigurnosna politika revidira pokušaje pristupa korisnika objektima koji nisu povezani s Active Directoryjem. Takvi objekti uključuju datoteke, fascikle, štampače, ključeve sistemskog registra, koji su postavljeni sopstvenim listama u listi kontrole pristupa sistemu (SACL). Revizija se generira samo za objekte za koje su specificirani ACL-ovi, pod uvjetom da se tip traženog pristupa i račun koji je podnio zahtjev odgovaraju postavkama u ACL-ovima.

Revizija pristupa servisu imenika. Pomoću ove sigurnosne politike možete odrediti da li će događaji navedeni u listi kontrole pristupa sistemu (SACL) biti revidirani, što se može uređivati ​​u dijaloškom okviru "Napredne sigurnosne opcije" svojstva Active Directory objekta. Revizija se generira samo za objekte za koje je specificirana lista kontrole pristupa sistemu, pod uvjetom da se tip traženog pristupa i račun koji je podnio zahtjev odgovaraju postavkama na ovoj listi. Ova politika je donekle slična politici "Revizijski pristup objektima". Revizija uspjeha znači kreiranje unosa revizije svaki put kada korisnik uspješno pristupi Active Directory objektu koji ima definiran SACL. Revizija kvarova odnosi se na kreiranje unosa revizije svaki put kada korisnik ne uspije pristupiti Active Directory objektu koji ima definiran SACL.

Revizija promjene politike. Ova politika revizije specificira da li će operativni sistem revidirati svaki pokušaj promjene korisničkih prava, revizije, naloga ili politike povjerenja. Revizija uspjeha znači kreiranje zapisa revizije svaki put kada se uspješno promijeni politika dodjele korisničkih prava, politika revizije ili politika povjerenja. Revizija neuspjeha znači kreiranje unosa revizije za svaki neuspješan pokušaj modifikacije politika dodjele korisničkih prava, politika revizije ili politika povjerenja.

Promjene privilegija revizije. Koristeći ovu sigurnosnu politiku, možete odrediti da li će korištenje korisničkih privilegija i prava biti revidirano. Revizija uspjeha znači kreiranje unosa revizije za svaku uspješnu primjenu korisničkog prava. Revizija neuspjeha znači kreiranje unosa revizije za svaku neuspjelu upotrebu korisničkog prava.

Revizija praćenja procesa. Trenutna politika revizije određuje da li će operativni sistem revidirati događaje vezane za proces, kao što su kreiranje i završetak procesa, kao i aktivacija programa i indirektni pristup objektima. Revizija uspjeha znači kreiranje evidencije revizije za svaki događaj uspjeha povezan s procesom koji se nadgleda. Revizija kvara znači kreiranje zapisa revizije za svaki događaj kvara povezan s procesom koji se nadgleda.

Revizija sistemskih događaja. Ova sigurnosna politika je od posebne vrijednosti, jer pomoću ove politike možete saznati da li je računar korisnika ponovo pokrenut, da li je veličina sigurnosnog dnevnika premašila prag upozorenja, da li je došlo do gubitka praćenih događaja zbog revizije sistemski kvar, pa čak i ako su promjene napravljene, to bi moglo utjecati na sigurnost sistema ili sigurnosnog dnevnika, uključujući promjenu sistemskog vremena. Revizija uspjeha znači kreiranje zapisa revizije za svaki uspješan sistemski događaj. Revizija kvarova znači kreiranje unosa revizije za svaki kvar sistemskog događaja.

Revizija događaja za prijavu. Pomoću ove politike revizije možete odrediti da li operativni sistem obavlja reviziju svaki put kada ovaj računar provjeri vjerodajnice. Kada se koristi ovo pravilo, generira se događaj za lokalnu i udaljenu prijavu korisnika. Članovi domene i računari bez domene imaju povjerenje u svojim lokalnim nalozima. Kada korisnik pokuša da se poveže sa deljenom fasciklom na serveru, događaj udaljene prijave se evidentira u bezbednosnom dnevniku, ali se ne evidentiraju događaji odjave. Revizija uspjeha znači kreiranje unosa revizije za svaki uspješan pokušaj prijave. Revizija neuspjeha znači kreiranje unosa revizije za svaki neuspjeli pokušaj prijave.

Revizija upravljanja računom. Ova posljednja politika se također smatra vrlo važnom jer je ona koju možete koristiti da odredite da li trebate revidirati svaki UAC događaj na računaru. Sigurnosni dnevnik će bilježiti aktivnosti kao što su kreiranje, premještanje i onemogućavanje naloga, kao i promjena lozinki i grupa. Revizija uspjeha znači kreiranje evidencije revizije za svaki uspješan događaj upravljanja računom. Revizija neuspjeha znači kreiranje zapisa revizije za svaki neuspjeli događaj upravljanja računom

Kao što vidite, sve politike revizije su do neke mjere vrlo slične, a ako postavite reviziju svih politika za svakog korisnika u vašoj organizaciji, onda ćete se prije ili kasnije jednostavno zbuniti u njima. Stoga je potrebno prvo utvrditi šta je tačno potrebno za reviziju. Na primjer, da biste bili sigurni da je jedan od vaših naloga stalno ugrožen pogađanjem lozinke, možete odrediti reviziju neuspjelih pokušaja prijave. U sljedećem odjeljku ćemo pogledati najjednostavniji primjer korištenja ovih politika.

Primjer politike revizije

Recimo da imamo domen testdomain.com koji ima korisnika sa DImaN.Vista nalogom. u ovom primjeru, mi ćemo primijeniti politiku za ovog korisnika i vidjeti koji se događaji upisuju u sigurnosni dnevnik kada se pokuša neovlašteni pristup sistemu. Da biste ponovili ovu situaciju, učinite sljedeće:

Zaključak

U ovom članku nastavili smo proučavanje sigurnosnih politika, naime, ispitali smo opcije politike revizije pomoću kojih možete istražiti pokušaje upada i neuspjelu autentifikaciju vaših korisnika. Razmatra se svih devet sigurnosnih politika odgovornih za reviziju. Također ste naučili iz primjera kako politike revizije funkcionišu koristeći "Revizija događaja za prijavu". Emulirana je situacija neovlaštenog ulaska na računar korisnika, nakon čega je uslijedila revizija sigurnosnog dnevnika sistema.

Da biste izvršili reviziju pristupa datotekama i fasciklama u Windows Server 2008 R2, morate omogućiti funkciju revizije i navesti fascikle i datoteke kojima želite da uhvatite pristup. Nakon postavljanja revizije, serverski dnevnik će sadržavati informacije o pristupu i drugim događajima na odabranim datotekama i folderima. Vrijedi napomenuti da se pristup datotekama i mapama može kontrolirati samo na volumenima sa NTFS sistemom datoteka.

Omogućite reviziju za objekte sistema datoteka u Windows Server 2008 R2

Revizija pristupa datotekama i fasciklama je omogućena i onemogućena korišćenjem grupnih politika: politike domena za domen Active Directory ili lokalnih bezbednosnih politika za samostalne servere. Da biste omogućili reviziju na jednom serveru, morate otvoriti konzolu za upravljanje lokalnim politikama Start ->SveProgrami ->administrativniAlati ->LokalnosigurnostPolicy. U konzoli lokalne politike proširite stablo lokalnih politika ( Lokalnopolitike) i odaberite element revizijaPolicy.

Odaberite stavku u desnom oknu revizijaObjekatPristup a u prozoru koji se pojavi navedite koje vrste događaja pristupa datotekama i mapama treba snimiti (uspješan/neuspješan pristup):

Nakon odabira željene postavke, pritisnite UREDU.

Odabir datoteka i foldera, pristup kojima će biti fiksiran

Nakon što je aktivirana revizija pristupa datotekama i folderima, potrebno je odabrati određene objekte sistema datoteka čiji će pristup biti revidiran. Baš kao i NTFS dozvole, zadane postavke revizije se nasljeđuju na svim podređenim objektima (osim ako nisu drugačije konfigurisane). Na isti način kao i kod dodjele prava pristupa datotekama i folderima, nasljeđivanje postavki revizije može se omogućiti i za sve i samo za odabrane objekte.

Da konfigurišete reviziju za određenu fasciklu/datoteku, kliknite desnim tasterom miša na nju i izaberite Svojstva ( Svojstva). U prozoru sa svojstvima idite na karticu Sigurnost ( sigurnost) i pritisnite dugme Napredno. U prozoru naprednih sigurnosnih postavki ( NaprednosigurnostPostavke) idite na karticu Revizija ( Revizija). Postavljanje revizije, naravno, zahtijeva administratorska prava. U ovoj fazi, prozor revizije će prikazati listu korisnika i grupa za koje je revizija omogućena za ovaj resurs:

Za dodavanje korisnika ili grupa čiji će pristup ovom objektu biti fiksiran, kliknite na dugme Dodati... i navedite imena ovih korisnika/grupa (ili navedite Svi– za reviziju pristupa svih korisnika):

Odmah nakon primjene ovih postavki u dnevniku Sigurnosnog sistema (možete ga pronaći u kompjuterMenadžment -> Preglednik događaja), svaki put kada pristupite objektima za koje je omogućena revizija, pojavit će se odgovarajući unosi.

Alternativno, događaji se mogu pregledati i filtrirati pomoću PowerShell cmdleta − Get-EventLog Na primjer, da biste prikazali sve događaje sa eventid 4660, pokrenite naredbu:

Get-EventLog sigurnost | ?($_.eventid -eq 4660)

Savjet. Moguće je dodijeliti određene radnje bilo kojim događajima u Windows dnevniku, kao što je slanje e-pošte ili izvršavanje skripte. Kako je konfigurisan opisano je u članku:

UPD od 06.08.2012 (Hvala komentatoru).

U Windows 2008/Windows 7 pojavio se poseban uslužni program za upravljanje revizijom auditpol. Kompletna lista tipova objekata koji se mogu revidirati može se vidjeti pomoću naredbe:

auditpol /list /potkategorija:*

Kao što vidite ovi objekti su podijeljeni u 9 kategorija:

• Sistem
• Prijava/odjava
• Pristup objektu
• Privilege Use
• Detaljno praćenje
• promjena politike
• Upravljanje računa
• D.S.Access
• Prijava na račun

I svaka od njih je podijeljena u potkategorije. Na primjer, kategorija revizije pristupa objektu uključuje potkategoriju sistema datoteka, a da biste omogućili reviziju za objekte sistema datoteka na računaru, pokrenite naredbu:

Auditpol /set /podkategorija:"File System" /failure:enable /success:enable

Onemogućava se naredbom:

Auditpol /set /podkategorija:"File System" /failure:disable /success:disable

One. Ako isključite reviziju nepotrebnih potkategorija, možete značajno smanjiti volumen dnevnika i broj nepotrebnih događaja.

Nakon što je revizijski pristup datotekama i fasciklama aktiviran, potrebno je da navedete konkretne objekte koje ćemo kontrolisati (u svojstvima datoteka i fascikli). Imajte na umu da se, prema zadanim postavkama, postavke revizije nasljeđuju na svim podređenim objektima (osim ako nije drugačije navedeno).

Zdravo!

Nastavljamo da objavljujemo cheat sheets za postavljanje revizije raznih sistema, prošli put kada smo govorili o AD habrahabr.ru/company/netwrix/blog/140569, danas ćemo razgovarati o serverima datoteka. Moram reći da najčešće vršimo revizije servera datoteka prilikom pilot instalacija kod kupaca. U ovom zadatku nema ništa komplikovano, samo tri jednostavna koraka:

• Postavite reviziju na dijeljenim datotekama
• Konfigurišite i primenite opšte i detaljne politike revizije
• Promijenite postavke dnevnika događaja

Ako imate veliki broj dijeljenja datoteka, pristup kojima zaposleni često zahtijevaju, preporučujemo da kontrolirate samo promjene na objektima revizije. Praćenje svih događaja može rezultirati velikom količinom suvišnih podataka koji nisu posebno važni u evidenciji.

Konfiguriranje revizije na dijeljenim datotekama

Konfiguriranje generalne politike revizije

Da biste kontrolirali promjene na serveru datoteka, morate postaviti politiku revizije. Prije postavljanja pravila, uvjerite se da je vaš nalog član grupe administratora ili da imate prava za upravljanje evidencijama revizije i događaja u dodatku za smernice grupe.

Postavljanje detaljne politike revizije

Postavljanje dnevnika događaja

Da biste efikasno kontrolisali promene, potrebno je da konfigurišete evidenciju događaja, odnosno, podesite maksimalnu veličinu dnevnika. Ako veličina nije dovoljno velika, događaji mogu biti prepisani prije nego što dođu do baze podataka koju koristi vaša aplikacija za kontrolu promjena.

Na kraju, želimo vam ponuditi skriptu koju i sami koristimo prilikom postavljanja revizije na serverima datoteka. Skripta konfiguriše reviziju na svim kuglicama za svaki od računara u datoj OU. Stoga, nema potrebe da ručno omogućavate postavke na svakom dijeljenju datoteka.

Prije pokretanja skripte, potrebno je urediti red 19 - unesite potrebne vrijednosti ​​umjesto "your_ou_name" i "your_domain". Skripta se mora pokrenuti pod nalogom koji ima administratorska prava domene.

Skriptu možete dobiti u našoj bazi znanja ili spremiti sljedeći tekst u .ps1 datoteku:

#import-module activedirectory #$path = $args; # \\fileserver\share\folder $account = "Svi" # $args; $flavor = "Uspjeh,Neuspjeh" #$args; $flags = " ReadData, WriteData, AppendData, WriteExtendedAttributes, DeleteSubdirectoriesAndFiles, WriteAttributes, Delete, ChangePermissions, TakeOwnership " $inheritance = "ContainerInherit, ObjectInherit" $propagation = "Nijedan-AD GetRight" = "None-AD" $comput vaše_ou_name,DC=vaša_domena,DC=vaša_domena" | select -exp DNSHostName foreach ($comp u $comps) ( $shares = get-wmiobject -class win32_share -computername $comp -filter "type=0 I ime poput "%[^$]"" | odaberite -exp ime foreach ( $share in $shares) ( $path = "\\"+$comp+"\"+$share $path $acl = (Get-Item $path).GetAccessControl("Access,Audit") $ace = new-object System.Security.AccessControl.FileSystemAuditRule($account, $flags, $inheritance, $propagation, $flavor) $acl.AddAuditRule($ace) set-acl -path $path -AclObject $acl ) )

željeni SP-ovi odjela prodaje mogu se veoma razlikovati od SP-a odjela za finansije.

Dodatak za grupna pravila omogućava vam postavljanje sigurnosnih postavki direktno u Active Directory prodavnici. Folder Sigurnosne postavke je u čvoru Konfiguracija računara i čvor Konfiguracija korisnika

vatel). Sigurnosne postavke omogućavaju administratorima grupnih politika da postave politike koje ograničavaju korisnike da pristupe datotekama i folderima, određuju broj netačnih lozinki koje korisnik može uneti prije nego što mu se odbije prijava, upravljaju korisničkim pravima, posebno određuju koji korisnici se mogu prijaviti na server domene.

8.5. Revizija u Microsoft Windows-u

8.5.1. Pregled revizije u Windows-u

Revizija u Windows-u je proces praćenja radnji korisnika i Windows akcija (zvanih događaji). Tokom revizije, Windows upisuje informacije o događajima u sigurnosni dnevnik prema uputama. Ovaj dnevnik bilježi pokušaje prijave sa ispravnim i netačnim lozinkama, kao i događaje koji se odnose na kreiranje, otvaranje, uništavanje datoteka ili drugih objekata.

Svaki unos u sigurnosnom dnevniku sadrži:

informacije o preduzetim radnjama;

podatke o korisniku koji je izvršio ovu radnju;

informacije o događaju koji se dogodio u ovom slučaju, kao i da li je bio uspješan.

8.5.1.1. Korištenje politike revizije

Politika revizije određuje koje tipove događaja Windows treba da upiše u sigurnosni dnevnik na svakom računaru. Ovaj dnevnik vam omogućava da pratite događaje koje navedete.

Windows upisuje informacije o događaju u sigurnosni dnevnik na računaru na kojem se događaj dogodio.

mjesto. Na primjer, možete postaviti reviziju tako da svaki put kada se neko neuspješno pokuša prijaviti na domenu s računom domene, taj događaj se prijavljuje u sigurnosni dnevnik na kontroleru domene.

Ovaj događaj se evidentira na kontroloru domene, a ne na računaru na kojem je pokušana prijava, jer je kontroler domene pokušao i nije uspio da potvrdi autentičnost prijave.

Politiku revizije možete konfigurirati na računaru da:

pratiti događaje uspjeha/neuspjeha kao što su pokušaj prijave, pokušaj određenog korisnika da pročita određenu datoteku, promjene korisničkog naloga ili članstva u grupi i promjene vaših sigurnosnih postavki;

eliminirati ili minimizirati rizik od neovlaštenog korištenja resursa.

Možete koristiti Event Viewer. Također možete arhivirati dnevnike za vas

fenomeni dugoročnih trendova - na primjer, za određivanje intenziteta pristupa štampačima ili datotekama, ili za kontrolu pokušaja neovlaštenog pristupa resursima.

8.5.2 Planiranje politike revizije

Administrator mora odlučiti koje će računare izvršiti reviziju. Revizija je podrazumevano onemogućena.

Prilikom određivanja računala koje će izvršiti revizija, administrator također mora planirati šta će pratiti na svakom računaru. Windows beleži revidirane događaje zasebno na svakom računaru.

Možete izvršiti reviziju:

pristup datotekama i fasciklama;

prijava i odjava određenih korisnika

isključivanje i ponovno pokretanje Windows računara

promjene korisničkih i grupnih naloga;

pokušava modificirati Active Directory objekte.

Nakon što odredite koje događaje želite provjeriti, morate odlučiti da li ćete pratiti njihov uspjeh i/ili neuspjeh. Praćenje uspjeha će vam reći koliko često Windows korisnici ili njegove usluge pristupaju određenim datotekama, štampačima i drugim objektima. Ovo će vam dobro doći kada planirate korištenje resursa. Praćenje loših događaja može vas upozoriti na potencijalne povrede sigurnosti. Na primjer, višestruki neuspjeli pokušaji prijave sa određenim nalogom, posebno ako su se desili izvan uobičajenog radnog vremena, mogu značiti da neko bez prava pristupa pokušava da hakuje u sistem.

Prilikom utvrđivanja politike revizije preporučljivo je voditi se sljedećim principima:

Odlučite hoćete li pratiti trendove u korištenju sistemskih resursa. U tom slučaju planirajte arhiviranje dnevnika događaja. Ovo će vam omogućiti da vidite promjene u korištenju sistemskih resursa i unaprijed ih povećate;

često pregledavajte sigurnosni dnevnik. Redovno zakažite i pregledajte ovaj dnevnik, jer vas samo postavljanje revizije neće upozoriti na kršenje sigurnosti;

učiniti politiku revizije korisnom i lakom za upravljanje. Uvijek provjerite osjetljive i osjetljive podatke. Provjerite samo takve događaje da biste dobili značajne informacije o situaciji na mreži. Ovo smanjuje upotrebu resursa servera i olakšava pronalaženje informacija koje su vam potrebne. Revizija previše događaja će usporiti Windows;

provjeriti pristup resursima nečlanova grupeKorisnici (Korisnici), i korisnici grupe Svi (Svi). Ovo osigurava da pratite svakoga ko se povezuje na mrežu, a ne samo one za koje je kreiran račun.

8.5.3 Sprovođenje politike revizije

Morate razmisliti o zahtjevima revizije i prilagoditi njenu politiku. Konfigurisanjem politike revizije na računaru, možete vršiti reviziju datoteka, fascikli, štampača i Active Directory objekata.

8.5.3.1. Postavljanje revizije

Možete pokrenuti politiku revizije na osnovu uloge računara u Windows mreži. Revizija je drugačije konfigurisana za sledeće tipove Windows računara:

za server član domene, samostalni server ili Windows radne stanice, politika revizije se konfiguriše zasebno za svaku mašinu;

za kontrolore domena, jedna politika revizije je postavljena za cijeli domen; Za reviziju događaja na kontrolerima domena, kao što su promjene objekata Active Directory, morate konfigurirati politiku grupe za domenu koja će se primjenjivati ​​na sve kontrolere.

Uslovi za obavljanje revizije

Postavljanje i administriranje revizije zahtijeva da budu ispunjeni sljedeći uslovi:

Morate imati dozvolu Upravljajte evidencijom revizije i sigurnosti za

računar na kojem želite konfigurirati politiku revizije ili pogledati dnevnik revizije. Windows podrazumevano daje ova prava grupi Administratori (Administratori);

datoteke i fascikle koje treba pregledati moraju biti na NTFS diskovima.

Postavljanje revizije

Morate postaviti:

politika revizije koja omogućava način revizije, ali ne vrši reviziju određenih objekata;

revizija za specifične resurse, tj. navedite specifične nadgledane događaje za datoteke, fascikle, štampače i

Objekti Active Directory. Windows će pratiti i evidentirati ove događaje.

8.5.3.2. Postavljanje politike revizije

AT Prije svega, trebate odabrati vrste događaja za praćenje. Parametri se postavljaju za svaki događaj

postavke koje pokazuju koji pokušaji praćenja: uspješni ili neuspješni. Politike revizije možete konfigurirati putem dodatka Grupna politika (Grupna politika).

Tipovi događaja koji se mogu provjeriti na Windows-u prikazani su u Tabeli 8.1.

Tabela 8.1

Tipovi događaja koji se mogu provjeriti na Windows-u

		Opis
Događaji za prijavu		Kontrolor domene je primio zahtjev za validaciju
sistem sa		ispravan korisnički nalog
noah record
Kontrola		Administrator kreiran, izmijenjen ili obrisan
		račun ili grupa. Račun
		korisnik je promijenjen, omogućen ili vi-
		uključena ili je lozinka postavljena ili promijenjena
Pristup servisu		Korisnik je pristupio Active objektu
katalozi		imenik. Morate navesti konkretno
		Projekti Active Directory da bi to pratili
		tip događaja
Događaji za prijavu		Korisnik je prijavljen i odjavljen
		ili povezan/neuspješno povezivanje preko mreže
		na ovaj računar
Pristup volumenu		Korisnik je pristupio datoteci/fascikli
		ili štampač. Morate navesti datoteke, foldere
		ili štampače za testiranje. Check Mode
		pristup servisu imenika provjerava pristup
		korisnika na određeni aktivni objekt
		Imenik. Provjere načina pristupa objektu
		korisnički pristup fajlovima, fasciklama ili
		štampači
Promjena		Izmjene su napravljene za korisnika
		sigurnosna podešavanja, korisnička prava
		ili politike revizije
Upotreba		Korisnik je primijenio prava, na primjer, zbog
privilegije		promenite sistemsko vreme. (Ovo ne uključuje
		prava povezana sa prijavom i
		van toga)
Praćenje		Korisnik je poduzeo radnju. Ova informacija-
proces		korisno za programere koji žele pratiti
		dati detalje o izvršavanju programa
Sistemski		Korisnik je ponovo pokrenuo ili isključio računar
		Pewter, ili se dogodio događaj koji utiče
		Windows sigurnost ili sigurnosni dnevnik
		ness. (Na primjer, dnevnik revizije je pun i
		Windows nije mogao napisati nove informacije

Čak i najmodernija proizvodnja, mala kancelarija ili velika kompanija suočeni su sa problemom banalne ljudske greške. Odeljenje računovodstva, ekonomska služba, menadžeri, bilo koji drugi zaposleni - mnogi mogu imati pristup određenim fajlovima. Stoga je vrlo važno koristiti Windows reviziju za praćenje aktivnosti korisnika. Može se desiti da je neko od zaposlenih izbrisao veoma važan fajl ili podatke koji se nalaze u javnim fasciklama na serveru datoteka. Kao rezultat toga, plodovi rada cijele organizacije mogu biti uklonjeni ili oštećeni, a administrator sistema će morati sam da se nosi sa ovim problemom. Ali ne ako naručite uslugu Windows revizije.

Vrijedi napomenuti da OS ima Audit sistem, u kojem je moguće pratiti i evidentirati podatke o tome kada, gdje i pod kojim okolnostima, kao i uz pomoć kojeg programa su se desili određeni događaji koji su doveli do brisanja foldera ili dozvoljeno brisanje ili izmjena važne datoteke. Ali po defaultu, Audit ne radi, jer je važno koristiti određeni kapacitet sistema. A opterećenje može biti preveliko, tako da politike u Reviziji selektivno evidentiraju one događaje koji su zaista važni.

Audit je ugrađen u bilo koji Windows OS, ali samokonfiguracija može biti prilično komplikovana, pa je bolje naručiti reviziju pristupa datotekama na Windows serveru.

Dakle, da biste izvršili reviziju, morate omogućiti njegovu funkciju i navesti svaku datoteku i folder za koje će se morati popraviti pristupačnost. Windows provjerava pristup datotekama samo na NTFS volumenima.

Omogućite reviziju objekata sistema datoteka u Windows Server 2008 R2

Možete omogućiti ili onemogućiti reviziju pristupa objektima koristeći smjernice grupe. Ovo može biti verzija domene za Active Directory ili lokalna sigurnosna verzija za pojedinačne servere.

Omogućavanje revizije na zasebnom serveru je kako slijedi. Trebali biste otvoriti upravljačku konzolu za lokalne opcije Start -> ... -> Lokalna sigurnosna politika. Nakon toga proširite stablo Lokalne politike, a zatim odaberite Politika revizije. Na desnoj strani izaberite Revizija pristupa objektu, a zatim izaberite događaje pristupačnosti za svaku datoteku i fasciklu koju želite da snimite.

Odabir datoteka i foldera, pristup kojima će biti fiksiran

Nakon što je Audit aktiviran na serveru datoteka, odaberite određene objekte u odnosu na koje će pristup biti revidiran. Da biste to uradili, kliknite desnim tasterom miša i izaberite Svojstva. Zatim idite na meni Sigurnost, a zatim kliknite na Napredno. Napredne sigurnosne postavke otvaraju karticu Auditing. Za konfiguraciju su potrebna administratorska prava. Za postavljanje prava korištenja važno je dodati unos u Add i navesti korisničko ime. Kasnije se specificiraju tačne postavke, uključujući prijavu, kreiranje/izmjenu ili, ako se datoteka obriše, druge operacije.

Nakon toga, odgovarajući unos će se pojaviti u Sigurnosnom dnevniku (Upravljanje računarom -> Preglednik događaja) svaki put kada se prijavite. Zadaci se mogu filtrirati pomoću PowerShell - Get-Event Log. Dakle, za operacije sa eventid 4660, morat ćete izvršiti Get-EventLog sigurnost | ?($_.eventid -eq 4660.

Omogućite proširenu reviziju datoteka i foldera na serverima datoteka

Reviziju Windows Server 2008 R2 najbolje je obaviti na test masteru. Revizija pristupa hostu datoteka zahtijeva upravljanje grupnim folderom. Provjera uključuje kreiranje novog GPO-a. Kroz Konfiguraciju računara, potrebno je da odete u Sigurnosne postavke. Tamo ćete morati prilagoditi postavke dnevnika i konfigurirati samu reviziju. Podesive operacije se obično rade pojedinačno. Obično je dovoljno 200 MB, maksimalno vreme skladištenja je do 2 nedelje, podesite automatsko čuvanje po danu.

Da biste postavili reviziju servisnog centra datoteka baze podataka, morat ćete koristiti reviziju sistema datoteka. Ako odaberete opciju “O dijeljenju datoteka”, tada će snimak biti što je moguće detaljniji, a sve informacije će biti snimljene. Da biste optimizirali politiku, važno je primijeniti je na glavni hardverski uređaj. Najbolje je to učiniti na kontroleru domene. Kliknite na "Dodaj" i označite "Računari" kao objekte. Zatim provode kontrolnu provjeru politike, upoređuju rezultate i odlaze u glavni servisni centar datoteka. Važno je osigurati da folder ima pristup fajlu.

Sada možete otići na karticu sigurnosti u odjeljku "Napredno". Zatim se dodaje SACL. Što se vrste tiče, to može biti Revizija pristupa fajlovima, Revizija brisanja fajlova, Revizija promena fajlova - svaki mehanizam delovanja zavisi od zadataka koji su dodeljeni korisniku. Važno je shvatiti da za svako pojedinačno preduzeće takvi zadaci mogu biti različiti i po sadržaju i po obimu.

Revizija pristupa fajlovima na Windows serveru

Kada se datoteka obriše, isti događaji se kreiraju pod brojem ID=4663. Štaviše, u tijelu BodyL pojavljuje se zapis podataka ili brisanje datoteke DELETE. Prilikom preimenovanja ne pojavljuje se jedan ID=4663 unos, već dva odjednom. U prvom slučaju dolazi do brisanja, u drugom se upisuju podaci. Nemoguće je zaobići varijantu poruke 4660, koja sadrži korisničko ime i druge servisne podatke, uključujući i kod deskriptora.

Kada se fajl obriše, takvi događaji se generišu istovremeno, ali njihov redosled je uvek 4663 na prvom mestu, pa tek onda 4660. Štaviše, serijski broj se razlikuje za 1. A serijski broj 4660 je još 1, što je 4663 I prema ovom svojstvu, trebate tražiti tražene zadatke.

Shodno tome, oni preuzimaju tekuće događaje iz 4660. Imaju dva svojstva: vrijeme (Vrijeme) stvaranja i serijski broj. Kasnije se unosi varijabla $PrevEvent sa brojem operacije, koja sadrži podatke o izbrisanom fajlu. Vremenski okvir za pretragu mora biti određen, a oni moraju biti smanjeni na 2 s (sa intervalom od + - 1 s). Najvjerovatnije će ovo dodatno vrijeme (Vrijeme) biti potrebno za kreiranje svakog završenog zadatka zasebno.

Shodno tome, revizija Windows Server 2008 R2 File Server ne bilježi privremene priključne stanice koje su izbrisane (.*tmp). Dokumenti zaključavanja (.*lock) i privremeni dokumenti (.*~$*) nisu upisani. Slično, polja za varijablu $BodyL se biraju, a nakon što se zadaci pronađu, $BodyL se upisuje u tekstualnu datoteku dnevnika.

Dnevnik za revizijski pristup dokumentima zahteva sledeću šemu: 1 fajl mesečno sa imenom (Naziv), koji sadrži mesec i godinu. Činjenica je da ima mnogo manje udaljenih elemenata od onih dokova na kojima se vrši revizija pristupa. Zbog toga se, umjesto provjere svakog dnevnika, otvara log datoteka u bilo kojoj tabeli i podaci se pregledavaju od strane korisnika ili sadržaj samog dokumenta.

Postavljanje revizije servera datoteka: detaljna uputstva i cheat sheet (.pdf)

Revizija fascikle Windows Server 2008 je vrlo jednostavna. Potrebno je da otvorite Start → Pokreni → eventvwr.msc, zatim Security log. Budući da sadrži različite događaje koji su potpuno nepotrebni, morat ćete kliknuti Pogled → Filtriraj i filtrirati događaje

Tipovi događaja: Revizija uspjeha;

i također Kategorija: Pristup objektima;

Izvor događaja: sigurnost.

Nema potrebe pogrešno shvaćati brisanje. Samo što je takva funkcija u operaciji Windows XP Audit primjenjiva na normalan rad programa. Uključujući većinu aplikacija pri pokretanju, one prvo formiraju privremenu datoteku, zatim glavnu, a privremena se briše kada program izađe. Takođe se dešava da se datoteka i čitave fascikle (ponekad baze podataka) brišu sa zlonamernom namerom. Na primjer, otpušteni zaposlenik odlučio je da naškodi preduzeću i izbriše sve informacije. Ali vraćanje fascikli nije teško čak ni običnom administratoru sistema. Sasvim je druga stvar kada možete reći kada i ko je ovo uradio.

Revizija mrežne fascikle ili revizija mrežne fascikle (kako želite) počinje sa konfiguracijom. Da biste to učinili, idite na Svojstva kuglica, idite na karticu sigurnosti i odaberite "Napredno", zatim karticu Audit, gdje (gdje) trebate odabrati korisničku grupu Svi. Zatim morate odabrati Uredi, pa tek nakon toga kliknuti na zastavice prisutne kao na snimku ekrana:

U ovom slučaju, lista "Primijeni na" bi trebala sadržavati vrijednost "Ova mapa, podfolderi...". A zatim, kada je podešavanje završeno, kliknite na OK.

Revizija Windows Server 2008 uključuje konfigurisanje opšte politike. Prije postavljanja, provjerite je li račun u grupi Administratori. Windows Server 2008 R2 Revizija mrežne fasciklestandarduporedivi sa ranijim verzijama. Ali u isto vrijeme, sami programeri savjetuju korištenje naprednih funkcija, umjesto mapa ili elemenata (objekata), iako se malo toga promijenilo od 2003. godine. Stoga, teško da se isplati tražiti bilo kakve relevantne podatke. Potrebno je samo malo vremena za postavljanje revizije Server 2008 za specifične zadatke iu skladu sa zahtjevima koji se odnose na specifične poslovne ciljeve kompanije.

• Prijavite se ili registrirajte da ostavljate komentare