-
Metoda natywnej inspekcji AD
-
Metoda z zastosowaniem ADAudit Plus
Generowany jednym kliknięciem raport w ADAudit Plus pozwala śledzić tworzenie i usuwanie plików/folderów
W ADAudit Plus generowane są kompleksowe raporty zawierające wszystkie potrzebne informacje na temat plików/folderów tworzonych lub usuwanych na serwerach. Raporty te można eksportować oraz planować ich automatyczne tworzenie o wyznaczonych porach i dostarczanie na skrzynkę pocztową. Ponadto, można skonfigurować alerty informujące o usunięciu uprawnień do kluczowych plików/folderów. Dzięki temu, możliwe jest natychmiastowe podjęcie działania.
Zaloguj się do ADAudit Plus → przejdź do zakładki File Audit → w obszarze File Audit Reports → przejdź do raportu Files Created, aby wyświetlić utworzone pliki/foldery.
Oto szczegółowe informacje uwzględniane w tym raporcie:
-
- Nazwa utworzonego pliku/folderu.
- Serwer, na którym utworzono element.
- Tożsamość użytkownika, który go utworzył.
- Czas utworzenia.
- Właściwości obiektu, w tym lista ACL.
- Urządzenie klienta, za pomocą którego utworzono plik/folder.
Do tego wszystkiego wystarczy zaledwie jedno kliknięcie. Raport zawiera również wykres z oznaczeniem serwerów o najwyższej liczbie utworzonych plików. Podobny raport można utworzyć w celu zestawienia czynności usuwania plików. Przejrzyj File Audit Reports, aby znaleźć raport Files Deleted. Oto szczegółowe informacje uwzględniane w tym raporcie:
- Nazwa usuniętego pliku/folderu.
- Serwer, z którego usunięto element.
- Tożsamość użytkownika, który go usunął.
- Czas usunięcia.
- Urządzenie klienta, z którego usunięto plik/folder.
Aby filtrować utworzone/usunięte pliki/foldery według serwera, na którym znajdują się pliki/foldery, wystarczy przełączyć na opcję Server Based Reports i przejść do raportów Files Created oraz Files Deleted. Te raporty są podobne do tych opisanych powyżej, filtrowanych według wybranego serwera. Aby wyświetlić pliki/foldery utworzone lub usunięte przez konkretnego użytkownika, przejdź do User Based Reports oraz przeanalizuj raporty Files Created i Files Deleted.
Inspekcja natywna
Oto, jak można przeprowadzać inspekcję tworzenia i usuwania plików/folderów:
-
Krok 1: Włącz zasady Audit Object Access
Otwórz Local Security Policy. Przejdź do Security Settings i wybierz Local Policies.
-
W obszarze Audit Policy wybierz 'Audit object access' oraz włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.
-
Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze
Zlokalizuj katalog lub folder nadrzędny, w którym chcesz śledzić tworzenie i usuwanie plików/podfolderów. Kliknij prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced
-
W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.
-
W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:
- Principal: wpisz nazwy użytkowników, których dostęp ma zostać poddany inspekcji.
- Type: wybierz typ dostępu, który ma zostać poddany inspekcji. Inspekcji warto poddać „Wszystkie” zmiany.
- Applies to: wybierz, czy inspekcja ma objąć tworzenie i usuwanie plików/folderów tylko w tym folderze, czy we wszystkich podfolderach.
- Basic permissions: wybierz typy uprawnień, które mają zostać poddane inspekcji. Kliknij przycisk Advanced permissions po prawej stronie i wybierz następujące opcje:
- Tworzenie plików/ Zapis danych.
- Tworzenie folderów/ Dołączanie danych.
- Usuwanie podfolderów i plików.
-
Krok 3: Wyświetlaj dzienniki inspekcji w Event Viewer
Za każdym razem, kiedy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia w nim poziom uprawnień, w Event Viewer jest zapisywany dziennik zdarzeń. Aby wyświetlić taki dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowym okienku, jak widać poniżej.
-
Aby filtrować dzienniki zdarzeń i wyświetlać tylko dzienniki dotyczące utworzonych i usuniętych plików, wybierz w prawym okienku opcję Filter Current Log. Wyszukaj zdarzenie z identyfikatorem 4656, które wskazuje, że zażądano dostępu do obiektu.
-
Niestety te filtry nie udostępniają listy utworzonych plików/folderów. Należałoby je powiązać z maskami dostępu, aby dokładnie zrozumieć, które pliki/foldery zostały utworzone lub usunięte.
Inspekcja natywna wydaje Ci się zbyt skomplikowana?
Uprość inspekcję serwera plików i tworzenie raportów, wybierając ADAudit Plus.
Pobierz darmową wersję próbną W pełni funkcjonalna 30-dniowa wersja próbna