Aktivieren Sie die Dateiüberwachung auf der Netzwerkfreigabe in Server 2008 R2

3

Ich habe einen Server, auf dem 2008 R2 ausgeführt wird. Gibt es eine Rolle / Funktion, die zum Überwachen des Dateizugriffs hinzugefügt / aktiviert werden kann? Beispiel: Benutzer1 hat diesen Ordner gelöscht, diese Datei wurde von Benutzer2 bearbeitet usw. Ich hatte Probleme mit einigen Mitarbeitern, die Ordner auf einem öffentlichen Laufwerk löschten (ich weiß nicht, ob versehentlich oder absichtlich), aber alle scheinen jegliche Kenntnis davon zu verweigern Ich hätte gerne ein Protokoll, das ich bei solchen Gelegenheiten einsehen kann, damit ich sehen kann, wer was tut.

windows-server-2008-r2 security Iain Simpson
quelle

Antworten:

5

Ja, aktivieren Sie die Dateiüberwachung in der lokalen Sicherheitsrichtlinie (oder besser Domänen-Gruppenrichtlinienobjekt). Es ist die Option "Audit Object Access" und Sie können Erfolge oder Fehler oder beides aktivieren.

Sobald die Überwachung aktiviert ist, wählen Sie in den Eigenschaften des Ordners -> Registerkarte "Sicherheit" -> "Erweitert" -> "Erweiterte Sicherheitseinstellungen" -> Registerkarte "Überwachung" aus, welche Dateien / Ordner überwacht werden sollen. Fügen Sie die Benutzer oder Gruppen hinzu, für die der Zugriff auf das Objekt protokolliert werden soll.

Wenn etwas passiert, überprüfen Sie das Sicherheitsprotokoll, um festzustellen, wer es getan hat.

Paul Ackerman
quelle
Und genießen Sie es, durch die Hunderttausende von Einträgen zu kriechen, die es generiert.
Mfinni
1
Aus diesem Grund möchten Sie nicht "Alle" oder "Authentifizierte Benutzer" im Stammverzeichnis Ihres Datenvolumens aktivieren. Sie sollten jedoch die Größe Ihres Sicherheitsprotokolls überprüfen, um dies sicherzustellen Es wird genügend Daten enthalten, bevor es überschrieben wird.
Paul Ackerman
Sie können das Durchsuchen der Datensätze vermeiden, indem Sie eine ereignisbasierte Aufgabe erstellen und ein Powershell-Skript starten, das nach dem speziellen Fall sucht, den Sie identifizieren möchten. Das Skript kann eine E-Mail auslösen, um Sie zu warnen, oder eine andere Funktion ausführen. Das SIEM des armen Mannes. Lassen Sie mich wissen, ob Sie möchten, dass ein Beispielskript das Sicherheitsprotokoll liest.
Paul Ackerman
Sie können die Anzahl der generierten Protokolleinträge begrenzen. Wenn Sie nur das Löschen von Dateien / Ordnern nachverfolgen müssen, fügen Sie beim Hinzufügen von ACE auf der Registerkarte Überwachung die zu verfolgende Benutzergruppe oder den zu verfolgenden Benutzer hinzu, und wählen Sie in der Berechtigungsliste die Berechtigung Erfolgreich / Fehlgeschlagen "Unterordner und Dateien löschen" oder "Löschen". Es ist nicht erforderlich, Vollzugriff auszuwählen, um alle vom Benutzer für den Ordner / die Datei ausgeführten Aktionen nachzuverfolgen.
Volodymyr M.
1

In unserer Organisation verwenden wir Connection Monitor ( http://www.10-strike.com/connectionmonitor/ ). Wir haben ungefähr 1000 Hosts im Netzwerk, daher ändern oder ersetzen Benutzer immer Dateien voneinander. Also kommen sie natürlich mit ihren Problemen zu mir. So, jetzt habe ich das vollständige Protokoll, das zeigt, wer, wann und was in freigegebenen Ordnern getan hat. Es ist wirklich nützlich.

Elison
quelle
0

Ich bin mit mfinni einverstanden, nicht der beste Weg, um durch Hunderttausende von Protokolleinträgen zu kriechen ... obwohl dies eine kostenpflichtige Lösung ist, bin ich sicher, dass es Open Source / billigere Versionen gibt. Dies habe ich in der Vergangenheit mehrfach verwendet - http://www.scriptlogic.com/products/change-auditor/

Kalte T
quelle