Terjeszteni az audit fájlok és mappák fájlkiszolgálónkon
Jó napot, barátai és kollégái. Ma beszéljünk arról, hogyan mindegy, hogy követi a változásokat a fájl szerverek, nevezetesen, ki mit tett egy fájlba; Nem eltávolítják a baleset; Hoztam létre valamilyen okból szükségtelen fájlt, stb Természetesen ezzel a témával szorosan kapcsolódnak legalább három dolgot: a dokumentumfilm leírófájl a labdát, használja fájlszűrők (tilalmat bizonyos típusú fájlok) és méretének korlátozása a rendszer tároló (kvótarendszer). De ezek a dolgok jelentősen túlnyúlik egyetlen cikket. Ha a téma a kereslet, a jövőben a cikkeket és a témában.
A tapasztalt rendszergazdák, akik tettek hasonló dolgokat, semmit azon túl az új nem fog találni itt. ellenőrzési technológia megjelent régen. Csak megosztani a tapasztalatokat és véleményt néhány dolgot, hogy véleményem szerint feltétlenül szükséges fájlkiszolgálónkon egy tartománnyal.
A Group Policy Management, menj a csoportházirend és hozzon létre ott egy új GPO:
GPO
Felhívtuk őket OK gombra kattintva. Most meg kell, hogy menjen a tulajdonságait az új objektumot. Minden, ami érinti a könyvvizsgálói és más biztonsági, szinte mindig található a konfiguráció a számítógép, így aztán azonnal menjen (lásd a képen).:
A biztonsági beállításokat, meg kell „beállítani” a paramétereket a biztonsági napló (lásd: „Eseménynapló”) és állítsa be, valójában audit (lásd: „Konfiguráció az kiterjesztett ellenőrzési politika”):
A tárolás időtartama biztonsági naplóbejegyzések
Magyarázza meg a minimális, mert minden tisztán külön-külön. Tedd a méret (100-200 MB a szeme valószínűleg, méretétől függően a hálózati megosztás és a felhasználók száma), a maximális esemény megőrzési idő (I 2 hét elegendő), a tartósítás módjára „nap” szóval egészül ki automatikusan. Azt hiszem, nincs semmi bonyolult. Most konfigurálja az ellenőrzés, a legfontosabb dolog számunkra:
fájlrendszer auditálás
Most optimalizálása politikát. Először alkalmazza azt a szervert. Az én esetemben, én mindent egy tartományvezérlő, és ezért vonatkozik a tartományvezérlő szervezeti egysége. File Services fut egy tartományvezérlő, hogy nem jó. De az okok miatt történt. Vegye ki a „hitelesített”, a politika még nem alkalmazták a más szerverek (az én többi tartományvezérlő):
Kattintson az „Add” gombra, adja meg az objektum típus „számítógép”, és hogy ezt a mi szerver neve:
Otshlifuem politika még meredekebb. Annak érdekében, hogy felgyorsítsa az alkalmazás a politikák, a Microsoft azt javasolja, hogy mindig meghatározza, hogy milyen beállításokat kívánja használni, és melyek nem. Egyébként van egy kísérlet a konfiguráció azonnal a számítógép és a felhasználó. A politikát alkalmaznak a számítógéphez, így jelezheti ezt az állami politika. A tehnete levelet, hogy mi módon eltávolítani a tartományvezérlő.
Felhasználó letiltása konfigurációs beállítások
Az ellenőrzési politika ellenőrzést. Ellenőrizze az eredményeket: Az első rész kerül végrehajtásra. Most megy a fájl szerver. Ellenőrizze, hogy a mappa jön létre egy hálózati megosztáson:
A Windows fájlmegosztásokon
és megy a „Biztonság” fülre, pontosabban a „Speciális” részben:
Mi érdekli a „Audit” fülre:
Van most üres, mert semmi van állítva. Most add az úgynevezett listája SACL (hálózati hozzáférés-vezérlési listák). Tól NTFS'nogo ACL különbözik, hogy ez csak az ellenőrzés, nem jogosult a mappát, mi alapvetően nem adnak, így nem kezelik, mint egy listát, hogy a lista tényleges hozzáférést a mappát. Ne feledd, ez más. Szóval a csoportot, és így az összes szükséges ellenőrzési kritériumok:
Hozzáadása ellenőrzés beállításai
Jelölje be az „Add példány ellenőrzés örökölt ...” Én tiszta, a jövőben hasznos lehet. Elvégre tudjuk, hogy a jövőben ellenőrizni hálózati golyó egy másik tálba. Ha hagyja bejelölve, ne aggódj.
Válassza ki a kívánt esemény típusok
Az ellenőrzés típusától is nézd meg magad. Azt akarom, hogy ellenőrizze a fájlokat egy változás, akkor még rugalmasabb, de meg kell emlékezni a minél nagyobb a terhelés a szerveren, és jelentkezzen méretét.
Settings mappában az ellenőrzés lehet használni egy ideig (van egy ablak alkalmazás állapota). Elvégre ezek az identitások, menjünk tovább, hogy a harmadik rész - ellenőrizze.
Alkalmazni az új politika fájlszerver és nézze meg, hogy alkalmazták (a parancs gpupdate / force és gpresult / r):
Csoportházirend alkalmazása
Alkalmaztam. Most megy a biztonsági napló, és tisztítsa meg:
Élvezi a naplóban
Most a szórakoztató része. Megpróbálok egy másik PC keresse meg a mappát a hálózaton keresztül, és változtatni semmit. Az ötlet után ez az esemény jelenik meg, mint „Ki tette / volt / ha, stb”:
Élvezi a naplóban
Abban az esetben, minden megjelenik. De amikor sok esemény, akkor a magazin nem olyan kényelmes. Ezért ajánlott, hogy naplót egy kényelmes formátumban (csv, txt, evtx, xml), és a már kialakult fájl gyötrelem tovább. Ez minden. Könyvvizsgálati kollégák. Ha van a kezét a bizonyítéka, hogy valaki bűnösségét, ez nagyon hasznos és sok borító admin egy helyen.
Ön is élvezheti:
