Jak monitorować zmiany w uprawnieniach do plików i folderów?

Administratorzy muszą monitorować uprawnienia dostępu do plików/folderów, pilnując, żeby nieuczciwi użytkownicy nie manipulowali kluczowymi danymi i bez upoważnienia nie wprowadzali zmian w uprawnieniach.

Pobierz BEZPŁATNIE Bezpłatna, w pełni funkcjonalna 30-dniowa wersja próbna
  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Uproszczone monitorowanie zmian uprawnień za pomocą ADAudit Plus

Dzięki prostym, łatwym do odczytania raportom ADAudit Plus wystarczy jedno kliknięcie, aby pobrać pełne informacje na temat tego, kto zmienił uprawnienia do pliku/folderu oraz kiedy to zrobił i za pomocą jakiego urządzenia. Wymieniona jest również dokładna wartość zmienionych uprawnień. Raporty te można eksportować oraz planować ich automatyczne tworzenie o wyznaczonych porach i dostarczanie na skrzynkę pocztową. Ponadto, można skonfigurować alerty informujące o zmianie uprawnień do kluczowych plików/folderów. Dzięki temu możliwe jest natychmiastowe podjęcie działania.

Zaloguj się do ADAudit Plus → przejdź do zakładki File Audit → w obszarze File Audit Reports → przejdź do Folder Permission Changes report.

  • folder permission report Ten raport zawiera następujące informacje:
    1. Nazwa pliku/folderu i jego lokalizacja na serwerze.
    2. Nazwa użytkownika, który zmodyfikował uprawnienie.
    3. Wartości nowej i starej listy ACL.
    4. Zmodyfikowane uprawnienia.
    5. Serwer, na którym znajduje się plik/folder.
    6. Czas zmiany uprawnienia.
    Aby zrozumieć, co dokładnie zmieniono na liście ACL pliku/folderu, kliknij łącze "More” w polu "Permission Modified”. permission changes report Szczegółowo opisywane są tutaj również nowe i stare wartości listy ACL.

    Stara lista ACL:

    old acl

    Nowa lista ACL:

    new acl Pamiętaj, że w tym przykładzie Mark Lloyd otrzymał pełną kontrolę podczas zmiany tego uprawnienia. Wiedząc o tym, możesz przeprowadzić dalsze dochodzenie, jeśli uważasz, że zmiana uprawnienia jest próbą oszustwa. Aby wyszukać zmienione uprawnienia na podstawie serwera, na którym znajdują się pliki/foldery, wystarczy przełączyć na opcję "Server Based Reports" i przejść do raportów "Folder Permissions Changed report". Wyświetlany jest podobny raport, filtrowany na podstawie wybranego serwera. Aby wyświetlić zmiany wprowadzone przez konkretnego użytkownika, przejdź do User Based Reports i wybierz raport Folder Permissions Changed.

Inspekcja natywna

Oto, jak dzięki inspekcji natywnej można monitorować zmiany w uprawnieniach do plików i folderów:

  • Krok 1: Włącz zasady Audit Object Access

    Otwórz Local Security Policy. Przejdź do Security Settings i wybierz Local Policies.

    monitor-changes-to-files-and-folder-permissions-enable-audit-object-access-policy-local-policies
  • W obszarze Audit Policy wybierz Audit Object Access i włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    monitor-changes-to-files-and-folder-permissions-audit-object-access
  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj plik lub folder, dla którego chcesz śledzić zmiany uprawnień. Kliknij prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij przycisk Advanced.

    monitor-changes-to-files-and-folder-permissions-edit-auditing-entry
  • W Advanced Security Settings dotyczących okna usługi Active Directory przejdź do zakładki Auditing i kliknij przycisk Add, aby dodać nowy wpis inspekcji.

    advanced-security-settings-active-directory
  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wpisz nazwy użytkowników, których dostęp ma zostać poddany inspekcji.
    2. Type: wybierz typ dostępu, który ma zostać poddany inspekcji. Inspekcji warto poddać "All” zmiany.
    3. Applies to: wybierz, czy chcesz poddać inspekcji zmiany uprawnień tylko do tego pliku, czy do wszystkich podfolderów i plików.
    4. Basic permissions: wybierz typy uprawnień, które mają zostać poddane inspekcji. Na potrzeby specjalnych potrzeb kliknij funkcję "Advanced permissions” i wybierz polecenie "Change permissions”.
    monitor-changes-to-files-and-folder-permissions-auditing-entry-for-active-directory
  • Krok 3: Wyświetlaj dzienniki inspekcji w Event Viewer

    Za każdym razem kiedy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia w nim poziom uprawnień, w Event Viewer jest zapisywany dziennik zdarzeń. Aby wyświetlić taki dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowym okienku, jak widać poniżej.

    audit-failed-access-attempts-to-shared-folder-security-windows-log
  • Aby filtrować dzienniki zdarzeń i wyświetlać tylko dzienniki dotyczące zmian uprawnień do plików/folderów, wybierz w prawym okienku opcję Filter Current Log. Wystarczy wyszukać identyfikator zdarzenia 4670, który wskazuje zmianę uprawnień do pliku/folderu.

    monitor-changes-to-files-and-folder-permissions-indicates-file-folder-permission-changes
  • W środkowym oknie są wyświetlane wszystkie zmiany uprawnień wprowadzone do plików/folderów. Kliknij dowolny z nich i wyświetl jego właściwości.

    monitor-changes-to-files-and-folder-permissions-permission-changes-made-files-folders
  • Aby uzyskać więcej informacji na temat dokładnych zmienionych uprawnień, możesz sprawdzić stary i nowy deskryptor zabezpieczeń.

    monitor-changes-to-files-and-folder-permissions-exact-permission

Inspekcja natywna wydaje Ci się zbyt skomplikowana?

Uprość inspekcję serwera plików i tworzenie raportów, wybierając ADAudit Plus.

Pobierz darmową wersję próbną W pełni funkcjonalna 30-dniowa wersja próbna
  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Uproszczone monitorowanie zmian uprawnień za pomocą ADAudit Plus

Dzięki prostym, łatwym do odczytania raportom ADAudit Plus wystarczy jedno kliknięcie, aby pobrać pełne informacje na temat tego, kto zmienił uprawnienia do pliku/folderu oraz kiedy to zrobił i za pomocą jakiego urządzenia. Wymieniona jest również dokładna wartość zmienionych uprawnień. Raporty te można eksportować oraz planować ich automatyczne tworzenie o wyznaczonych porach i dostarczanie na skrzynkę pocztową. Ponadto, można skonfigurować alerty informujące o zmianie uprawnień do kluczowych plików/folderów. Dzięki temu możliwe jest natychmiastowe podjęcie działania.

Zaloguj się do ADAudit Plus → przejdź do zakładki File Audit → w obszarze File Audit Reports → przejdź do Folder Permission Changes report.

  • folder permission report Ten raport zawiera następujące informacje:
    1. Nazwa pliku/folderu i jego lokalizacja na serwerze.
    2. Nazwa użytkownika, który zmodyfikował uprawnienie.
    3. Wartości nowej i starej listy ACL.
    4. Zmodyfikowane uprawnienia.
    5. Serwer, na którym znajduje się plik/folder.
    6. Czas zmiany uprawnienia.
    Aby zrozumieć, co dokładnie zmieniono na liście ACL pliku/folderu, kliknij łącze "More” w polu "Permission Modified”. permission changes report Szczegółowo opisywane są tutaj również nowe i stare wartości listy ACL.

    Stara lista ACL:

    old acl

    Nowa lista ACL:

    new acl Pamiętaj, że w tym przykładzie Mark Lloyd otrzymał pełną kontrolę podczas zmiany tego uprawnienia. Wiedząc o tym, możesz przeprowadzić dalsze dochodzenie, jeśli uważasz, że zmiana uprawnienia jest próbą oszustwa. Aby wyszukać zmienione uprawnienia na podstawie serwera, na którym znajdują się pliki/foldery, wystarczy przełączyć na opcję "Server Based Reports" i przejść do raportów "Folder Permissions Changed report". Wyświetlany jest podobny raport, filtrowany na podstawie wybranego serwera. Aby wyświetlić zmiany wprowadzone przez konkretnego użytkownika, przejdź do User Based Reports i wybierz raport Folder Permissions Changed.

Inspekcja natywna

Oto, jak dzięki inspekcji natywnej można monitorować zmiany w uprawnieniach do plików i folderów:

  • Krok 1: Włącz zasady Audit Object Access

    Otwórz Local Security Policy. Przejdź do Security Settings i wybierz Local Policies.

    monitor-changes-to-files-and-folder-permissions-enable-audit-object-access-policy-local-policies
  • W obszarze Audit Policy wybierz Audit Object Access i włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    monitor-changes-to-files-and-folder-permissions-audit-object-access
  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj plik lub folder, dla którego chcesz śledzić zmiany uprawnień. Kliknij prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij przycisk Advanced.

    monitor-changes-to-files-and-folder-permissions-edit-auditing-entry
  • W Advanced Security Settings dotyczących okna usługi Active Directory przejdź do zakładki Auditing i kliknij przycisk Add, aby dodać nowy wpis inspekcji.

    advanced-security-settings-active-directory
  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wpisz nazwy użytkowników, których dostęp ma zostać poddany inspekcji.
    2. Type: wybierz typ dostępu, który ma zostać poddany inspekcji. Inspekcji warto poddać "All” zmiany.
    3. Applies to: wybierz, czy chcesz poddać inspekcji zmiany uprawnień tylko do tego pliku, czy do wszystkich podfolderów i plików.
    4. Basic permissions: wybierz typy uprawnień, które mają zostać poddane inspekcji. Na potrzeby specjalnych potrzeb kliknij funkcję "Advanced permissions” i wybierz polecenie "Change permissions”.
    monitor-changes-to-files-and-folder-permissions-auditing-entry-for-active-directory
  • Krok 3: Wyświetlaj dzienniki inspekcji w Event Viewer

    Za każdym razem kiedy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia w nim poziom uprawnień, w Event Viewer jest zapisywany dziennik zdarzeń. Aby wyświetlić taki dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowym okienku, jak widać poniżej.

    audit-failed-access-attempts-to-shared-folder-security-windows-log
  • Aby filtrować dzienniki zdarzeń i wyświetlać tylko dzienniki dotyczące zmian uprawnień do plików/folderów, wybierz w prawym okienku opcję Filter Current Log. Wystarczy wyszukać identyfikator zdarzenia 4670, który wskazuje zmianę uprawnień do pliku/folderu.

    monitor-changes-to-files-and-folder-permissions-indicates-file-folder-permission-changes
  • W środkowym oknie są wyświetlane wszystkie zmiany uprawnień wprowadzone do plików/folderów. Kliknij dowolny z nich i wyświetl jego właściwości.

    monitor-changes-to-files-and-folder-permissions-permission-changes-made-files-folders
  • Aby uzyskać więcej informacji na temat dokładnych zmienionych uprawnień, możesz sprawdzić stary i nowy deskryptor zabezpieczeń.

    monitor-changes-to-files-and-folder-permissions-exact-permission

Inspekcja natywna wydaje Ci się zbyt skomplikowana?

Uprość inspekcję serwera plików i tworzenie raportów, wybierając ADAudit Plus.

Pobierz darmową wersję próbną W pełni funkcjonalna 30-dniowa wersja próbna

Request Support

Thanks

One of our solution experts will get in touch with you shortly.

    Proszę wprowadzić prawidłowy adres e-mail
  • Przez kliknięcie „Prześlij” zgadzasz się na przetwarzania danych osobowych zgodnie z naszą polityką prywatności.

Rozwiązanie do przeprowadzania audytu zmian i raportowania Active Directory w czasie rzeczywistym.

Rozpocznij darmowy okres próbny

Zoho Corp. Wszelkie prawa zastrzeżone.