none
Auditování přístupu ke složkám a souborům RRS feed

  • Dotaz

  • Měl bych pár dotazů k auditování přístupu k filesystému na Windows Server 2016.

    Popis situace: v GPO mám nastaveno v "Advanced Audit Policy Configuration" Audit policy "Object access" tak, že mám nakonfigurovánu položku "Audit File System"  a povoleno auditování událostí "Success" i "Failure". Na fileserveru mám sdílenou složku, kde mám pro skupinu Domain Users nastaveno auditování tak, že typ je "All" (tedy Success i Failure), aplikuje se na "This folder, Subfolders and Files" a pro testovací účely jsem povolil auditování všech přístupů (Full access).

    Do této struktury složek přistupuji (z jiné stanice, přes share) uživatelem, který je členem skupiny Domain Users a vyhodnocuji Security eventlog. A teď ty dotazy:

    1. Neloguje mi to události nezdařeného přístupu ke složce. Určité složce ve struktuře odeberu právo pro Domain Users, při pokusu uživatele o otevření složky se do ní skutečně nedostanu, ale tato událost není v Security eventlogu zaznamenána. Proč?

    2. Přestože mám nastaveno auditování všech přístupů, tedy i "List folder / Read data", nezapíše se do Security eventlogu záznam o otevření složky. Teprve, když uživatel provede akci se souborem (otevře, smaže . . .) je tato událost v eventlogu zaznamenaná. Zjistil jsem, že událost o přístupu ke složce se zaznamená jen při lokálním přístupu ke složce, nikoliv přes share. Je tedy nutné povolit i auditování sdílených položek ("Audit File Share" nebo "Audit Detailed File Share")?

    3. Jak nebo jakým nástrojem filtrovat eventlog? Příklad: bude potřeba zjistit, kdo v určitém čase přistupoval k souborům v jedné konkrétní složce. V Eventlogu mohu vytvořit XML filtr, ale podle toho co jsem zjistil, nemohu například u hodnoty "ObjectName", což je v tomto případě cesta k souboru použít operátor "like". Tedy pokud mám zalogovány události přístupu k souborům ve složce D:\Data\Ekonomika\Faktury, kdy v ObjectName je vždy celá cesta k souboru,  například D:\Data\Ekonomika\Faktury\Faktura1.pdf, jak specifikovat filtr tak, aby vyhledal všechny záznamy, kde ObjectName je D:\Data\Ekonomika\Faktury\*? 


    BB

    čtvrtek 26. září 2019 10:55