Jak sprawdzać, kto wprowadził zmiany do pliku lub folderu w systemie Windows?

Śledzenie zmian wprowadzonych do plików/folderów pomaga zagwarantować bezpieczeństwo danych oraz spełnić wymogi dotyczące zgodności. Rejestrowanie nieuprawnionych zmian okazuje się użyteczne podczas dochodzeń w sprawie naruszenia danych. Nadzorowanie tożsamości użytkowników wprowadzających zmiany na serwerach plików oraz rodzaju tych zmian, pomaga ponadto zapobiec zagrożeniom wewnętrznym. Oto, jak za pomocą metod natywnych można sprawdzać, kto wprowadził zmiany do pliku lub folderu na serwerze plików.

Pobierz BEZPŁATNIE Bezpłatna, w pełni funkcjonalna 30-dniowa wersja próbna
  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Ukończ proces monitorowania zmian w plikach/folderach za pomocą ADAudit Plus:

Oprogramowanie ADAudit Plus oferuje, generowane za pomocą jednego kliknięcia, szczegółowe raporty o zmianach w plikach/folderach. Raporty te mogą być eksportowane do dowolnego formatu, takiego jak CSV, PDF, XML itp. Alerty w czasie rzeczywistym mogą być przesyłane na adres e-mail lub telefon, aby użytkownik był informowany o zmianach wprowadzonych do kluczowego pliku lub folderu. Oto, jak można uzyskać dostęp do tych raportów:

Zaloguj się do ADAudit Plus → przejdź do zakładki File Audit→ w obszarze File Audit Reports→ przejdź do raportu All File/Folder Changes. Wybierz okres, dla którego chcesz prześledzić wprowadzone zmiany oraz domenę, do której należy serwer plików.

  • file and folder changes report
    • Oto szczegółowe informacje uwzględniane w tym raporcie:
      • Nazwa pliku/folderu, który zmieniono.

      • Użytkownik, który wprowadził zmiany.

      • Czas wprowadzenia zmiany.

      • Lokalizacja pliku/folderu.

    Można wyświetlić wybrany typ zmian, filtrując je na wykresie, który jest wyświetlany nad raportem. Na przykład, aby zobaczyć usunięte pliki, wystarczy wybrać je z wykresu, zostaną wtedy wyświetlone wszystkie dzienniki usuniętych plików. Na potrzeby sklasyfikowania zmian według użytkownika lub serwera można wybrać indywidualne raporty dotyczące każdej z tych kategorii. Wyświetlane są te same informacje, ale są one dostosowywane do wybranego serwera bądź użytkownika.
    •  

Metoda natywna

  • Krok 1: Włącz zasady Audit object access
  • Uruchom konsolę Group Policy Management console (Uruchom --> gpedit.msc).

  • Utwórz nowy obiekt GPO i powiąż z domeną zawierającą serwer plików albo edytuj istniejący obiekt GPO powiązany z właściwą domeną.

  • Przejdź do Computer Configuration -> Windows Settings -> Security Settings ->Local Policies -> Audit Policy.

  • W obszarze Audit Policy wybierz 'Audit object access' i włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj plik lub folder, który ma zostać objęty śledzeniem wszystkich prób dostępu. Kliknij prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced.

    W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.

    monitor-file-and-folder-access-on-windows-file-server-security-properties
  • advanced-security-settings-active-directory
  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wpisz nazwy użytkowników, których dostęp ma zostać poddany inspekcji.
    2. Type: wybierz typ dostępu, który ma zostać poddany inspekcji. Inspekcji warto poddać "All” zmiany.
    3. Applies to: wybierz, czy chcesz poddać inspekcji zmiany uprawnień tylko do tego pliku, czy do wszystkich podfolderów i plików.
    4. Basic permissions: wybierz typy uprawnień, które mają zostać poddane inspekcji. Aby zrealizować określone potrzeby, kliknij "Advanced permissions” i wybierz 'Traverse folder / execute file', 'List folder / read data', 'Create files /write data', 'Create folders / append data', 'Write attribute'.
    track-who-changed-file-folder-in-windows-active-auditing-auditing-entry
  • Krok 3: Wyświetlaj dzienniki inspekcji w Event Viewer

    Za każdym razem kiedy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia w nim poziom uprawnień, w Event Viewer jest zapisywany dziennik zdarzeń. Aby wyświetlić taki dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowym okienku, jak widać poniżej.

    audit-failed-access-attempts-to-shared-folder-security-windows-log
  • Przeszukaj Security Windows Logs pod kątem identyfikatora zdarzenia ID 4656 ze słowem kluczowym Audit failed, aby dowiedzieć się, kto próbował wprowadzić zmiany do pliku lub folderu.

    track-who-changed-file-folder-in-windows-event-properties-event4656

Inspekcja natywna wydaje Ci się zbyt skomplikowana?

Uprość inspekcję serwera plików i tworzenie raportów, wybierając ADAudit Plus.

Pobierz darmową wersję próbną W pełni funkcjonalna 30-dniowa wersja próbna
  • Metoda natywnej inspekcji AD

  • Metoda z zastosowaniem ADAudit Plus

Ukończ proces monitorowania zmian w plikach/folderach za pomocą ADAudit Plus:

Oprogramowanie ADAudit Plus oferuje, generowane za pomocą jednego kliknięcia, szczegółowe raporty o zmianach w plikach/folderach. Raporty te mogą być eksportowane do dowolnego formatu, takiego jak CSV, PDF, XML itp. Alerty w czasie rzeczywistym mogą być przesyłane na adres e-mail lub telefon, aby użytkownik był informowany o zmianach wprowadzonych do kluczowego pliku lub folderu. Oto, jak można uzyskać dostęp do tych raportów:

Zaloguj się do ADAudit Plus → przejdź do zakładki File Audit→ w obszarze File Audit Reports→ przejdź do raportu All File/Folder Changes. Wybierz okres, dla którego chcesz prześledzić wprowadzone zmiany oraz domenę, do której należy serwer plików.

  • file and folder changes report
    • Oto szczegółowe informacje uwzględniane w tym raporcie:
      • Nazwa pliku/folderu, który zmieniono.

      • Użytkownik, który wprowadził zmiany.

      • Czas wprowadzenia zmiany.

      • Lokalizacja pliku/folderu.

    Można wyświetlić wybrany typ zmian, filtrując je na wykresie, który jest wyświetlany nad raportem. Na przykład, aby zobaczyć usunięte pliki, wystarczy wybrać je z wykresu, zostaną wtedy wyświetlone wszystkie dzienniki usuniętych plików. Na potrzeby sklasyfikowania zmian według użytkownika lub serwera można wybrać indywidualne raporty dotyczące każdej z tych kategorii. Wyświetlane są te same informacje, ale są one dostosowywane do wybranego serwera bądź użytkownika.
    •  

Metoda natywna

  • Krok 1: Włącz zasady Audit object access
  • Uruchom konsolę Group Policy Management console (Uruchom --> gpedit.msc).

  • Utwórz nowy obiekt GPO i powiąż z domeną zawierającą serwer plików albo edytuj istniejący obiekt GPO powiązany z właściwą domeną.

  • Przejdź do Computer Configuration -> Windows Settings -> Security Settings ->Local Policies -> Audit Policy.

  • W obszarze Audit Policy wybierz 'Audit object access' i włącz inspekcję pomyślnych i niepomyślnych prób uzyskania dostępu.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Krok 2: Edytuj wpis inspekcji w odpowiednim pliku/folderze

    Zlokalizuj plik lub folder, który ma zostać objęty śledzeniem wszystkich prób dostępu. Kliknij prawym przyciskiem myszy i przejdź do Properties. W zakładce Security kliknij opcję Advanced.

    W Advanced Security Settings przejdź do zakładki Auditing i kliknij Add, aby dodać nowy wpis inspekcji.

    monitor-file-and-folder-access-on-windows-file-server-security-properties
  • advanced-security-settings-active-directory
  • W oknie dialogowym Auditing Entry for Active Directory wpisz następujące informacje:

    1. Principal: wpisz nazwy użytkowników, których dostęp ma zostać poddany inspekcji.
    2. Type: wybierz typ dostępu, który ma zostać poddany inspekcji. Inspekcji warto poddać "All” zmiany.
    3. Applies to: wybierz, czy chcesz poddać inspekcji zmiany uprawnień tylko do tego pliku, czy do wszystkich podfolderów i plików.
    4. Basic permissions: wybierz typy uprawnień, które mają zostać poddane inspekcji. Aby zrealizować określone potrzeby, kliknij "Advanced permissions” i wybierz 'Traverse folder / execute file', 'List folder / read data', 'Create files /write data', 'Create folders / append data', 'Write attribute'.
    track-who-changed-file-folder-in-windows-active-auditing-auditing-entry
  • Krok 3: Wyświetlaj dzienniki inspekcji w Event Viewer

    Za każdym razem kiedy użytkownik uzyskuje dostęp do wybranego pliku/folderu i zmienia w nim poziom uprawnień, w Event Viewer jest zapisywany dziennik zdarzeń. Aby wyświetlić taki dziennik inspekcji, przejdź do Event Viewer. W obszarze Windows Logs wybierz opcję Security. Wszystkie dzienniki inspekcji można znaleźć w środkowym okienku, jak widać poniżej.

    audit-failed-access-attempts-to-shared-folder-security-windows-log
  • Przeszukaj Security Windows Logs pod kątem identyfikatora zdarzenia ID 4656 ze słowem kluczowym Audit failed, aby dowiedzieć się, kto próbował wprowadzić zmiany do pliku lub folderu.

    track-who-changed-file-folder-in-windows-event-properties-event4656

Inspekcja natywna wydaje Ci się zbyt skomplikowana?

Uprość inspekcję serwera plików i tworzenie raportów, wybierając ADAudit Plus.

Pobierz darmową wersję próbną W pełni funkcjonalna 30-dniowa wersja próbna

Request Support

Thanks

One of our solution experts will get in touch with you shortly.

    Proszę wprowadzić prawidłowy adres e-mail
  • Przez kliknięcie „Prześlij” zgadzasz się na przetwarzania danych osobowych zgodnie z naszą polityką prywatności.

Rozwiązanie do przeprowadzania audytu zmian i raportowania Active Directory w czasie rzeczywistym.

Rozpocznij darmowy okres próbny

Zoho Corp. Wszelkie prawa zastrzeżone.