Ustalenie, kto zmienił uprawnienia do folderu

Dowiedz się, kto
Metoda natywnej inspekcji AD
Metoda z zastosowaniem ADAudit Plus

Inspekcja natywna

1. Konfigurowanie systemowej listy kontroli dostępu (SACL) inspekcji pliku:

  • Wybierz plik, który chcesz poddać inspekcji i przejdź do obszaru Properties. Wybierz Security tab → Advanced → Auditing → Add.
  • Wybierz podmiot zabezpieczeń: Everyone; Type:All; Stosuje się do: This folder, sub-folders, and files.
  • Kliknij Show Advanced Permissions, wybierz Change permissions i Take ownership.

2. Konfiguracja zasad inspekcji domeny

  • Przejdź do Group Policy management console i edytuj Default Domain Policy.
  • Przejdź do obszaru Computer Configuration → Policies → Windows Settings → Security Settings.
  • Przejdź do obszaru Local Policies → Audit Policy: Audit object access. Wybierz Success i Failures.
  • Przejdź do obszaru Advanced Audit Policy Configuration → Audit Policies → Object Access:
    • Inspekcja systemu plików: Wybierz Success i Failures.
    • Manipulacja dojść inspekcji: Wybierz Success i Failures.
  • Przejdź do obszaru Event Log i zdefiniuj następujące elementy:
    • Maksymalny rozmiar dziennika zabezpieczeń wynosi 1 GB.
    • Metoda przechowywania dziennika zabezpieczeń: Overwrite events as needed.

3. Sprawdzanie zdarzenia w podglądzie zdarzeń

Przejdź do Windows Security logs i wyszukaj:

  • Wydarzenie o identyfikatorze 4663
  • Kategoria zadania: File System lub Removable Storage

Nazwa konta i identyfikator bezpieczeństwa będą zawierać informacje, kto zmienił właściciela pliku/folderu lub uprawnienia.

Uproszczone monitorowanie zmian uprawnień do folderu za pomocą ADAudit Plus

Dzięki prostym, łatwym do odczytania raportom ADAudit Plus wystarczy jedno kliknięcie, aby pobrać pełne informacje na temat tego, kto zmienił uprawnienia pliku/folderu, kiedy to zrobił i za pomocą jakiego urządzenia. Podana jest również dokładna wartość zmienionego uprawnienia. Te raporty można eksportować oraz planować ich automatyczne tworzenie o wyznaczonych porach i dostarczanie na skrzynkę pocztową. Można ponadto skonfigurować alerty, aby otrzymywać powiadomienia o zmianie uprawnień krytycznych plików/folderów. Na tej podstawie można natychmiast podejmować działanie.

Zaloguj się do ADAudit Plus. Przejdź do karty File Audit i w obszarze File Audit Reports przejdź do Folder Permission Changes report.

Ten raport zawiera następujące informacje:

  • Nazwa pliku/folderu i jego lokalizacja na serwerze
  • Nazwa użytkownika, który zmodyfikował uprawnienie
  • Wartości nowej i starej l access control list (ACL)
  • Informacje o zmienionych uprawnieniach
  • Serwer, na którym jest plik/folder
  • Czas zmiany uprawnienia

Aby zrozumieć, co dokładnie zostało zmienione w ACL pliku/folderu, kliknij łącze More w polu Uprawnienie zmodyfikowane.

Nowe i stare wartości ACL są również szczegółowo podane.

Stara ACL:

Nowa ACL:

Należy pamiętać, że w tym przykładzie Mark Lloyd otrzymał pełną kontrolę podczas tej zmiany uprawnień. Mając dostęp do tych informacji można badać dalej, jeśli uważasz, że zmiana uprawnień wydaje się złośliwą zmianą. Jeśli chcesz filtrować zmienione uprawnienia na podstawie serwera, na którym są pliki/foldery, po prostu przełącz się na opcję Server Based Reports i przejdź do raportu Folder Permissions Changed. Wyświetlany jest podobny raport z filtrowaniem na podstawie wybranego serwera. Aby wyświetlić zmiany uprawnień wprowadzone przez konkretnego użytkownika, przejdź do obszaru User Based Reports i wybierz raport Folder Permissions Changed.

Śledzenie zmian uprawnień do plików i folderów ma kluczowe znaczenie, jeśli chodzi o zachowanie integralności plików i zapobieganie nieautoryzowanemu dostępowi.

Powyższe procedury stanowią odpowiedź na następujące pytania dotyczące monitorowania uprawnień do plików/folderów:

  • Kto zmienił uprawnienia do folderu w systemie Windows?
  • Jak sprawdzić, kto zmienił uprawnienia do folderów?
  • Jak zobaczyć, kto zmienił uprawnienia do folderów?
  • Jak ustalić, kto zmienił uprawnienia do folderów?
  • Kto zmienił uprawnienia do plików w systemie Windows?
  • Kto zmienił uprawnienia do plików?
  • Jak dokonać inspekcji zmian uprawnień do pliku?
  • Jak sprawdzić, kto zmienił uprawnienia do folderów?
  • Oprogramowanie: jak dowiedzieć się, kto zmienił uprawnienia do folderów?
  • Jak sprawdzić, kto zmienił uprawnienia do folderów w systemie Windows 2003?
  • Jak sprawdzić, kto zmienił uprawnienia do folderów w systemie Windows 2008 R2?
  • Jak sprawdzić, kto zmienił uprawnienia do folderów w systemie Windows 2008?
  • Jak znaleźć zmiany uprawnień na poziomie folderów w systemie Windows Server 2003?
  • Jak śledzić zmiany uprawnień do folderów w serwerze plików Windows?
  • Jak śledzić, czy uprawnienia do plików i folderów zostały zmienione na serwerze?
  • Jak dokonać inspekcji zmian uprawnień do folderu?
  • Jak dowiedzieć się, kto zmienił uprawnienia do folderu na serwerze?
  • Jak ustalić, kto zmienił uprawnienia do folderów udostępnionych?
  • Jak monitorować zmiany uprawnień do plików i folderów?
  • Jak sprawdzić zmiany uprawnień do folderów w Windows Server?
  • Jak sprawdzić, kto zmienia uprawnienia dostępu do folderów?