Мониторинг централизованных политик доступа, связанных с папками и файлами

В этом разделе для ИТ-специалистов описываются способы отслеживания изменений централизованных политик доступа, которые связаны с файлами и папками, при использовании дополнительных параметров аудита безопасности для мониторинга объектов динамического контроля доступа.

Эта политика аудита безопасности и событие, которое она записывает, создаются при изменении централизованной политики доступа, связанной с файлом или папкой. Эта политика аудита безопасности полезна, если администратор хочет отслеживать потенциальные изменения некоторых, но не всех, файлов и папок на файловом сервере.

Сведения об отслеживании потенциальных изменений централизованной политики доступа для всего файлового сервера см. в разделе Отслеживание централизованных политик доступа, применяемых к файловому серверу.

Для настройки параметров для отслеживания централизованных политик доступа, связанных с файлами, используйте следующие процедуры. При использовании этих процедур предполагается, что вы настроили и развернули динамический контроль доступа в сети. Дополнительные сведения о настройке и развертывании динамического контроля доступа см. в статье Динамический контроль доступа: обзор сценариев.

Примечание  

Сервер может вести себя по-разному в зависимости от версии и выпуска установленной операционной системы, прав и разрешений вашей учетной записи и параметров меню.

 

Mt431886.wedge(ru-ru,VS.85).gifНастройка параметров для отслеживания централизованных политик доступа, связанных с файлами или папками

  1. Войдите в свой контроллер домена с использованием учетных данных администратора домена.

  2. В диспетчере сервера выберите Инструменты, затем щелкните Управление групповыми политиками.

  3. В дереве консоли щелкните правой кнопкой мыши объект групповой политики гибкого доступа, после чего нажмите Изменить.

  4. Дважды щелкните Конфигурация компьютера, дважды щелкните Параметры безопасности, дважды щелкните Расширенная настройка политик аудита, дважды щелкните Изменение политики, а затем дважды щелкните Аудит изменения политики авторизации.

  5. Установите флажок Настроить следующие события аудита, установите флажок Успешно (и при необходимости флажок С ошибками), затем нажмите кнопку ОК.

  6. Включите аудит для файла или папки, как описано в следующей процедуре.

Mt431886.wedge(ru-ru,VS.85).gifВключение аудита для файла или папки

  1. Войдите от имени члена группы локальных администраторов на компьютер, содержащий файлы или папки, аудит которых требуется выполнять.

  2. Щелкните правой кнопкой мыши файл или папку, нажмите Свойства, после чего перейдите на вкладку Безопасность.

  3. Щелкните Дополнительно, перейдите на вкладку Аудит, а затем нажмите Продолжить.

    Если откроется диалоговое окно «Контроль учетных записей», убедитесь, что в нем указано требуемое действие, а затем нажмите кнопку Да.

  4. Щелкните Добавить, щелкните Выберите субъект, введите имя пользователя или имя группы в формате contoso\user1, а затем нажмите кнопку ОК.

  5. В диалоговом окне Элемент аудита для выберите разрешения, аудит которых требуется выполнять, например Полный доступ или Удаление.

  6. Нажмите кнопку ОК четыре раза, чтобы завершить настройку объекта SACL.

  7. Откройте окно проводника и выберите или создайте файл или папку, аудит которой будет выполняться.

  8. Откройте командную строку с повышенными привилегиями и выполните следующую команду.

    gpupdate /force

После настройки параметров для отслеживания изменений централизованных политик доступа, связанных с файлами и папками, убедитесь в том, что изменения отслеживаются.

Mt431886.wedge(ru-ru,VS.85).gifПроверка отслеживания изменений централизованных политик доступа, связанных с файлами и папками

  1. Войдите от имени члена группы локальных администраторов на компьютер, содержащий файлы или папки, аудит которых требуется выполнять.

  2. Откройте окно проводника и выберите файл или папку, аудит которой был настроен в рамках предыдущей процедуры.

  3. Щелкните правой кнопкой мыши файл или папку, выберите Свойства, перейдите на вкладку Безопасность, а затем щелкните Дополнительно.

  4. Перейдите на вкладку Централизованная политика, щелкните Изменить и выберите другую централизованную политику доступа (если она доступна) либо выберите Централизованная политика отсутствует, а затем дважды нажмите кнопку ОК.

    Примечание  

    Чтобы сформировать событие аудита, необходимо выбрать параметр, который отличается от заданного первоначально.

     
  5. В диспетчере сервера выберите Инструменты, затем нажмите на Просмотр событий.

  6. Разверните Журналы Windows и выберите Безопасность.

  7. Найдите событие 4913, которое создается при изменении централизованной политики доступа, которая связана с файлом или папкой. Это событие включает идентификаторы безопасности (SID) старых и новых централизованных политик доступа.

Связанный ресурс

Использование расширенных возможностей аудита безопасности для мониторинга объектов динамического контроля доступа

 

 

Показ: