Jak dokonać inspekcji zmian dostępu do udostępnianego folderu?

Aby spełniać wymogi dotyczące zgodności i zapewniać bezpieczeństwo danych, należy obowiązkowo śledzić wszystkie przypadki uzyskania dostępu do pliku/folderu zawierającego dane wrażliwe. Śledzenie dostępu użytkowników do udostępnianych folderów zapewnia także administratorom skuteczniejsze narzędzie podczas dochodzenia w sprawie ataków i prób ataków. Poniżej pokazujemy, w jaki sposób przeprowadzić inspekcję dostępu użytkowników do udostępnianego foldera przechowywanego na serwerze plików, korzystając z metod inspekcji natywnej.

Pobierz BEZPŁATNIE Bezpłatna, w pełni funkcjonalna 30-dniowa wersja próbna

  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Kompleksowe raporty pozwalające śledzić dostęp do pliku/folderu za pomocą ADAudit Plus

ADAudit Plus to rozwiązanie IT ds. bezpieczeństwa i zgodności, które oferuje funkcję tworzenia całościowych raportów, aby skonsolidować wszystkie potrzebne informacje na temat dostępu do plików lub folderów na serwerach plików. Raporty te można eksportować oraz planować ich automatyczne tworzenie i dostarczanie na skrzynkę pocztową o wyznaczonych porach. Można również skonfigurować alerty z powiadomieniami o żądaniach dostępu do kluczowych plików/folderów. Dzięki temu można natychmiast podejmować działanie. Oto, jak można uzyskać dostęp do tych raportów za pomocą ADAudit Plus:

Uruchom ADAudit Plus i zaloguj się → przejdź do zakładki File Audit → następnie do obszaru File Audit Reports i wybierz opcję File Read Access.

  • file access report
    • Oto szczegółowe informacje uwzględniane w tym raporcie:
      1. Do którego pliku uzyskano dostęp.
      2. Kto uzyskał dostęp do pliku.
      3. Kiedy uzyskano dostęp do pliku.
      4. Z którego urządzenia klienta uzyskano dostęp do pliku.
      5. Nazwa serwera, na którym jest przechowywany plik.
    Można również pozyskać informacje na temat nieudanych prób odczytu, zapisu lub usunięcia pliku. Raporty zawierają niżej podane informacje szczegółowe:
    1. Nazwa pliku.
    2. Nazwa użytkownika, który złożył nieprawidłowe żądanie.
    3. Czas złożenia żądania obsługi. Nazwa serwera, na którym znajduje się plik.
     Dzięki zapisowi wszystkich prób dostępu do pliku (w tym nieudanych prób), dochodzenie na wypadek naruszenia zabezpieczeń danych staje się dużo łatwiejsze. Można śledzić wszystkich użytkowników, którzy uzyskali dostęp do pliku, aby wykryć ewentualne próby nieuprawnionego dostępu. Może to również pomóc zidentyfikować urządzenie klienta, z którego wyszły nieudane próby ataku, a tym samym wykryć informacje o naruszonym systemie.

Metoda natywna

  • Stap 1: Schakel hKrok 1: Włącz zasadę Audit object access

  • Uruchom Group Policy Management Console (Uruchom --> gpedit.msc).

  • Utwórz nowy obiekt zasad grupy (GPO) i połącz go z domeną zawierającą serwer plików lub edytuj istniejący obiekt GPO połączony z odpowiednią domeną.

  • Przejdź do obszaru Computer Configuration -> Windows Settings -> Security Settings ->Local Policies -> Audit Policy.

  • W obszarze Audit Policy wybierz 'Audit object access' i włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    audit-shared-folder-access-changes-security-setting-audit-object-access

  • Przejdź do obszaru Advanced Audit Policy Configuration -> Audit Policies-> Object access. Włącz inspekcję w celu 'Audit file system' i 'Audit handle manipulation'.

  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj plik lub folder, w przypadku którego chcesz śledzić wszystkie dostępy. Kliknij go prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.

    advanced-security-settings-active-directory

  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wpisz nazwy użytkowników, których dostępy chcesz poddać inspekcji.
    2. Type: wybierz typ dostępu, który chcesz poddać inspekcji. Najlepiej poddawać inspekcji All zmiany.
    3. Applies to: wybierz, czy chcesz poddać inspekcji dostęp wyłącznie do tego pliku czy do wszystkich podfolderów i plików.
    4. Basic permissions: wybierz typy uprawnień, które chcesz poddać inspekcji. Kliknij przycisk Advanced permissions i wybierz “Traverse Folder/Execute File”, “List Folder/Read data”, “Read attributes”, oraz “Read extended attributes”.
    auditing-entry-file-access-auditing
  • Krok 3: Wyświetl dziennik inspekcji w Event Viewer

    Za każdym razem, gdy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia uprawnienia do niego, w Event Viewer zapisywany jest dziennik zdarzenia. Aby wyświetlić dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowej części, tak jak pokazano to poniżej.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Aby przefiltrować dzienniki zdarzeń tak, by wyświetlać jedynie dzienniki dotyczące zmian uprawnień do pliku/folderu, wybierz znajdującą się po prawej stronie opcję Filter Current Log. Wyszukaj zdarzenia o identyfikatorach ID 4656 i 4663, które wskazują na zmiany uprawnień do pliku/folderu. Możesz zobaczyć, kto uzyskał dostęp do pliku w polu “Account Name” oraz czas dostępu w polu “Logged”.

  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Kompleksowe raporty pozwalające śledzić dostęp do pliku/folderu za pomocą ADAudit Plus

ADAudit Plus to rozwiązanie IT ds. bezpieczeństwa i zgodności, które oferuje funkcję tworzenia całościowych raportów, aby skonsolidować wszystkie potrzebne informacje na temat dostępu do plików lub folderów na serwerach plików. Raporty te można eksportować oraz planować ich automatyczne tworzenie i dostarczanie na skrzynkę pocztową o wyznaczonych porach. Można również skonfigurować alerty z powiadomieniami o żądaniach dostępu do kluczowych plików/folderów. Dzięki temu można natychmiast podejmować działanie. Oto, jak można uzyskać dostęp do tych raportów za pomocą ADAudit Plus:

Uruchom ADAudit Plus i zaloguj się → przejdź do zakładki File Audit → następnie do obszaru File Audit Reports i wybierz opcję File Read Access.

  • file access report
    • Oto szczegółowe informacje uwzględniane w tym raporcie:
      1. Do którego pliku uzyskano dostęp.
      2. Kto uzyskał dostęp do pliku.
      3. Kiedy uzyskano dostęp do pliku.
      4. Z którego urządzenia klienta uzyskano dostęp do pliku.
      5. Nazwa serwera, na którym jest przechowywany plik.
    Można również pozyskać informacje na temat nieudanych prób odczytu, zapisu lub usunięcia pliku. Raporty zawierają niżej podane informacje szczegółowe:
    1. Nazwa pliku.
    2. Nazwa użytkownika, który złożył nieprawidłowe żądanie.
    3. Czas złożenia żądania obsługi. Nazwa serwera, na którym znajduje się plik.
     Dzięki zapisowi wszystkich prób dostępu do pliku (w tym nieudanych prób), dochodzenie na wypadek naruszenia zabezpieczeń danych staje się dużo łatwiejsze. Można śledzić wszystkich użytkowników, którzy uzyskali dostęp do pliku, aby wykryć ewentualne próby nieuprawnionego dostępu. Może to również pomóc zidentyfikować urządzenie klienta, z którego wyszły nieudane próby ataku, a tym samym wykryć informacje o naruszonym systemie.

Metoda natywna

  • Stap 1: Schakel hKrok 1: Włącz zasadę Audit object access

  • Uruchom Group Policy Management Console (Uruchom --> gpedit.msc).

  • Utwórz nowy obiekt zasad grupy (GPO) i połącz go z domeną zawierającą serwer plików lub edytuj istniejący obiekt GPO połączony z odpowiednią domeną.

  • Przejdź do obszaru Computer Configuration -> Windows Settings -> Security Settings ->Local Policies -> Audit Policy.

  • W obszarze Audit Policy wybierz 'Audit object access' i włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    audit-shared-folder-access-changes-security-setting-audit-object-access

  • Przejdź do obszaru Advanced Audit Policy Configuration -> Audit Policies-> Object access. Włącz inspekcję w celu 'Audit file system' i 'Audit handle manipulation'.

  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj plik lub folder, w przypadku którego chcesz śledzić wszystkie dostępy. Kliknij go prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.

    advanced-security-settings-active-directory

  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wpisz nazwy użytkowników, których dostępy chcesz poddać inspekcji.
    2. Type: wybierz typ dostępu, który chcesz poddać inspekcji. Najlepiej poddawać inspekcji All zmiany.
    3. Applies to: wybierz, czy chcesz poddać inspekcji dostęp wyłącznie do tego pliku czy do wszystkich podfolderów i plików.
    4. Basic permissions: wybierz typy uprawnień, które chcesz poddać inspekcji. Kliknij przycisk Advanced permissions i wybierz “Traverse Folder/Execute File”, “List Folder/Read data”, “Read attributes”, oraz “Read extended attributes”.
    auditing-entry-file-access-auditing
  • Krok 3: Wyświetl dziennik inspekcji w Event Viewer

    Za każdym razem, gdy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia uprawnienia do niego, w Event Viewer zapisywany jest dziennik zdarzenia. Aby wyświetlić dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowej części, tak jak pokazano to poniżej.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Aby przefiltrować dzienniki zdarzeń tak, by wyświetlać jedynie dzienniki dotyczące zmian uprawnień do pliku/folderu, wybierz znajdującą się po prawej stronie opcję Filter Current Log. Wyszukaj zdarzenia o identyfikatorach ID 4656 i 4663, które wskazują na zmiany uprawnień do pliku/folderu. Możesz zobaczyć, kto uzyskał dostęp do pliku w polu “Account Name” oraz czas dostępu w polu “Logged”.

Poproś o wsparcie

Thanks

One of our solution experts will get in touch with you shortly.

    Proszę wprowadzić prawidłowy adres e-mail
  • Przez kliknięcie „Prześlij” zgadzasz się na przetwarzania danych osobowych zgodnie z naszą polityką prywatności.

Rozwiązanie do przeprowadzania audytu zmian i raportowania Active Directory w czasie rzeczywistym.

Rozpocznij darmowy okres próbny

Zoho Corporation Pvt. Ltd. Wszelkie prawa zastrzeżone.