Мониторинг использования съемных носителей

  • Статья

В этом разделе для ИТ-специалистов описываются способы отслеживания попыток использования съемных запоминающих устройств для получения доступа к сетевым ресурсам. В нем говорится, как с помощью дополнительных параметров аудита безопасности отслеживать объекты динамического контроля доступа.

Если настроить этот параметр политики, событие аудита будет создаваться каждый раз, когда пользователь пытается скопировать, переместить или сохранить ресурс на съемном запоминающем устройстве.

Для отслеживания использования съемных носителей и проверки того, что такие устройства контролируются, используйте следующие процедуры.

Примечание  

Сервер может вести себя по-разному в зависимости от версии и выпуска установленной операционной системы, прав и разрешений вашей учетной записи и параметров меню.

 

Mt431892.wedge(ru-ru,VS.85).gifНастройка параметров для отслеживания съемных носителей

  1. Войдите в свой контроллер домена с использованием учетных данных администратора домена.

  2. В диспетчере сервера выберите Инструменты, затем щелкните Управление групповыми политиками.

  3. В дереве консоли щелкните правой кнопкой мыши объект групповой политики гибкого доступа для контроллера домена, затем нажмите кнопку Изменить.

  4. Дважды щелкните Конфигурация компьютера, дважды щелкните Параметры безопасности, дважды щелкните Расширенная настройка политик аудита, дважды щелкните Доступ к объектам, а затем дважды щелкните Аудит съемных носителей.

  5. Установите флажок Настроить следующие события аудита, установите флажок Успешно (и при необходимости флажок С ошибками), затем нажмите кнопку ОК.

  6. Если был установлен флажок С ошибками, дважды щелкните Аудит работы с дескриптором, установите флажок Настроить следующие события аудита, а затем выберите С ошибками.

  7. Нажмите кнопку ОК и закройте редактор управления групповыми политиками.

После настройки параметров отслеживания съемных носителей, выполните следующую процедуру для проверки того, что параметры активны.

Mt431892.wedge(ru-ru,VS.85).gifПроверка отслеживания съемных носителей

  1. Выполните вход на компьютер, где размещены ресурсы, которые требуется отслеживать. Нажмите клавишу Windows и клавишу R, затем введите cmd и откройте окно командной строки.

    Примечание  

    Если откроется диалоговое окно «Контроль учетных записей», убедитесь, что в нем указано требуемое действие, а затем нажмите кнопку Да.

     

  2. Введите gpupdate /force и нажмите клавишу ВВОД.

  3. Подключите съемный носитель к целевому компьютеру и попытайтесь скопировать файл, защищенный политикой аудита съемных носителей.

  4. В диспетчере сервера выберите Инструменты, затем нажмите на Просмотр событий.

  5. Разверните Журналы Windows и выберите Безопасность.

  6. Найдите событие 4663, которое заносит в журнал успешные попытки записи на съемный носитель или чтения с него. При ошибках в журнал вносится событие с кодом 4656. Оба события имеют настройку Категория задач = съемное запоминающее устройство.

    Ключевые сведения, на которые необходимо обратить внимание — это имя и домен учетной записи пользователя, который попытался получить доступ к файлу, объект, доступ к которому пользователь попытается получить, атрибутам ресурсов и тип доступа.

    Примечание  

    Мы не рекомендуем включать эту категорию на файловом сервере, где общие папки с файлами размещены на съемном запоминающем устройстве. Когда аудит съемных носителей будет настроен, любая попытка получить доступ к съемному запоминающему устройству создаст событие аудита.

     

Связанный ресурс

Использование расширенных возможностей аудита безопасности для мониторинга объектов динамического контроля доступа