Аудит файлов и папок

Сетевой администратор может настроить способ аудита системой Windows Server 2012 файлов и папок со страницы свойств этих файлов или папок. Учтите, что чем больше количество подверженных аудиту файлов или папок, тем больше событий может быть сгенерировано, что может повлечь увеличение расходов на администрирование и требований к системным ресурсам. Поэтому важно правильно выбрать файлы и папки для аудита. Чтобы включить аудит файла или папки, выполните перечисленные ниже действия. В Windows Server 2012 появилась возможность определять условия для ограничения области действия элемента аудита. То есть события доступа записываются в журнал, только если выполняется определенное условие. Условия можно создать в окне Auditing Entry, просто щелкнув на кнопке Add а Condition. Откроется интерфейс, показанный на рис. 20.9, где можно задать условия на основе следующих атрибутов пользователя, устройства или групп: Member of Each, Member of Any, Not Member of Each и Not Member of Any. Например, можно задать условие User, Group, Not Member of Any, а затем указать группы Domain Admins и Enterprise Admins. Такой фильтр выберет только пользователей, которые не входят ни в одну из этих групп. На этом шаге предполагается, что активизирована политика доступа к объектам аудита. При доступе к файлу или папке записывается событие в журнал безопасности утилиты просмотра событий. Категория такого события — Object Access. Пример описания события доступа к объекту можно видеть в следующем сообщении из журнала безопасности. Для удобства список событий разбит на разделы: Subject, Ob j ect, Process Information и Access Request Information .

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *