Jak monitorować dostęp do plików i folderów w serwerze plików Windows?

Administratorzy muszą pilnować, kto uzyskuje dostęp do plików/folderów na ich serwerach plików, aby zapewnić bezpieczeństwo i zgodność danych. Monitorowanie osób uzyskujących dostęp do plików pomaga również podczas dochodzenia w przypadku naruszenia danych.

Pobierz BEZPŁATNIE Bezpłatna, w pełni funkcjonalna 30-dniowa wersja próbna
  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Kompleksowe raporty umożliwiające śledzenie dostępu do pliku/folderu za pomocą ADAudit Plus

ADAudit Plus to rozwiązanie z segmentu zabezpieczeń i zgodności IT, które udostępnia raporty w czasie rzeczywistym z zestawieniem prób dostępu do plików lub folderów na serwerach plików. Można skonfigurować automatyczne generowanie tych raportów i wysyłanie ich pocztą elektroniczną w wybranych odstępach czasu. Pliki można ponadto eksportować do wybranego formatu. Oto, jak można uzyskać dostęp do tych raportów, korzystając z programu ADAudit Plus:

Zaloguj się do ADAudit Plus → przejdź do zakładki File Audit → w obszarze File Audit Reports→ przejdź do raportu File read access.

  • file access report
    • Oto szczegółowe informacje uwzględniane w tym raporcie:
      1. Do którego pliku uzyskano dostęp.
      2. Kto uzyskał dostęp do pliku.
      3. Kiedy uzyskano dostęp do pliku.
      4. Z jakiego urządzenia klienta uzyskano dostęp do pliku.
      5. Nazwa serwera, na którym znajduje się plik.
    Można również pozyskać informacje na temat nieudanych prób odczytu, zapisu lub usunięcia pliku. Raporty zawierają niżej podane informacje szczegółowe:
    1. Nazwa pliku.
    2. Nazwa użytkownika, który złożył nieprawidłowe żądanie.
    3. Czas złożenia żądania.
    4. Nazwa serwera, na którym znajduje się plik.
    Dzięki zapisowi wszystkich prób dostępu do pliku (w tym nieudanych), dochodzenie na wypadek naruszenia zabezpieczeń danych staje się dużo łatwiejsze. Można śledzić wszystkich użytkowników, którzy uzyskali dostęp do pliku, aby wykluczyć ewentualne podejrzane osoby. Może to również pomóc zidentyfikować urządzenie klienta, z którego wyszły nieudane próby ataku, a tym samym uzyskać informacje o naruszonym systemie. Ponadto, w przypadku prób dostępu do kluczowych plików lub folderów, na telefon lub skrzynkę e-mail użytkownika wysyłane są alerty w czasie rzeczywistym.
    •  

Metoda natywna

Oto, jak za pomocą inspekcji natywnej można monitorować dostęp do plików i folderów na serwerze plików Windows:

  • Krok 1: Włącz zasady Audit object access
  • Uruchom konsolę Group Policy Management console (Uruchom --> gpedit.msc).

  • Utwórz nowy obiekt GPO i powiąż z domeną zawierającą serwer plików albo edytuj istniejący obiekt GPO powiązany z właściwą domeną.

  • Przejdź do Computer Configuration -> Windows Settings -> Security Settings ->Local Policies -> Audit Policy.

  • W obszarze Audit Policy wybierz Audit object access i włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj plik lub folder, który ma zostać objęty śledzeniem wszystkich prób dostępu. Kliknij prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced.

    monitor-file-and-folder-access-on-windows-file-server-security-properties
  • W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.

    advanced-security-settings-active-directory
  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wpisz nazwy użytkowników, których dostęp ma zostać poddany inspekcji.
    2. Type: wybierz typ dostępu, który ma zostać poddany inspekcji. Inspekcji warto poddać „Wszystkie” zmiany.
    3. Applies to: tutaj wybierz, czy chcesz poddać inspekcji dostęp tylko do tego pliku, czy do wszystkich podfolderów i plików.
    4. Basic permissions: wybierz typy uprawnień, które mają zostać poddane inspekcji. Kliknij Advanced permissions i wybierz inspekcję uprawnień do następujących czynności: Traverse Folder/Execute File, List Folder/Read data, Read attributes oraz Read extended attributes.
    auditing-entry-file-access-auditing
  • Krok 3: Wyświetlaj dzienniki inspekcji w Event Viewer

    Za każdym razem kiedy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia w nim poziom uprawnień, w Event Viewer jest zapisywany dziennik zdarzeń. Aby wyświetlić taki dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs, wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowym okienku, jak widać poniżej.

    audit-failed-access-attempts-to-shared-folder-security-windows-log
  • Aby filtrować dzienniki zdarzeń i wyświetlać tylko dzienniki dotyczące zmian uprawnień do plików/folderów, wybierz w prawym okienku opcję Filter Current Log. Wystarczy wyszukać identyfikatory zdarzeń 4656 oraz 4663, które informują o otworzeniu pliku/folderu. Można zobaczyć, kto uzyskał dostęp do pliku w polu “Account Name” oraz czas dostępu w polu “Logged”.

    monitor-file-and-folder-access-on-windows-file-server-event-properties-event4663

Inspekcja natywna wydaje Ci się zbyt skomplikowana?

Uprość inspekcję serwera plików i tworzenie raportów, wybierając ADAudit Plus.

Pobierz darmową wersję próbną W pełni funkcjonalna 30-dniowa wersja próbna
  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Kompleksowe raporty umożliwiające śledzenie dostępu do pliku/folderu za pomocą ADAudit Plus

ADAudit Plus to rozwiązanie z segmentu zabezpieczeń i zgodności IT, które udostępnia raporty w czasie rzeczywistym z zestawieniem prób dostępu do plików lub folderów na serwerach plików. Można skonfigurować automatyczne generowanie tych raportów i wysyłanie ich pocztą elektroniczną w wybranych odstępach czasu. Pliki można ponadto eksportować do wybranego formatu. Oto, jak można uzyskać dostęp do tych raportów, korzystając z programu ADAudit Plus:

Zaloguj się do ADAudit Plus → przejdź do zakładki File Audit → w obszarze File Audit Reports→ przejdź do raportu File read access.

  • file access report
    • Oto szczegółowe informacje uwzględniane w tym raporcie:
      1. Do którego pliku uzyskano dostęp.
      2. Kto uzyskał dostęp do pliku.
      3. Kiedy uzyskano dostęp do pliku.
      4. Z jakiego urządzenia klienta uzyskano dostęp do pliku.
      5. Nazwa serwera, na którym znajduje się plik.
    Można również pozyskać informacje na temat nieudanych prób odczytu, zapisu lub usunięcia pliku. Raporty zawierają niżej podane informacje szczegółowe:
    1. Nazwa pliku.
    2. Nazwa użytkownika, który złożył nieprawidłowe żądanie.
    3. Czas złożenia żądania.
    4. Nazwa serwera, na którym znajduje się plik.
    Dzięki zapisowi wszystkich prób dostępu do pliku (w tym nieudanych), dochodzenie na wypadek naruszenia zabezpieczeń danych staje się dużo łatwiejsze. Można śledzić wszystkich użytkowników, którzy uzyskali dostęp do pliku, aby wykluczyć ewentualne podejrzane osoby. Może to również pomóc zidentyfikować urządzenie klienta, z którego wyszły nieudane próby ataku, a tym samym uzyskać informacje o naruszonym systemie. Ponadto, w przypadku prób dostępu do kluczowych plików lub folderów, na telefon lub skrzynkę e-mail użytkownika wysyłane są alerty w czasie rzeczywistym.
    •  

Metoda natywna

Oto, jak za pomocą inspekcji natywnej można monitorować dostęp do plików i folderów na serwerze plików Windows:

  • Krok 1: Włącz zasady Audit object access
  • Uruchom konsolę Group Policy Management console (Uruchom --> gpedit.msc).

  • Utwórz nowy obiekt GPO i powiąż z domeną zawierającą serwer plików albo edytuj istniejący obiekt GPO powiązany z właściwą domeną.

  • Przejdź do Computer Configuration -> Windows Settings -> Security Settings ->Local Policies -> Audit Policy.

  • W obszarze Audit Policy wybierz Audit object access i włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj plik lub folder, który ma zostać objęty śledzeniem wszystkich prób dostępu. Kliknij prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced.

    monitor-file-and-folder-access-on-windows-file-server-security-properties
  • W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.

    advanced-security-settings-active-directory
  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wpisz nazwy użytkowników, których dostęp ma zostać poddany inspekcji.
    2. Type: wybierz typ dostępu, który ma zostać poddany inspekcji. Inspekcji warto poddać „Wszystkie” zmiany.
    3. Applies to: tutaj wybierz, czy chcesz poddać inspekcji dostęp tylko do tego pliku, czy do wszystkich podfolderów i plików.
    4. Basic permissions: wybierz typy uprawnień, które mają zostać poddane inspekcji. Kliknij Advanced permissions i wybierz inspekcję uprawnień do następujących czynności: Traverse Folder/Execute File, List Folder/Read data, Read attributes oraz Read extended attributes.
    auditing-entry-file-access-auditing
  • Krok 3: Wyświetlaj dzienniki inspekcji w Event Viewer

    Za każdym razem kiedy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia w nim poziom uprawnień, w Event Viewer jest zapisywany dziennik zdarzeń. Aby wyświetlić taki dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs, wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowym okienku, jak widać poniżej.

    audit-failed-access-attempts-to-shared-folder-security-windows-log
  • Aby filtrować dzienniki zdarzeń i wyświetlać tylko dzienniki dotyczące zmian uprawnień do plików/folderów, wybierz w prawym okienku opcję Filter Current Log. Wystarczy wyszukać identyfikatory zdarzeń 4656 oraz 4663, które informują o otworzeniu pliku/folderu. Można zobaczyć, kto uzyskał dostęp do pliku w polu “Account Name” oraz czas dostępu w polu “Logged”.

    monitor-file-and-folder-access-on-windows-file-server-event-properties-event4663

Inspekcja natywna wydaje Ci się zbyt skomplikowana?

Uprość inspekcję serwera plików i tworzenie raportów, wybierając ADAudit Plus.

Pobierz darmową wersję próbną W pełni funkcjonalna 30-dniowa wersja próbna

Request Support

Thanks

One of our solution experts will get in touch with you shortly.

    Proszę wprowadzić prawidłowy adres e-mail
  • Przez kliknięcie „Prześlij” zgadzasz się na przetwarzania danych osobowych zgodnie z naszą polityką prywatności.

Rozwiązanie do przeprowadzania audytu zmian i raportowania Active Directory w czasie rzeczywistym.

Rozpocznij darmowy okres próbny

Zoho Corp. Wszelkie prawa zastrzeżone.