Jak poddawać inspekcji nieudane próby dostępu do udostępnianego folderu?

Monitorowanie nieudanych prób operacji na udostępnianym folderze jest rozsądnym postępowaniem. Dzięki zapisowi wszystkich nieudanych prób dostępu do pliku dochodzenie na wypadek naruszenia zabezpieczeń danych staje się dużo łatwiejsze. Może to również pomóc zidentyfikować urządzenie klienta, z którego wyszły nieudane próby, a tym samym uzyskać informacje o naruszonym systemie. Oto, jak można przeprowadzić identyfikację za pomocą metod inspekcji natywnej:

Pobierz BEZPŁATNIE Bezpłatna, w pełni funkcjonalna 30-dniowa wersja próbna
  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Raporty ADAudit Plus tworzone jednym kliknięciem w celu śledzenia nieudanych prób dostępu do udostępnianego folderu

Oprogramowanie ADAudit Plus oferuje generowane po jednym kliknięciu szczegółowe raporty o próbach dostępu do plików/folderów. Raporty te mogą być eksportowane w dowolnym formacie, takim jak CSV, PDF, XML itp. Alerty w czasie rzeczywistym mogą być przesyłane na adres e-mail lub telefon, aby użytkownik był informowany o zmianach wprowadzonych do kluczowego pliku lub folderu. Oto, jak można uzyskać dostęp do tych raportów:

Uruchom narzędzie ADAudit Plus i zaloguj się → przejdź do zakładki File Audit → w obszarze File Audit Reports → następujące raporty opisują nieudane próby działania na udostępnianych folderach:

    1. Nieudane próby odczytu pliku
    2. Nieudane próby zapisu pliku
    3. Nieudane próby usunięcia pliku
    W raportach uwzględniane są poniższe informacje szczegółowe:
    1. Nazwa pliku.
    2. Nazwa użytkownika, który złożył nieprawidłowe żądanie.
    3. Czas złożenia żądania.
    4. Nazwa serwera, na którym znajduje się plik.
    failed attempts report Aby sklasyfikować nieudane próby dostępu według udostępnianych elementów, przejdź do zakładki Share Based Reports i wybierz raport Failed attempts to Read File. Wybierz udostępniany element, dla którego chcesz śledzić zmiany. Zostaną wyświetlone szczegóły wszystkich zmian wprowadzonych do tego udostępnienia, podobnie, jak na powyższym raporcie.

Metoda natywna:

  • Krok 1: Włącz zasadę "Audit object access”
  • Uruchom Group Policy Management Console (Uruchom --> gpedit.msc).

  • Utwórz nowy obiekt zasad grupy (GPO) i połącz go z domeną zawierającą serwer plików lub edytuj istniejący obiekt GPO połączony z odpowiednią domeną.

  • Przejdź do obszaru Computer Configuration -> Windows Settings -> Security Settings ->Local Policies -> Audit Policy.

  • W obszarze Audit Policy wybierz 'Audit object access' i włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj plik lub folder, dla którego chcesz śledzić nieudane próby dostępu. Kliknij go prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced.

    monitor-file-and-folder-access-on-windows-file-server-security-properties
  • W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.

    advanced-security-settings-active-directory
  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wprowadź nazwy użytkowników, których chcesz poddać inspekcji, gdy uzyskują dostęp do tego pliku/folderu.
    2. Type: wybierz typ dostępu, który chcesz poddać inspekcji. Najlepiej poddawać inspekcji "All” zmiany.
    3. Applies to: wybierz, czy chcesz poddać inspekcji dostęp wyłącznie do tego pliku czy do wszystkich podfolderów i plików.
    4. Basic permissions: wybierz typy uprawnień, które chcesz poddać inspekcji. Aby zrealizować konkretne potrzeby, kliknij 'Advanced permissions' i wybierz uprawnienia 'Traverse Folder/Execute File', 'List Folder/Read data', 'Read attributes', oraz 'Read extended attributes' permissions.
    auditing-entry-file-access-auditing
  • Krok 3: Wyświetl dziennik inspekcji w Event Viewer

    Za każdym razem, gdy nie powiedzie się próba uzyskania przez użytkownika dostępu do wybranego pliku/folderu, w Event Viewer zapisywany jest dziennik zdarzenia. Aby wyświetlić dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowej części, tak jak pokazano to poniżej.

    audit-failed-access-attempts-to-shared-folder-security-windows-log
  • Aby przefiltrować dzienniki zdarzeń tak, by wyświetlać jedynie dzienniki dotyczące zmian uprawnień do pliku/folderu, wybierz znajdującą się po prawej stronie opcję „Filtruj bieżący dziennik”. Wyszukaj zdarzenia o identyfikatorach ID 4656 i 4663, które wskazują na zmiany uprawnień do pliku/folderu. Możesz zobaczyć, kto uzyskał dostęp do pliku w polu "Account Name" oraz czas dostępu w polu "Logged”.

    audit-failed-access-attempts-to-shared-folder-event-properties-event4663
  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Raporty ADAudit Plus tworzone jednym kliknięciem w celu śledzenia nieudanych prób dostępu do udostępnianego folderu

Oprogramowanie ADAudit Plus oferuje generowane po jednym kliknięciu szczegółowe raporty o próbach dostępu do plików/folderów. Raporty te mogą być eksportowane w dowolnym formacie, takim jak CSV, PDF, XML itp. Alerty w czasie rzeczywistym mogą być przesyłane na adres e-mail lub telefon, aby użytkownik był informowany o zmianach wprowadzonych do kluczowego pliku lub folderu. Oto, jak można uzyskać dostęp do tych raportów:

Uruchom narzędzie ADAudit Plus i zaloguj się → przejdź do zakładki File Audit → w obszarze File Audit Reports → następujące raporty opisują nieudane próby działania na udostępnianych folderach:

    1. Nieudane próby odczytu pliku
    2. Nieudane próby zapisu pliku
    3. Nieudane próby usunięcia pliku
    W raportach uwzględniane są poniższe informacje szczegółowe:
    1. Nazwa pliku.
    2. Nazwa użytkownika, który złożył nieprawidłowe żądanie.
    3. Czas złożenia żądania.
    4. Nazwa serwera, na którym znajduje się plik.
    failed attempts report Aby sklasyfikować nieudane próby dostępu według udostępnianych elementów, przejdź do zakładki Share Based Reports i wybierz raport Failed attempts to Read File. Wybierz udostępniany element, dla którego chcesz śledzić zmiany. Zostaną wyświetlone szczegóły wszystkich zmian wprowadzonych do tego udostępnienia, podobnie, jak na powyższym raporcie.

Metoda natywna:

  • Krok 1: Włącz zasadę "Audit object access”
  • Uruchom Group Policy Management Console (Uruchom --> gpedit.msc).

  • Utwórz nowy obiekt zasad grupy (GPO) i połącz go z domeną zawierającą serwer plików lub edytuj istniejący obiekt GPO połączony z odpowiednią domeną.

  • Przejdź do obszaru Computer Configuration -> Windows Settings -> Security Settings ->Local Policies -> Audit Policy.

  • W obszarze Audit Policy wybierz 'Audit object access' i włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj plik lub folder, dla którego chcesz śledzić nieudane próby dostępu. Kliknij go prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced.

    monitor-file-and-folder-access-on-windows-file-server-security-properties
  • W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.

    advanced-security-settings-active-directory
  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wprowadź nazwy użytkowników, których chcesz poddać inspekcji, gdy uzyskują dostęp do tego pliku/folderu.
    2. Type: wybierz typ dostępu, który chcesz poddać inspekcji. Najlepiej poddawać inspekcji "All” zmiany.
    3. Applies to: wybierz, czy chcesz poddać inspekcji dostęp wyłącznie do tego pliku czy do wszystkich podfolderów i plików.
    4. Basic permissions: wybierz typy uprawnień, które chcesz poddać inspekcji. Aby zrealizować konkretne potrzeby, kliknij 'Advanced permissions' i wybierz uprawnienia 'Traverse Folder/Execute File', 'List Folder/Read data', 'Read attributes', oraz 'Read extended attributes' permissions.
    auditing-entry-file-access-auditing
  • Krok 3: Wyświetl dziennik inspekcji w Event Viewer

    Za każdym razem, gdy nie powiedzie się próba uzyskania przez użytkownika dostępu do wybranego pliku/folderu, w Event Viewer zapisywany jest dziennik zdarzenia. Aby wyświetlić dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowej części, tak jak pokazano to poniżej.

    audit-failed-access-attempts-to-shared-folder-security-windows-log
  • Aby przefiltrować dzienniki zdarzeń tak, by wyświetlać jedynie dzienniki dotyczące zmian uprawnień do pliku/folderu, wybierz znajdującą się po prawej stronie opcję „Filtruj bieżący dziennik”. Wyszukaj zdarzenia o identyfikatorach ID 4656 i 4663, które wskazują na zmiany uprawnień do pliku/folderu. Możesz zobaczyć, kto uzyskał dostęp do pliku w polu "Account Name" oraz czas dostępu w polu "Logged”.

    audit-failed-access-attempts-to-shared-folder-event-properties-event4663

Request Support

Thanks

One of our solution experts will get in touch with you shortly.

    Proszę wprowadzić prawidłowy adres e-mail
  • Przez kliknięcie „Prześlij” zgadzasz się na przetwarzania danych osobowych zgodnie z naszą polityką prywatności.

Rozwiązanie do przeprowadzania audytu zmian i raportowania Active Directory w czasie rzeczywistym.

Rozpocznij darmowy okres próbny

Zoho Corp. Wszelkie prawa zastrzeżone.