none
Аудит на удаление файлов/папок RRS feed

  • Вопрос

  •  

    Приятного времени суток господа!

     

    Есть DC с двумя дисками

    1. С:\ это система и там же вся информация об AD

    2. D:\ просто большой диск с кучей файлов (используется как файловый сервер)

     

    На втором диске поставил аудит на удаление файлов

    Делал так:

    На диске пр. кнопой - Properties - Security - Advanced - Auditind -Add

    Добавил туда группу Domain Users, поставил галочки Succes и Failed напротив Delete

    выставил что применить к этой папке и ко всем доченим объектам.

    Далее жму Ок - Ок - Ок

    Все !  Применилось !  Ошибок не сказал !

     

    Теперь лезу в любую папку и удаляю любой файл/папку

    и мои действия по удалению не отображаются в логах Event Viewer - Security

     

    Подскажите что я не так сделал, а может что то забыл доделать

     

    Заранее всем спасибо

     

    25 июля 2008 г. 11:19

Ответы

  • В случае с русскоязычным интерфейсом:
    Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Политика аудита.

    И далее: Аудит доступа к объектам (в твоём случае нужен будет аудит отказов).

    Смотрим естественно в той групповой политике, которая применяется к контроллерам домена (скорее всего Default Domain Controllers Policy).
    25 июля 2008 г. 12:33
  • В случае с англоязычым интерфейсом:
    Computer Configuration - Windows Settings - Security Settings - Local Policies - Audit Policy.
    И далее: Audit object access (Failure)
    25 июля 2008 г. 12:41

Все ответы

  • В групповой политике Audit Object Access выставлен?

    25 июля 2008 г. 11:31
  •  dmirk написано:

    В групповой политике Audit Object Access выставлен?

    Скорее НЕТ, чем ДА

    А не подскажите поподробнее в каком разделе это смотреть?

    25 июля 2008 г. 12:14
  • В случае с русскоязычным интерфейсом:
    Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Политика аудита.

    И далее: Аудит доступа к объектам (в твоём случае нужен будет аудит отказов).

    Смотрим естественно в той групповой политике, которая применяется к контроллерам домена (скорее всего Default Domain Controllers Policy).
    25 июля 2008 г. 12:33
  • В случае с англоязычым интерфейсом:
    Computer Configuration - Windows Settings - Security Settings - Local Policies - Audit Policy.
    И далее: Audit object access (Failure)
    25 июля 2008 г. 12:41
  •  

    Спасибо, заработало
    25 июля 2008 г. 12:45
  •  АндрейКуклин написано:
    В случае с русскоязычным интерфейсом:

    И далее: Аудит доступа к объектам (в твоём случае нужен будет аудит отказов).

    почему только аудит отказов то? когда ему нужно мониторить - кто удалял с диска. доступ на удаление я так понял есть.

    поэтому аудит успехов тоже надо включать.

    1 августа 2008 г. 4:18
  •  

    Ну, то, что надо аудит успеха и отказа это я сообразил :-)

     

    Появился другой вопрос

    После того как я все это сделал, все здорво работает, но на компах пользователей стало появляться сообщение о том, что журнал переполнен и вход разрешен только админу.

    Вот этого последствия я не ожидал. Журнал безопасности пестрит сообщениями, чищу его и пользователь может работать спокойно еще 2 дня, пока журнал не забъется.

    Что делать? как быть?

    1 августа 2008 г. 5:38
  • Видимо вы политику с аудитом применили для всех доменных компьютеров. А надо было (судя по первому посту) только на DC

    Поэтому варианта два:

    1. применить политику только к DC

    2. задать в политике автоматическое удаление логов при заполнении журнала

    1 августа 2008 г. 5:44
  • судя по всему у пользователей стоят ХР. там журнал безопасности быстро переполняется. Если Вам нужен аудит и там, то выставите очистку журнала через день, например. Если на клиентских машинах аудит не нужен, то просто примените политику не ко всем компам, а только к тем, коротые Вас интересуют.
    1 августа 2008 г. 6:36
  • размер журнала тоже можно подредактировать
    1 августа 2008 г. 11:02
  • dmirk написал:

    Видимо вы политику с аудитом применили для всех доменных компьютеров. А надо было (судя по первому посту) только на DC

    Поэтому варианта два:

    1. применить политику только к DC

    2. задать в политике автоматическое удаление логов при заполнении журнала



    А как применить политику только к DC? Ведь групповых политик насколько я знаю много - это и Group Policy Object Editor и Domain Security Policy и Domain Controller Security Policy и Default Domain Policy - какая именно применяется только на этот DC?
    Не могу стоять когда другие работают, пойду полежу...
    4 марта 2009 г. 16:02
  • Объект каталога "контроллер домена" ничем от объектов "компьютер" и "пользователь" в плане взаимодействия с объектами групповых политик не отличается. Поэтому правильнее сделать следующим образом. Создать два объекта групповой политики, один из которых назначает политики журнала событий, а другой - политики аудита. Далее, с помощью фильтров безопасности определить целевые компьютеры этих политик и установить их связь с контейнером "Domain Controllers".


    KYI13, мой Вам совет, прежде чем применять какие-либо политики, тестируйте их влияние на компьютерах/пользователях в отдельно созданном для этой цели организационном подразделении. Используйте моделирование групповой политики. Да, вот еще что, создавайте объекты групповых политик согласно их назначению и именуйте их очевидно.


    Спасибо моей работе, TechNet'у, блогам специалистов, моей жене Кате, Козлову С.В., Муравлянникову Н.А., Шапиро Л.В. за мои знания!
    4 марта 2009 г. 17:22
    Отвечающий