Отслеживание доступа к папкам и их содержимому в Windows

Windowsfoldersaccess

Когда одним компьютером пользуются несколько человек, администратору такого ПК может быть интересно знать, кто и когда открывал те или иные папки и файлы. Мы уже писали о том, как узнать, какие программы запускались в отсутствия владельца компьютера, теперь давайте посмотрим, как получить статистические данные об использовании каталогов. Для отслеживания событий мы предлагаем использовать старые добрые встроенные средства аудита Windows.

Включение политики аудита

Первыми делом нужно включить политику аудита.

Откройте редактор локальных групповых политики командой gpedit.msc, перейдите в раздел «Конфигурация Windows»«Параметры безопасности»«Конфигурация расширенной политики аудита»«Политики аудита системы»«Доступ к объектам» и откройте настройки расположенной в правой колонке редактора политики «Аудит файловой системы».

Редактор локальной групповой политики

Включите отслеживание только успешных событий и сохраните настройки.

Аудит файловой системы

Изменение конфигурации требует перезагрузки ПК, но чтобы лишний раз не перезагружаться, выполните в запущенной от имени администратора командной строке команду gpupdate /force.

Gpupdate

Настройка свойств папки

Чтобы отчеты начали попадать в журнал событий, необходимо указать, какие именно папки и события нужно мониторить.

Откройте свойства отслеживаемого каталога, перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно».

Свойства каталога

В окне дополнительных настроек переключитесь на вкладку «Аудит» и нажмите «Продолжить».

Дополнительные параметры безопасности

Нажмите кнопку «Добавить».

Аудит

В следующем окне вам нужно будет нажать ссылку «Выберите субъект» и указать в открывшемся диалоговом окошке имя пользователя или группы, действия которых хотите отслеживать.

Выберите субъект

Если вы не знаете имя пользователя или группы, нажмите «Дополнительно» и выберите в открывшемся окне после нажатия кнопки «Поиск» нужного вам пользователя вручную. Если нужно отслеживать всех пользователей, выберите «Все».

Выбор тип объекта

Убедитесь, что в меню «Тип» и «Применяется к» выбрано «Успех» и «Для этой папки, ее подпапок и файлов». Здесь же укажите, какие именно события нужно отслеживать – чтение, запись, изменение и так далее.

События отслеживания

Последовательно сохраните настройки.

Сохраните настройки

Просмотр событий

Теперь, если с указанной папкой или ее содержимым будет выполнено какое-то из включенных в мониторинговый список действий, сведения об этом будут занесены в системный журнал событий, открыть который вы можете командой eventvwr.msc.

Нужные вам сведения найдете в разделе «Журналы Windows»«Безопасность».

Просмотр событий - Безопасность

Событий в этом журнале может быть много, поэтому есть смысл отсортировать их, выбрав источник «Microsoft Windows security auditing».

Фильтровать текущий журнал

Подробности о каждом событии указаны в его свойствах.

Свойства событий

Есть также еще один момент, о котором нужно упомянуть.

Политика аудита может быть весьма полезной, но злоупотреблять ею не стоит. При определенных условиях мониторинг даже одной папки может привести к раздуванию журнала, кроме того, отслеживание большого количества каталогов способно снизить производительность системы.

Оцените Статью:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (2 оценок, среднее: 5,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *