Jak wykryć, kto skasował plik z serwera plików

Spis treści:

Pierwszym krokiem w śledzeniu, kto usunął plik z serwerów plików, jest włączenie inspekcji. Inspekcja pozwala na wyznaczenie w systemie Windows określonego zestawu zmian, które mają być monitorowane, tak aby tylko te zdarzenia były rejestrowane w dzienniku bezpieczeństwa.

Aby włączyć inspekcję zdarzeń związanych z dostępem do obiektów, wykonaj poniższe czynności:

A. Zdefiniuj zasady inspekcji.

1 Uruchom gpmc.msc (konsolę zarządzania zasadami grupy).
2 Utwórz nowy obiekt zasad grupy.
3 Kliknij Edytuj i przejdź do części Konfiguracja komputera > Zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zaawansowana konfiguracja zasad inspekcji > Zasady inspekcji. W części Zasady inspekcji znajdziesz konkretne ustawienia dotyczące dostępu do obiektów.
Dostęp do obiektów:
- Przeprowadź inspekcję systemu plików > Zdefiniuj > Powodzenie i brak powodzenia.
- Zmiana dojścia do inspekcji > Zdefiniuj > Powodzenie i brak powodzenia.
4 Aby połączyć nowy obiekt zasad grupy z domeną, kliknij prawym przyciskiem myszy swoją domenę, wybierz Połącz istniejący obiekt zasad grupy i wybierz utworzony obiekt zasad grupy.

Uwaga: domyślnie system Windows aktualizuje zasady grupy co 90 minut. Jeśli chcesz, aby zmiany zostały natychmiast odzwierciedlone, możesz wymusić aktualizację w tle wszystkich ustawień zasad grupy, wykonując następujące polecenie w wierszu polecenia Windows: gpupdate /force

B. Zdefiniuj systemową listę kontroli dostępu (SACL).

1 Przejdź do części udostępnianie pliku, kliknij prawym przyciskiem myszy i wybierz Właściwości. Na karcie Zabezpieczenia przejdź do opcji Zaawansowane > Inspekcja i kliknij Dodaj.
2 To spowoduje wyświetlenie innego okna, gdzie można wybrać następne opcje: Podmiot zabezpieczeń: Wszyscy. Typ: Wszystko. Stosuje się do: Tego folderu, podfolderów i plików.
3 Następnie wybierz opcję Uprawnienia zaawansowane: Usuń podfoldery i pliki, a następnie wybierz Usuń.

Aby wyświetlić zdarzenia, otwórz podgląd zdarzeń i przejdź do części Dzienniki systemu Windows > Zabezpieczenia. Tutaj są dostępne szczegóły wszystkich zdarzeń, dla których włączono możliwość przeprowadzenia inspekcji. W tym miejscu można zdefiniować rozmiar dziennika zabezpieczeń i wybrać zastępowanie starszych zdarzeń, tak aby nowe zdarzenia były rejestrowane, gdy dziennik jest pełny.

Track user logon logoff active directory

Informacje o identyfikatorach zdarzeń związanych z logowaniem i wylogowaniem

Identyfikator zdarzenia 4663 — podjęto próbę uzyskania dostępu do obiektu

Identyfikator zdarzenia 4663 oznacza, że na obiekcie wykonano określoną operację. Obiektem może być system plików, jądro, obiekt rejestru lub obiekt systemu plików na nośniku wymiennym lub urządzeniu.
Identyfikator zdarzenia 4660 — obiekt został usunięty

Event ID 4660 is generated when an object is deleted. The object could be a file system, kernel, or registry object. This event does not contain the name of the deleted object.

Wspólne identyfikatory wymagane do powiązania tych zdarzeń to 4663 w przypadku identyfikatorów zdarzenia i 4660 w przypadku identyfikatorów obsługi. Pomogą w identyfikacji obiektu, który został usunięty w przypadku identyfikatora 4663.

Ograniczenia dotyczące natywnych narzędzi inspekcji

Nie ma centralnego repozytorium dla wszystkich dzienników inspekcji zmian. Dzienniki akcji plików i folderów są rejestrowane tylko w dzienniku zabezpieczeń danych komputerów (stacji roboczych lub serwerów Windows).
Istnieje limit rozmiaru dzienników zabezpieczeń w systemie Windows, co może być poważnym problemem w przypadku zabezpieczeń.
Windows nie oferuje opcji raportowania zdarzeń, a przy słabych filtrach wyszukiwania analiza głównej przyczyny staje się wyzwaniem.
Brak niezawodnego systemu powiadamiania o zdarzeniach i reagowania na zagrożenia w czasie rzeczywistym jest poważnym ograniczeniem.

Łatwiejszy sposób na wykrycie, kto usunął plik z serwerów plików

Narzędzie takie jak ADAudit Plus przeprowadza inspekcję serwerów plików Windows, klastrów trybu failover, NetApp i urządzeń magazynujących EMC w celu udokumentowania zmian w plikach i folderach. Pomaga również monitorować konfiguracje systemu, pliki programów i zmiany folderów, aby zachować integralność plików w sieci.

Z ADAudit Plus możesz natychmiast wyświetlić raporty dotyczące:

odczytu plików;
akcji zapisywania plików;
modyfikacji plików;
utworzonych, usuniętych, przeniesionych plików, ich zmian nazwy i kopiowania oraz wklejania;
zmian uprawnień;
prób uzyskania dostępu, które nie powiodły się i nie tylko.

Te informacje są przekazywane w łatwym do zrozumienia interfejsie internetowym, w którym są wyświetlane dane statystyczne w formie wykresów, grafów i widoku listy wstępnie zdefiniowanych i niestandardowych raportów.

WYPRÓBUJ TERAZ ZAMÓW BEZPŁATNY, SPERSONALIZOWANY POKAZ

Natychmiast wyświetlaj dokładne wykresy i raporty na wszystkich serwerach Windows z użyciem ADAudit Plus.

ADAudit Plus jest internetowym, działającym w czasie rzeczywistym narzędziem do inspekcji zmian w Active Directory, które pomaga:

śledzić wszystkie zmiany obiektów Windows AD, w tym te dotyczące użytkowników, grup, komputerów, obiektów zasad grupy i jednostek organizacyjnych;
monitorować aktywności logowania i wylogowywania użytkowników, w tym także każdą próbę logowania, która powiodła się i nie powiodła się na stacjach roboczychw sieci;
prowadzić inspekcje serwerów plików Windows, klastrów trybu failover, NetApp, i urządzeń magazynujących EMC w celu udokumentowania zmian w plikach i folderach;
monitorować konfiguracje systemu, pliki programów i zmiany folderów, aby zachować integralność plików;
śledzić zmiany na serwerach Windows, drukarkach, i urządzeniach USB na podstawie podsumowania zmian.

Aby dowiedzieć się więcej o tym, jak ADAudit Plus może pomóc ze wszystkimi potrzebami związanymi z inspekcją Active Directory, odwiedź: https://www.manageengine.com/pl/active-directory-audit/

Jak wykryć, kto usunął plik z serwerów plików?

Inspekcja oraz monitorowanie serwera plików Windows