Аудит доступа к файлам и папкам Windows на примере Windows server 2012R2
Иногда бывает необходимо понять кто удалил/изменил/переименовал конкретный файл или папку. В ОС Windows для этого используется аудит доступа к объектам.
Аудит это запись в специальные журналы информации об определенных событиях (источник, код события, успешность, объект и т.д. ). Объектом аудита может являться как любой файл или папка, так и определенное событие, например вход в систему или выход из нее, то есть можно записывать все события происходящие с конкретным файлом или папкой – чтение, запись, удаление и т.д., можно события входа в систему и т.д.
Необходимо понимать, что аудит забирает на себя.
Для того, чтобы можно было настраивать аудит файлов и папок необходимо предварительно включить эту возможность через локальные (или в случае если у Вас используется Microsoft AD групповые) политики безопасности.
В случае локальных политик необходимо запустить оснастку “Локальная политика безопасности”, для этого необходимо нажать комбинацию клавиш Win+R, в открывшееся поле ввести secpol.msc и нажать клавишу Enter.
В открывшейся оснастке в дереве слева необходимо перейти в раздел “Локальные политики” – “Политика аудита”.
Далее необходимо выбрать необходимую нам политику – в данном случае это “Аудит доступа к объектам”. Именно этой политикой регулируется доступ к объектам файловой системы (файлам и папкам) и раскрыть ее двойным щелчком мыши. В открывшемся окне необходимо выбрать какие именно типы событий будут регистрироваться – “Успех” (разрешение на операцию получено) и/или “Отказ” – запрет операции и проставить соответствующие галочки, после чего нажать “Ок”.
Теперь когда включена возможность ведения аудита интересующих нас событий и их тип можно переходить к настройке самих объектов – в нашем случае файлов и папок.
Для этого необходимо открыть свойства файла или папки, перейти на вкладку “Безопасность”, нажать “Дополнительно” и “Аудит”.
Нажимаем “Добавить” и начинаем настраивать аудит.
Сначала выбираем субъект – это чьи действия будут аудироваться (записываться в журнал аудита).
Можно вписать туда имя пользователя или группы, если имя заранее неизвестно, то можно воспользоваться кнопкой “Дополнительно” которая открывает форму поиска где можно выбрать интересующих нас пользователей и группы. Чтобы контролировались действия всех пользователей необходимо выбрать группу “Все”.
Далее необходимо настроить тип аудируемых событий (Успех, Отказ, Все), также область область применения для аудита папок – только эта папка, папка с подпапками, только подпапки. только файлы и т.д., а также сами события аудита.
Для папок поля такие:
А такие для файлов:
После этого начнется сбор данных аудита. Все события аудита пишутся в журнал “Безопасность”. Открыть его проще всего через оснастку “Управление компьютером” compmgmt.msc.
В дереве слева выбрать “Просмотр событий” – “Журналы Windows” – “Безопасность”.
Каждое событие ОС Windows имеет свой код события. Список событий достаточно обширен и доступен на сайте Microsoft либо в интернете. Например события аудита можно посмотреть здесь.
Попробуем например найти событие удаления файла, для этого удалим файл на котором предварительно настроен аудит (если это не тестовые файл, то не забываем сделать его копию, так как аудит это всего лишь информация о действиях, а не разрешение/запрет этих действий). Нам нужно событие с кодом 4663 – получение доступа к объекту, у которого в поле Операции доступа Написано “DELETE” . Поиск событий в журналах Windows достаточно сложен, поэтому обычно используются специализированные средства анализа – системы мониторинга, скрипты и т.д.
Вручную можно, например, задать например такой фильтр:
Далее в отфильтрованных событиях необходимо найти интересующее нас по имени объекта.
Открыть его двойным щелчком мыши и увидеть кто удалил данный файл в поле субъект.
8.5.3.2. Настройка политики аудита
В
первую очередь надо выбрать типы отслеживаемых событий. Для каждого события устанавливаются параметры
настройки, показывающие, какие попытки отслеживать: успешные или неудачные. Настраивать политики аудита можно через оснастку Group Policy (Групповая политика).
Типы событий, которые могут проверяться в Windows, представлены в таблице 8.1.
Таблица 8.1
Типы событий, которые могут проверяться в Windows
|
Описание |
||
|
События входа в |
Контроллер домена получил запрос на проверку |
|
|
систему с |
правильности учетной записи пользователя |
|
|
ной записью |
||
|
Управление |
Администратор создал, изменил или удалил |
|
|
учетную запись или группу. Учетная запись |
||
|
пользователя была изменена, включена или вы- |
||
|
ключена, или пароль был установлен или изме- |
||
|
Доступ к службе |
Пользователь получил доступ к объекту Active |
|
|
каталогов |
Directory . Вы должны указать конкретные объ- |
|
|
екты Active Directory для отслеживания этого |
||
|
типа события |
||
|
События входа в |
Пользователь входил в систему и выходил из нее |
|
|
или подключился/не смог подключиться по сети |
||
|
к данному компьютеру |
||
|
Доступ к объе к- |
Пользователь получил доступ к файлу, папке |
|
|
или принтеру. Вы должны указать файлы, папки |
||
|
или принтеры для проверки. Режим проверки |
||
|
доступа к службе каталогов проверяет доступ |
||
|
пользователя к определенному объекту Active |
||
|
Directory. Режим доступа к объекту проверяет |
||
|
доступ пользователя к файлам, папкам или |
||
|
принтерам |
||
|
Изменение |
Были сделаны изменения в пользовательских |
|
|
настройках безопасности, правах пользователя |
||
|
или политиках аудита |
||
|
Использование |
Пользователь применил права, например, по из- |
|
|
привилегий |
менению системного времени. (Сюда не вклю- |
|
|
чаются права, связанные с входом в систему и |
||
|
выходом из нее) |
||
|
Отслеживание |
Пользователь произвел действие. Эта информа- |
|
|
процесса |
ция полезна программистам, желающим отсле- |
|
|
дить детали выполнения программы |
||
|
Системное |
Пользователь перезагрузил или выключил ком- |
|
|
пьютер, или произошло событие, влияющее на |
||
|
безопасность Windows или на журнал безопас- |
||
|
ности. (Например, журнал аудита переполнен, и |
||
|
Windows не смогла записать новую информа- |
||
Для того чтобы изменения вступили в силу, необходимо обновить локальную политику .
Включение аудита за определенным объектом
Мы уже активировали возможность аудита доступа к объекту файловой системы NTFS. Теперь нам осталось только указать за какими объектами необходимо наблюдать. Для этого откройте окно Свойства
выбранного объекта и перейдите во вкладку Безопасность
. Далее необходимо нажать кнопку Дополнительно
и в открывшемся окне перейти во вкладку Аудит
. Дальнейшие действия можно описать следующим планом:
- Жмём кнопку Добавить
и добавляем пользователя или группу пользователей, за действиями которых мы хотим следить. - Настраиваем область действия аудита(аудит только папки, аудит папки и его содержимого и т. д.)
- Выбираем либо аудит успешных, либо аудит неудачных действий по отношении к объекту.
- Выбираем те действия, которые должны документироваться. Например, выбрав пункт Удаление
, Вы укажете компьютеру документировать только те действия пользователей, которые связаны с удалением объекта. Все предложенные действия являются правами доступа к файлу или папке , можете ознакомится с ними. - Сохранить изменения.
Как просмотреть результаты аудита доступа к объекту?
За результатами аудита файловой системы NTFS прошу пожаловать в Журнал Windows
и пройти в окно Безопасность
. Там Вы получите необычайно длинный список всех действий, которые связаны с безопасностью компьютера. Именно среди них Вы и найдете документацию по попыткам доступа к Вашему объекту. Применяя сортировку, я уверен, Вы легко найдете интересующую Вас документацию.
Как активировать возможность аудита файловой системы NTFS через Реестр?
Данный пункт, как я уже говорил, будет интерес для обладателей Windows Starter или Home Basic. У них нет доступа к Редактору локальной групповой политики, но за то есть доступ к Реестру. А Реестр позволяет проделать те же действия, что и Редактор локальной политики. Только, к сожалению, я не нашел второй параметр, который дублирует вторую политику. С первым же параметром я Вас познакомлю: параметр
HKLM\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
Что такое и для чего нужен SMB
SMB (сокр. от англ. Server Message Block) — сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия. Первая версия протокола, также известная как Common Internet File System (CIFS) (Единая файловая система Интернета), была разработана компаниями IBM, Microsoft, Intel и 3Com в 1980-х годах; вторая (SMB 2.0) была создана Microsoft и появилась в Windows Vista. В настоящее время SMB связан главным образом с операционными системами Microsoft Windows, где используется для реализации «Сети Microsoft Windows» (англ. Microsoft Windows Network) и «Совместного использования файлов и принтеров» (англ. File and Printer Sharing).
SMB — это протокол, основанный на технологии клиент-сервер, который предоставляет клиентским приложениям простой способ для чтения и записи файлов, а также запроса служб у серверных программ в различных типах сетевого окружения. Серверы предоставляют файловые системы и другие ресурсы (принтеры, почтовые сегменты, именованные каналы и т. д.) для общего доступа в сети. Клиентские компьютеры могут иметь у себя свои носители информации, но также имеют доступ к ресурсам, предоставленным сервером для общего пользования.
Клиенты соединяются с сервером, используя протоколы TCP/IP (а, точнее, NetBIOS через TCP/IP), NetBEUI или IPX/SPX. После того, как соединение установлено, клиенты могут посылать команды серверу (эти команды называются SMB-команды или SMBs), который даёт им доступ к ресурсам, позволяет открывать, читать файлы, писать в файлы и вообще выполнять весь перечень действий, которые можно выполнять с файловой системой. Однако в случае использования SMB эти действия совершаются через сеть.
SMB работает, используя различные протоколы. В сетевой модели OSI протокол SMB используется как протокол Application/Presentation уровня и зависит от низкоуровневых транспортных протоколов. SMB может использоваться через TCP/IP, NetBEUI и IPX/SPX. Если TCP/IP или NetBEUI будут заняты, то будет использоваться NetBIOS API. SMB также может посылаться через протокол DECnet. Digital (ныне Compaq) сделала это специально для своего продукта PATHWORKS. NetBIOS в случае использования через TCP/IP имеет различные названия. Microsoft называет его в некоторых случаях NBT, а в некоторых NetBT. Также встречается название RFCNB (из Википедии).
Назначение и изменение разрешений для файлов и папок в Windows 8.1
Параметр: 2 значение: Winword. Не забудьте указать файл regedit. Как получить доступ к зашифрованной папке. A: Снять с папки шифрование можно только при условии, что компьютер на момент шифрования и после переустановки системы являлся членом домена Отмена шифрования файла Данную процедуру могут выполнить только следующие пользователи: Пользователь, выполнявший шифрование файла.
Любой пользователь, указанный в качестве агента восстановления до отмены шифрования. Любой пользователь, владеющий открытым ключом public key или закрытым ключом пользователя, являющегося агентом восстановления, или пользователя, выполнявшего шифрование файла.
Любой пользователь, которому предоставлен доступ к зашифрованному файлу. Члены группы «Администраторы» не смогут отменить шифрование файла, за исключением пользователей, включенных в данную группу и указанных в качестве агентов восстановления до отмены шифрования. Чтобы выполнить отмену шифрования файла, зарегистрируйтесь в системе под учетной записью пользователя, выполнявшего шифрование файла, или указанного в качестве агента восстановления.
Для отмены шифрования файла выполните следующие действия: В Проводнике Windows перейдите в папку, содержащую файл, для которого требуется отменить шифрование. Щелкните правой кнопкой мыши по зашифрованному файлу и запустите команду «Свойства». Перейдите на вкладку «Общие» и в разделе «Атрибуты» нажмите кнопку «Другие». В разделе «Атрибуты сжатия и шифрования» снимите флажок «Шифрование содержимого для защиты данных», нажмите кнопку «ОК», а затем повторно нажмите кнопку «ОК» в следующем окне.
Отмена шифрования папки Примечание. Отказано в доступе. В Проводнике Windows выберите папку, для которой требуется отменить шифрование. Щелкните правой кнопкой мыши по зашифрованной папке и запустите команду «Свойства». В окне «Подтверждение изменения атрибутов» Вы можете установить следующие параметры отмены шифрования, выбрав соответствующий переключатель: Только к этой папке, что позволяет отменить шифрование только данной папки.
После установки переключателя нажмите кнопку «ОК». К этой папке и ко всем вложенным папкам и файлам, что позволяет отменить шифрование для всего содержимого папки.
Отмена шифрования файлов и папок сторонними программами Вы можете отменить шифрование файлов и папок не являясь агентом шифрования и не владея ключами агента шифрования при помощи программы Advanced EFS Data Recovery. A: Чтобы получить доступ к файлу или папке, не имея на это соответствующих разрешений, необходимо стать владельцем такого файла или папки.
Это позволяет компенсировать отсутствие разрешений на доступ. Как стать владельцем папки Примечание. Необходимо войти в систему с помощью учетной записи, обладающей полномочиями администратора. Чтобы получить доступ к вкладке Безопасность в Windows XP Home Edition, загрузите компьютер в безопасном режиме и войдите в систему с помощью учетной записи администратора.
На компьютере под управлением Windows XP Professional необходимо отключить простой общий доступ к файлам. По умолчанию простой общий доступ к файлам используется на всех компьютерах под управлением Windows XP Professional, которые не являются членами домена. Чтобы стать владельцем папки, выполните следующие действия. Щелкните правой кнопкой значок папки, владельца которой необходимо сменить, и выберите команду Свойства.
Откройте вкладку Безопасность и нажмите кнопку OК , если появится сообщение безопасности. Нажмите кнопку Дополнительно и перейдите на вкладку Владелец. Чтобы стать владельцем содержимого папки, установите флажок Заменить владельца субконтейнеров и объектов.
Нажмите кнопку OК, а после появления указанного ниже сообщения — кнопку Да. Хотите заменить разрешения для этой папки так, чтобы иметь права полного доступа?
Как стать владельцем файла Примечание. Чтобы стать владельцем файла, выполните следующие действия. Щелкните правой кнопкой значок файла, владельца которого необходимо сменить, и выберите команду Свойства.
Чтобы изменить разрешения на доступ к файлам и папкам, которые расположены в текущей папке, перейдите к выполнению следующего действия. Нажмите кнопку Добавить. В списке Введите имена выбираемых объектов примеры введите пользователя или группу, которые должны обладать правом доступа к этому файлу например, Администратор.
Нажмите кнопку ОК. В списке Группы или пользователи выделите нужную учетную запись и установите флажки соответствующих разрешений. По окончании нажмите кнопку OК.
Запись событий удаления файлов в SQL базу (MySQL/MSSQL)
Если после включения проверки удаления файлов в сетевой папке вы видите в журнале много событий, найти что-то в журналах может быть проблематично. Во-первых, довольно сложно найти нужную запись среди тысяч событий (в Windows нет разумных средств поиска интересующего события с возможностью гибкого фильтра), а во-вторых, если файл был удален давно, это событие может просто отсутствовать в журнале, так как оно было перезаписано более новыми.
вы можете регистрировать все необходимые события в отдельной базе данных SQL. Вы можете использовать Microsoft SQL Server, Elasticsearch или MySQL / MariaDB для архивирования событий.
В этом примере мы покажем, как записывать события аудита в отдельную таблицу базы данных на сервере MySQL. Формат таблицы:
- Название сервера;
- Имя удаленного файла
- Время удаления;
- Имя пользователя, который удалил файл.
Запрос MySQL для создания такой таблицы будет выглядеть так:
Примечание. О специфике работы с базой данных MySQL мы говорили в статье «Работа с базой данных MySQL PowerShell.
Если вы хотите использовать Microsoft SQL, обратитесь к статье «Как запросить сервер MSSQL из сценария PowerShell?”.
Чтобы получить события с EventID 4663 из журнала безопасности за текущий день, вы можете использовать следующий сценарий PowerShell:
Следующий сценарий PowerShell запишет полученные данные в базу данных MySQL на удаленном сервере:
После сохранения событий во внешней базе данных этот журнал можно очистить.
Теперь выясним, кто удалил файл «document1 – Copy.DOC». Просто запустите следующий скрипт в консоли PowerShell.
Отобразятся имя пользователя и время удаления файла с консоли PS.
Примечание. Возникла проблема: символ «\» не был записан в базу данных, поэтому он был заменен на «|». Поэтому, если вам нужно увидеть полный путь к файлу, вы можете выполнить обратную подстановку при выборе из базы данных:
. Спасибо Алексу Корневу за комментарий!
Сценарий для дампа данных из журнала в базу данных может быть запущен один раз в конце дня в соответствии с планировщиком, или вы можете заблокировать триггер для события On, что требует дополнительных ресурсов. Все зависит от системных требований.
вы можете создать простую адаптивную веб-страницу на php, чтобы получать информацию о событиях удаления файлов более удобным способом. Задача решается усилиями любого php программиста за 1-2 часа.
Важный совет. Если в журнале есть информация о том, что пользователь удалил файл, не спешите однозначно трактовать это как умышленное или даже злонамеренное. Многие программы (особенно программы MS Office) грешат этим при сохранении изменений сначала создается временный файл, в него записываются данные, а старая версия файла удаляется. В этом случае имеет смысл добавить в базу данных дополнительную запись имени процесса, с помощью которого был удален файл (поле события ProcessName), и проанализировать события удаления файла с учетом этого факта. Или вы можете отфильтровать события от некоторых процессов, например winword.exe, excel.exe и т.д.
Вывести список открытых файлов на файловом сервере Windows
Список открытых пользователями файлов на файловом сервере Windows можно получить с помощью стандартной графической консоли Computer Management (Управление компьютером — compmgmt.msc ).
Запустите на файловом сервере консоль Computer Management (или подключитесь к нему удаленно консолью со своего компьютера) и перейдите в секцию System Tools -> Shared Folders -> Open files (Служебные программы -> Общие папки -> Открыты файлы). В правой части окна отображается список файлов сервера, открытых удаленно . Список содержит локальный путь к файлу, имя учетной записи пользователя, количество блокировок и режим, в котором открыт файл (Read или Write+Read).
Этот же список открытых файлов можно получит с помощью встроенной консольной утилиты Openfiles . Например, с помощью следующей команды можно получить id сессии, имя пользователя и полный локальный путь к открытому файлу:
Openfiles /Query /fo csv |more
При удаленном доступе пользователя к папке или файлу в сетевой папке (SMB) на сервере, для пользователя создается новая сессия, определяющая данное подключение. Управление подключениями пользователей осуществляется именно через эти идентификаторы сессий.
Эту же команду можно выполнить удаленно, например, нужен список открытых файлов на файловом сервере mskfs01:
Openfiles /Query /s mskfs01 /fo csv
У команды Openfiles есть еще одна интересная возможность просмотра списка локально открытых файлов. Для ее использования нужно включить опцию Maintain Objects List (Построение списка объектов) командой openfiles /local on и перезагрузить сервер. После этого в список начнут попадать файлы, открытые локальными процессами (этот режим желательно использовать только для отладки, т.к. может негативно сказаться на производительности сервера).
Удаление объекта в Active Directory.
1. Для удаления объекта в AD открываем оснастку “Пользователи и компьютеры Active Directory“. Это также можно сделать нажав на “Пуск“, далее выбираем “Администрирование” и в открывшемся меню выбираем “Пользователи и компьютеры Active Directory“.
2. При создании нового объекта в AD, также автоматически выставляется чекбокс “Защитить контейнер от случайного удаления“. Это даёт дополнительные гарантии от случайного удаления критически важных элементов.
3. Поэтому если мы будем удалять контейнер обычным способом, то без снятия защиты от удаления, это не получится. Проверим это. Для этого на выбранном объекте нажимаем правой клавишей мыши и выбираем “Удалить“.
4. Появится запрос на подтверждение удаления: “Вы действительно хотите удалить Подразделение с имененем….“. Нажимаем “Да“.
5. После этого появится окно с предупреждением о том, что “Недостаточные привилегии для удаления объекта, или объект защищен от случайного удаления“. И объект не удалится.
6. Для того, чтобы изменить это, необходимо выбрать меню “Вид“, далее поставить чекбокс напротив пункта меню “Дополнительные компоненты“.
7. После этого нажимаем правой клавишей мыши на выбранный объект, в появившемся меню нажимаем “Свойства“.
8. На вкладке “Объект” убираем чекбокс “Защитить объект от случайного удаления“, далее “Применить“.
9. После применения данной операции, объект в AD возможно будет удалить (правой клавишей мышки – “Удалить“).
10. Затем ответить “Да” на запрос о подтверждении действия по удалению объекта.
11. По окончании операции, для удобства управления AD, необходимо вернуть все установки по умолчанию (выбираем “Вид“, далее снимаем чекбокс с пункта “Дополнительные компоненты“.
Как снять защиту от удаления объектов в Active Directory можно также посмотреть здесь:
https://youtube.com/watch?v=3rvRd0FDZDk
Также читайте:
Установка Windows server 2012
Windows server 2012 – установка роли Active Directory
Архивирование и восстановление GPO Windows Server 2012
Создание пользователя в домене Windows Server 2012
WSUS – удаление ненужных обновлений
Создание и подключение общего сетевого ресурса в домене Windows Server 2012
Windows server 2019 – установка и настройка WSUS, создание и настройка GPO
Windows server 2019 – добавление и удаление компьютера в домене
Windows server 2019 – переименование администратора домена, изменение формата выводимого имени пользователя
Windows server 2019 – установка и настройка Active Directory, DNS, DHCP
Windows server 2019 – создание и удаление пользователя, группы, подразделения в домене
Windows server 2019 – GPO изменение экранной заставки, отключение монитора, изменение политики паролей
