Главная » Редактор локальной групповой политики

Аудит доступа к объекту файловой системы NTFS

аудит доступа к файлам или папкам

Аудит доступа к объектам файловой системы NTFS

Наверное не сразу можно понять, что же скрывается за словами аудит файловой системы NTFS или аудит доступа к объектам. Объясню тему более популярно: в файловой системе NTFS есть возможность документирования любого обращения к любой папке или к любому файлу. Благодаря возможности аудита, владелец объекта(или администратор компьютера) сможет получать наиболее полную информацию о том, кто и когда прикасался к выбранным объектам и что с ними делал. Настройка прав доступа к папке/файлу, конечно, уменьшает возможность нежелательных действий по отношению к важному объекту, но даже среди проверенных пользователей могут появиться предатели, а потому аудит файловой системы NTFS станет прекрасным инструментом для поиска провинившегося. К тому же таким образом можно выследить тех, кто проявляет нездоровый интерес к важным файлам.

Как активировать возможность аудита доступа к объектам файловой системы NTFS?

Перед тем как начать наблюдать за всеми действиями по отношению к какому-либо объекту, необходимо данную функцию активировать. Для этого нам необходимо воспользоваться Редактором локальной политики. И тут стоит отметить важный момент: Редактор локальной политики есть не во всех изданиях Windows. Для тех пользователей, операционная система которых не предназначена для серьезных действий, прошу перейти в пункт по настройке аудита через Реестр Windows. А для тех кто всё еще с нами, прошу открыть Редактор(команды быстрого доступа в помощь) и включить следующие политики:

  • Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности — Аудит: принудительно переопределяет параметры категории аудита параметрами подкатегории политики аудита
  • Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Конфигурация расширенной политики аудита — Политика аудита системы-Объект групповой политики — Доступ к объектам — Аудит файловой системы

Для того чтобы изменения вступили в силу, необходимо обновить локальную политику.

Включение аудита за определенным объектом

Мы уже активировали возможность аудита доступа к объекту файловой системы NTFS. Теперь нам осталось только указать за какими объектами необходимо наблюдать. Для этого откройте окно Свойства выбранного объекта и перейдите во вкладку Безопасность. Далее необходимо нажать кнопку Дополнительно и в открывшемся окне перейти во вкладку Аудит. Дальнейшие действия можно описать следующим планом:

  1. Жмём кнопку Добавить и добавляем пользователя или группу пользователей, за действиями которых мы хотим следить.
  2. Настраиваем область действия аудита(аудит только папки, аудит папки и его содержимого и т. д.)
  3. Выбираем либо аудит успешных, либо аудит неудачных действий по отношении к объекту.
  4. Выбираем те действия, которые должны документироваться. Например, выбрав пункт Удаление, Вы укажете компьютеру документировать только те действия пользователей, которые связаны с удалением объекта. Все предложенные действия являются правами доступа к файлу или папке, можете ознакомится с ними.
  5. Сохранить изменения.

Как просмотреть результаты аудита доступа к объекту?

За результатами аудита файловой системы NTFS прошу пожаловать в Журнал Windows и пройти в окно Безопасность. Там Вы получите необычайно длинный список всех действий, которые связаны с безопасностью компьютера. Именно среди них Вы и найдете документацию по попыткам доступа к Вашему объекту. Применяя сортировку, я уверен, Вы легко найдете интересующую Вас документацию.

Как активировать возможность аудита файловой системы NTFS через Реестр?

Данный пункт, как я уже говорил, будет интерес для обладателей Windows Starter или Home Basic. У них нет доступа к Редактору локальной групповой политики, но за то есть доступ к Реестру. А Реестр позволяет проделать те же действия, что и Редактор локальной политики. Только, к сожалению, я не нашел второй параметр, который дублирует вторую политику. С первым же параметром я Вас познакомлю: параметр

HKLM\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy

необходимо изменить с 0 на 1. Если найдете второй параметр, будьте добры, отпишите в комментариях.

2 комментариев к записи “Аудит доступа к объекту файловой системы NTFS
  1. Надя в cказал :

    всё конечно замечательно, но причем здесь Хилари даф?

    • admin в cказал :

      Если так зовут девушку на картинке, то для красоты.

Добавить комментарий

Ваш комментарий появится после модерации.