Jak śledzić tworzenie i usuwanie plików/folderów w systemie Windows?

Śledzenie procesu tworzenia i usuwania plików/folderów jest obowiązkowe do zabezpieczenia danych oraz wypełnienia wymogów odnośnie zachowania zgodności. Ponadto, pomaga administratorom nadzorować pliki/foldery przechowywane na serwerze plików. Gdy podczas ataku bezpieczeństwa haker usunie pliki/foldery z serwera plików, będzie je można łatwiej prześledzić podczas dochodzenia.

Pobierz BEZPŁATNIE Bezpłatna, w pełni funkcjonalna 30-dniowa wersja próbna
  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Generowany jednym kliknięciem raport w ADAudit Plus pozwala śledzić tworzenie i usuwanie plików/folderów

W ADAudit Plus generowane są kompleksowe raporty zawierające wszystkie potrzebne informacje na temat plików/folderów tworzonych lub usuwanych na serwerach. Raporty te można eksportować oraz planować ich automatyczne tworzenie o wyznaczonych porach i dostarczanie na skrzynkę pocztową. Ponadto, można skonfigurować alerty informujące o usunięciu uprawnień do kluczowych plików/folderów. Dzięki temu, możliwe jest natychmiastowe podjęcie działania.

Zaloguj się do ADAudit Plus → przejdź do zakładki File Audit → w obszarze File Audit Reports → przejdź do raportu Files Created, aby wyświetlić utworzone pliki/foldery.

Oto szczegółowe informacje uwzględniane w tym raporcie:

    1. Nazwa utworzonego pliku/folderu.
    2. Serwer, na którym utworzono element.
    3. Tożsamość użytkownika, który go utworzył.
    4. Czas utworzenia.
    5. Właściwości obiektu, w tym lista ACL.
    6. Urządzenie klienta, za pomocą którego utworzono plik/folder.
    file created report Do tego wszystkiego wystarczy zaledwie jedno kliknięcie. Raport zawiera również wykres z oznaczeniem serwerów o najwyższej liczbie utworzonych plików. Podobny raport można utworzyć w celu zestawienia czynności usuwania plików. Przejrzyj File Audit Reports, aby znaleźć raport Files Deleted. Oto szczegółowe informacje uwzględniane w tym raporcie:
    1. Nazwa usuniętego pliku/folderu.
    2. Serwer, z którego usunięto element.
    3. Tożsamość użytkownika, który go usunął.
    4. Czas usunięcia.
    5. Urządzenie klienta, z którego usunięto plik/folder.
    file deleted report Aby filtrować utworzone/usunięte pliki/foldery według serwera, na którym znajdują się pliki/foldery, wystarczy przełączyć na opcję Server Based Reports i przejść do raportów Files Created oraz Files Deleted. Te raporty są podobne do tych opisanych powyżej, filtrowanych według wybranego serwera. Aby wyświetlić pliki/foldery utworzone lub usunięte przez konkretnego użytkownika, przejdź do User Based Reports oraz przeanalizuj raporty Files Created i Files Deleted.
    •  

Inspekcja natywna

Oto, jak można przeprowadzać inspekcję tworzenia i usuwania plików/folderów:

  • Krok 1: Włącz zasady Audit Object Access

    Otwórz Local Security Policy. Przejdź do Security Settings i wybierz Local Policies.

  • W obszarze Audit Policy wybierz 'Audit object access' oraz włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    monitor-changes-to-files-and-folder-permissions-audit-object-access
  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj katalog lub folder nadrzędny, w którym chcesz śledzić tworzenie i usuwanie plików/podfolderów. Kliknij prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced

    monitor-file-and-folder-access-on-windows-file-server-security-properties
  • W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.

    advanced-security-settings-active-directory
  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wpisz nazwy użytkowników, których dostęp ma zostać poddany inspekcji.
    2. Type: wybierz typ dostępu, który ma zostać poddany inspekcji. Inspekcji warto poddać „Wszystkie” zmiany.
    3. Applies to: wybierz, czy inspekcja ma objąć tworzenie i usuwanie plików/folderów tylko w tym folderze, czy we wszystkich podfolderach.
    4. Basic permissions: wybierz typy uprawnień, które mają zostać poddane inspekcji. Kliknij przycisk Advanced permissions po prawej stronie i wybierz następujące opcje:
      1. Tworzenie plików/ Zapis danych.
      2. Tworzenie folderów/ Dołączanie danych.
      3. Usuwanie podfolderów i plików.
  • Krok 3: Wyświetlaj dzienniki inspekcji w Event Viewer

    Za każdym razem, kiedy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia w nim poziom uprawnień, w Event Viewer jest zapisywany dziennik zdarzeń. Aby wyświetlić taki dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowym okienku, jak widać poniżej.

  • Aby filtrować dzienniki zdarzeń i wyświetlać tylko dzienniki dotyczące utworzonych i usuniętych plików, wybierz w prawym okienku opcję Filter Current Log. Wyszukaj zdarzenie z identyfikatorem 4656, które wskazuje, że zażądano dostępu do obiektu.

    audit-failed-access-attempts-to-shared-folder-security-windows-log
  • Niestety te filtry nie udostępniają listy utworzonych plików/folderów. Należałoby je powiązać z maskami dostępu, aby dokładnie zrozumieć, które pliki/foldery zostały utworzone lub usunięte.

Inspekcja natywna wydaje Ci się zbyt skomplikowana?

Uprość inspekcję serwera plików i tworzenie raportów, wybierając ADAudit Plus.

Pobierz darmową wersję próbną W pełni funkcjonalna 30-dniowa wersja próbna
  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Generowany jednym kliknięciem raport w ADAudit Plus pozwala śledzić tworzenie i usuwanie plików/folderów

W ADAudit Plus generowane są kompleksowe raporty zawierające wszystkie potrzebne informacje na temat plików/folderów tworzonych lub usuwanych na serwerach. Raporty te można eksportować oraz planować ich automatyczne tworzenie o wyznaczonych porach i dostarczanie na skrzynkę pocztową. Ponadto, można skonfigurować alerty informujące o usunięciu uprawnień do kluczowych plików/folderów. Dzięki temu, możliwe jest natychmiastowe podjęcie działania.

Zaloguj się do ADAudit Plus → przejdź do zakładki File Audit → w obszarze File Audit Reports → przejdź do raportu Files Created, aby wyświetlić utworzone pliki/foldery.

Oto szczegółowe informacje uwzględniane w tym raporcie:

    1. Nazwa utworzonego pliku/folderu.
    2. Serwer, na którym utworzono element.
    3. Tożsamość użytkownika, który go utworzył.
    4. Czas utworzenia.
    5. Właściwości obiektu, w tym lista ACL.
    6. Urządzenie klienta, za pomocą którego utworzono plik/folder.
    file created report Do tego wszystkiego wystarczy zaledwie jedno kliknięcie. Raport zawiera również wykres z oznaczeniem serwerów o najwyższej liczbie utworzonych plików. Podobny raport można utworzyć w celu zestawienia czynności usuwania plików. Przejrzyj File Audit Reports, aby znaleźć raport Files Deleted. Oto szczegółowe informacje uwzględniane w tym raporcie:
    1. Nazwa usuniętego pliku/folderu.
    2. Serwer, z którego usunięto element.
    3. Tożsamość użytkownika, który go usunął.
    4. Czas usunięcia.
    5. Urządzenie klienta, z którego usunięto plik/folder.
    file deleted report Aby filtrować utworzone/usunięte pliki/foldery według serwera, na którym znajdują się pliki/foldery, wystarczy przełączyć na opcję Server Based Reports i przejść do raportów Files Created oraz Files Deleted. Te raporty są podobne do tych opisanych powyżej, filtrowanych według wybranego serwera. Aby wyświetlić pliki/foldery utworzone lub usunięte przez konkretnego użytkownika, przejdź do User Based Reports oraz przeanalizuj raporty Files Created i Files Deleted.
    •  

Inspekcja natywna

Oto, jak można przeprowadzać inspekcję tworzenia i usuwania plików/folderów:

  • Krok 1: Włącz zasady Audit Object Access

    Otwórz Local Security Policy. Przejdź do Security Settings i wybierz Local Policies.

  • W obszarze Audit Policy wybierz 'Audit object access' oraz włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    monitor-changes-to-files-and-folder-permissions-audit-object-access
  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj katalog lub folder nadrzędny, w którym chcesz śledzić tworzenie i usuwanie plików/podfolderów. Kliknij prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced

    monitor-file-and-folder-access-on-windows-file-server-security-properties
  • W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.

    advanced-security-settings-active-directory
  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wpisz nazwy użytkowników, których dostęp ma zostać poddany inspekcji.
    2. Type: wybierz typ dostępu, który ma zostać poddany inspekcji. Inspekcji warto poddać „Wszystkie” zmiany.
    3. Applies to: wybierz, czy inspekcja ma objąć tworzenie i usuwanie plików/folderów tylko w tym folderze, czy we wszystkich podfolderach.
    4. Basic permissions: wybierz typy uprawnień, które mają zostać poddane inspekcji. Kliknij przycisk Advanced permissions po prawej stronie i wybierz następujące opcje:
      1. Tworzenie plików/ Zapis danych.
      2. Tworzenie folderów/ Dołączanie danych.
      3. Usuwanie podfolderów i plików.
  • Krok 3: Wyświetlaj dzienniki inspekcji w Event Viewer

    Za każdym razem, kiedy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia w nim poziom uprawnień, w Event Viewer jest zapisywany dziennik zdarzeń. Aby wyświetlić taki dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowym okienku, jak widać poniżej.

  • Aby filtrować dzienniki zdarzeń i wyświetlać tylko dzienniki dotyczące utworzonych i usuniętych plików, wybierz w prawym okienku opcję Filter Current Log. Wyszukaj zdarzenie z identyfikatorem 4656, które wskazuje, że zażądano dostępu do obiektu.

    audit-failed-access-attempts-to-shared-folder-security-windows-log
  • Niestety te filtry nie udostępniają listy utworzonych plików/folderów. Należałoby je powiązać z maskami dostępu, aby dokładnie zrozumieć, które pliki/foldery zostały utworzone lub usunięte.

Inspekcja natywna wydaje Ci się zbyt skomplikowana?

Uprość inspekcję serwera plików i tworzenie raportów, wybierając ADAudit Plus.

Pobierz darmową wersję próbną W pełni funkcjonalna 30-dniowa wersja próbna

Request Support

Thanks

One of our solution experts will get in touch with you shortly.

    Proszę wprowadzić prawidłowy adres e-mail
  • Przez kliknięcie „Prześlij” zgadzasz się na przetwarzania danych osobowych zgodnie z naszą polityką prywatności.

Rozwiązanie do przeprowadzania audytu zmian i raportowania Active Directory w czasie rzeczywistym.

Rozpocznij darmowy okres próbny

Zoho Corp. Wszelkie prawa zastrzeżone.