Возможности функции аудита в Windows Server 2008 R2 значительно расширены, а настройка упрощена, хотя по прежнему администратор должен самостоятельно настроить отлов событий теперь уже воспользовавшись обновленным Event Log, при помощи которого необходимо будет отобрать ID событий безопасности. Аудит доступа к файлам и папкам может вестись только на томах с файловой системой NTFS, хотя серверная ОС уже других и не поддерживает.
Аудит активируется при помощи групповых политик: доменных политик в случае использования Active Directory или локальных политик безопасности для отдельно стоящих серверов. Для активации аудита вызваем Редактор управления групповыми политикамипереходим в ветку Параметры безопасности/Локальные политики/Политика аудита, где активировать политику Audit Object Access и в появившемся окне указать какие типы событий доступа к файлам и папкам нужно фиксировать (успешный/ неудачный доступ). (на отдельном сервере Start -> All Programs -> Administrative Tools -> Local Security Policy -> Local Policies -> Audit Policy).
Кроме этого политики аудита более тонко задаются в Advanced Audit Policy Configuration
Второй путь использовать для настройки утилиту командной строки auditpol, получить полный список GAP с установленными параметрами при помощи auditpol достаточно ввести команду:
> auditpol /list /subcategory:* |
Активируем политику “audit object Access access”:
> auditpol /set /subcategory:"directory service changes" /success:enable |
Подробные сведения о команде можно получить, запустив ее в виде
auditpol /h
После того, как активирован аудит доступа к файлам и папкам, необходимо выбрать конкретные объекты которые будем контролировать. Нужно помнить, что настройки аудита по-умолчанию наследуются на все дочерние объекты (если не указано иначе).
Выбираем папку щелчком правой кнопкой мыши вызываем окно Свойств (Properties). Далее переходим во вкладку Безопасность (Security) и нажимаем Advanced. В окне расширенных настроек безопасности (Advanced Security Settings) перейдем на вкладку Аудит (Auditing). Настройка аудита, естественно, требует прав администратора. На данном этапе в окне аудита будет отображен список пользователей и групп, для которых включен аудит на данный ресурс.
Чтобы добавить пользователей или группы, доступ которых к данному объекту будет фиксироваться, необходимо нажать кнопку Add… и указать имена этих пользователей/групп (либо указать Everyone – для аудита доступа всех пользователей). Далее указываем конкретные настройки аудита (такие события, как доступ, запись, удаление, создание файлов и папок и т.д.).
Сразу после применения данных настроек в системном журнале Security (найти его можно в оснастке Computer Management -> Events Viewer), при каждом доступе к объектам, для которых включен аудит, будут появляться соответствующие записи.
