Мониторинг атрибутов ресурсов в файлах и папках

  • Статья

В этом разделе для ИТ-специалистов описываются способы отслеживания попыток изменить параметры атрибутов ресурсов для файлов при использовании дополнительных параметров аудита безопасности для отслеживания объектов динамического контроля доступа.

Если в организации сформирована тщательно продуманная конфигурация авторизации для ресурсов, изменение этих атрибутов ресурсов может потенциально представлять угрозу для безопасности. Примеры:

  • Изменение значимости файлов для бизнеса с высокой на низкую.

  • Изменение атрибута хранения файлов, которые были помечены для хранения.

  • Изменение атрибут отдела файлов, которые имеют метку принадлежности к определенному отделу.

Для настройки параметров отслеживания изменений атрибутов ресурсов для файлов и папок используйте следующие процедуры. Для использования этих процедур предполагается, что в сети были настроены и развернуты централизованные политики доступа. Дополнительные сведения о настройке и развертывании централизованных политик доступа см. в статье Динамический контроль доступа: обзор сценариев.

Примечание  

Сервер может вести себя по-разному в зависимости от версии и выпуска установленной операционной системы, прав и разрешений вашей учетной записи и параметров меню.

 

Mt431889.wedge(ru-ru,VS.85).gifОтслеживание изменений атрибутов ресурсов для файлов

  1. Войдите в свой контроллер домена с использованием учетных данных администратора домена.

  2. В диспетчере сервера выберите Инструменты, затем щелкните Управление групповыми политиками.

  3. В дереве консоли щелкните правой кнопкой мыши объект групповой политики гибкого доступа, после чего нажмите Изменить.

  4. Дважды щелкните Конфигурация компьютера, дважды щелкните Параметры безопасности, дважды щелкните Расширенная настройка политик аудита, дважды щелкните Изменение политики, а затем дважды щелкните Аудит изменения политики авторизации.

  5. Установите флажок Настроить следующие события аудита, установите флажки Успех и С ошибками, а затем нажмите кнопку ОК.

После настройки параметров отслеживания изменений атрибутов ресурсов для файлов убедитесь в том, что отслеживание изменений выполняется.

Mt431889.wedge(ru-ru,VS.85).gifПроверка отслеживания изменений атрибутов ресурсов для файлов

  1. Выполните вход на сервер, где размещены ресурсы, которые требуется отслеживать, с использованием учетных данных администратора.

  2. В командной строке с повышенными привилегиями введите gpupdate /force и нажмите клавишу ВВОД.

  3. Попытайтесь изменить свойства ресурса на одном или нескольких файлах и папках.

  4. В диспетчере сервера выберите Инструменты, затем нажмите на Просмотр событий.

  5. Разверните Журналы Windows и выберите Безопасность.

  6. В зависимости от того, какие атрибуты ресурсов вы попытались изменить, необходимо найти следующие события:

    • Событие с кодом 4911, которое отслеживает изменения атрибутов файлов

    • Событие с кодом 4913, которое отслеживает изменения централизованных политик доступа

    Среди ключевых сведений, на которые следует обращать внимание, — имя и домен учетной записи субъекта, который пытался изменить атрибут ресурса, объект, который пытается изменить субъект, и сведения об изменениях, которые он пытается произвести.

Связанный ресурс

Использование расширенных возможностей аудита безопасности для мониторинга объектов динамического контроля доступа