目录
为什么需要审核文件
现今,无论是小型还是大型企业,都会有自己的文件服务器。对于如今的信息化时代,信息就是数据,而数据是存储在文件服务器中。因此对于文件服务器的管理以及审核对于企业是十分重要的。首先企业要对文件服务器进行精密的授权,才不会导致文件管理混乱。再就是有效对文件实施审核,进一步确保信息数据的安全。
这里我们来谈一下文件审核
想象一下这种情况:某大学教授不道德地访问了几个重要文件,这些文件包含了微电子领域突破性研究。教授使用这些窃取的数据,创立了自己的公司,利用这些商业秘密去进行欺骗性盈利。而文件服务器审核解决方案可以使该大学免受这种知识产权被盗窃的严重影响。
由此可见文件审核对于企业是十分有必要的。
该如何启用Windows文件审核
要想对文件服务器的文件进行审核,我们就必须要启用Windows的审核策略,并且对审核的文件夹设置必要的SACL。
Windows审核策略启用方法:创建一条新的组策略,编辑组策略,点击计算机配置->Windows设置->安全设置->高级审核策略->对象访问,启用审核策略:对象访问 -> 审核文件系统(成功),审核句柄操作(成功,失败),审核文件共享(成功)
此外,还需要对审核的文件夹设置必要的SACL-
| 设置SACL的对象 | 审核适用对象 | 类型 | 访问(动作) | 应用于 |
| 需要审核的共享文件夹 | Everyone | 成功 / 失败 |
|
该文件夹、子文件夹及文件 |
| 需要审核的共享文件夹 | Everyone | 成功 / 失败 |
|
该文件夹及子文件夹 |
| 需要审核的共享文件夹 | Everyone | 成功 / 失败 |
|
只有文件 |
| 需要审核的共享文件夹 | Everyone | 失败 |
|
该文件夹及子文件夹 |
该如何查看文件操作记录
启用以上设置之后,我们在对审核的文件进行操作时,在Windows的事件查看器(eventvwr)中就会产生相应的事件。
比如事件ID 4663,此类事件表示已尝试访问了对象。更多的事件ID代表的意义可以参考https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/audit-file-system
在事件查看器中查看这些事件也是比较麻烦的,而且根据Windows的设置,一般事件日志的保存方式会选择按需覆盖,以此来节省Windows磁盘空间。如果需要日志按照我们的需要长时间保留以及系统的分析和报表查看,就需要借助第三方的工具了,比如ADAudit Plus、EventLog Analyzer等工具。
另外,需要提的一点是,既然我们都可以用第三方的工具了,那么审核策略以及SACL这些繁琐的配置我们是不是也可以借助工具进行配置或者不需要配置。答案是可以的,也有很多工具是不需要配置这些审核策略的,但是可能需要设置其他的东西,比如DataSecurity Plus是借助代理来审核文件的等等。
Windows事件日志的限制
虽然Windows文件活动事件看起来很全面,但有些事情不能仅使用事件日志来确定。以下是几个例子:
剪切和粘贴:表面上来看,这个动作像是文件的移动操作。实际上,此行为倒像是删除文件,然后再新建文件。
复制粘贴:如果此类动作是在我的计算机(非文件服务器)上以共享的方式进行操作并粘贴到我的计算机上,那么但单独查看文件服务器的事件日志是查询不到此操作具体信息的。