Аудит доступу до файлів і папок в Windows Server 2008 R2

Для ведення аудиту доступу до файлів і папок в Windows Server 2008 R2, необхідно включити функцію аудиту, а також вказати папки та файли, доступ до яких необхідно фіксувати. Після настройки аудиту, в журналі сервера буде міститися інформація про доступ та інші події на вибрані файли і папки. Варто зауважити, що аудит доступу до файлів і папок може вестися тільки на томах з файловою системою NTFS.

Включаємо аудит на об'єкти файлової системи в Windows Server 2008 R2

Аудит доступу на файли і папки включається і відключається за допомогою групових політик: доменний політик для домену Active Directory або локальних політик безпеки для окремо розташованих серверів. Щоб включити аудит на окремому сервері, необхідно відкрити консоль управління локальний політик Start -> All Programs -> Administrative Tools -> Local Security Policy. В консолі локальної політики потрібно розгорнути дерево локальний політик (Local Policies) і вибрати елемент Audit Policy.


У правій панелі потрібно вибрати елемент Audit Object Access і у вікні вказати які типи подій доступу до файлів і папок потрібно фіксувати (успішний / невдалий доступ):


Після вибору необхідної настройки потрібно натиснути OK.

Вибір файлів і папок, доступ до яких буде фіксуватися

Після того, як активований аудит доступу до файлів і папок, необхідно вибрати конкретні об'єкти файлової системи, аудит доступу до яких буде вестися. Так само як і дозволу NTFS, настройки аудиту за замовчуванням успадковуються на всі дочірні об'єкти (якщо не налаштоване інакше). Точно так же, як при призначенні прав доступу на файли і папки, успадкування налаштувань аудиту може бути включено як для всіх, так і тільки для обраних об'єктів.

Щоб налаштувати аудит для конкретної папки / файлу, необхідно клацнути по ньому правою кнопкою миші і вибрати пункт Властивості (Properties). У вікні властивостей потрібно перейти на вкладку Безпека (Security) І натиснути кнопку Advanced. У вікні розширених налаштувань безпеки (Advanced Security Settings) Перейдемо на вкладку Аудит (Auditing). Налаштування аудиту, природно, вимагає прав адміністратора. На даному етапі в вікні аудиту буде відображений список користувачів і груп, для яких включений аудит на даний ресурс:

Щоб додати користувачів або групи, доступ яких до даного об'єкта буде фіксуватися, необхідно натиснути кнопку Add ... і вказати імена цих користувачів / груп (або вказати Everyone - для аудиту доступу всіх користувачів):

Далі потрібно вказати конкретні настройки аудиту (такі події, як доступ, запис, видалення, створення файлів і папок і т.д.). Після чого натискаємо OK.

Відразу після застосування даних налаштувань в системному журналі Security (знайти його можна в оснащенні Computer Management -> Events Viewer), при кожному доступі до об'єктів, для яких включений аудит, будуть з'являтися відповідні записи.

Альтернативно події можна переглянути і відфільтрувати за допомогою командлета PowerShell -  Get-EventLog Наприклад, щоб вивести всі події з eventid 4660, виконаємо комманду:

 Get-EventLog security | ? $ _. Eventid -eq 4660
Порада. Можливо призначити на будь-які події в журналі Windows певні дії, наприклад відправку електронного листа або виконання скрипта. Як це налаштовується описано в статті: Моніторинг та оповіщення про події в журналах Windows

UPD від 06.08.2012 (Дякуємо коментатора Roman).

У Windows 2008 / Windows 7 для управління аудитом з'явилася спеціальна утиліта auditpol.  Повний список типів об'єктів, на який можна включити аудит можна побачити за допомогою команди:

auditpol / list / subcategory: *

Як ви бачите ці об'єкти розділені на 9 категорій:

  • System
  • Logon / Logoff
  • Object Access
  • Privilege Use
  • Detailed Tracking
  • Policy Change
  • Account Management
  • DS Access
  • Account Logon

І кожна з них, відповідно, ділитися на підкатегорії. Наприклад, категорія аудиту Object Access включає в себе підкатегорію File System і щоб включити аудит для об'єктів файлової системи на комп'ютері виконаємо команду:

auditpol / set / subcategory: "File System" / failure: enable / success: enable

Відключається він відповідно командою:

auditpol / set / subcategory: "File System" / failure: disable / success: disable

Тобто якщо відключити аудит непотрібних підкатегорій, можна істотно скоротити обсяг журналу і кількості непотрібних подій.

Після того, як активований аудит доступу до файлів і папок, потрібно вказати конкретні об'єкти які будемо контролювати (у властивостях файлів і папок). Майте на увазі, що за замовчуванням настройки аудиту успадковуються на всі дочірні об'єкти (якщо не вказано інше).

Всі зібрані події можна зберігати в зовнішнє БД для ведення історії. Приклад реалізації системи: Проста система аудиту видалення файлів і папок для Windows Server.