跟踪对文件/文件夹所做的更改有助于确保数据安全并满足合规性要求的要求。在数据泄露调查期间,记录不必要的更改被证明是有用的,通过密切关注谁更改了文件服务器中的内容,也可以防止内部威胁。以下是使用本机方法跟踪谁更改了文件服务器中的文件或文件夹的方法。
使用本机方法跟踪文件/文件夹的更改
第 1 步:启用“审核对象访问权限”政策
- 启动组策略管理控制台(运行 --> gpedit.msc)
- 创建新的 GPO 并将其链接到包含文件服务器的域,或编辑链接到相关域的现有 GPO。
- 导航到“计算机配置”->“Windows 设置”->“安全设置”->“本地策略”->“审核策略”。
- 在“审核策略”下,选择“审核对象访问”,然后打开审核以显示成功和失败。
第 2 步:编辑相应文件/文件夹中的审核条目
- 找到要跟踪其所有访问的文件或文件夹。右键单击它并转到“属性”。在“安全”选项卡下,单击“高级”。
- 在“高级安全设置”中,转到“审核”选项卡,然后单击“添加”以添加新的审核条目。
第3步:在“Active Directory 的审核条目”对话框中,输入以下详细信息
- 主要:输入要审核其访问权限的用户的名称。
- 类型:选择要审核的访问类型。最好审核“所有”更改。
- 适用于:选择是要仅审核此文件的权限更改,还是要审核所有子文件夹和文件的权限更改。
- 基本权限:选择要审核的权限类型。根据您的特定需求,单击“高级权限”,然后选择“遍历文件夹/执行文件”、“列出文件夹/读取数据”、“创建文件/写入数据”、“创建文件夹/附加数据”、“写入属性”。
第4步:在事件查看器中查看审核日志
- 每次用户访问所选文件/文件夹并更改其权限时,事件查看器中都会记录一个事件日志,若要查看此审核日志,请转到事件查看器。在“Windows 日志”下,选择“安全”。可以在中间窗格中找到所有审核日志,如下所示。
- 在安全 Windows 日志中搜索事件 ID 4656 和 Audit Failed 关键字,找出谁尝试更改文件或文件夹。
使用ADAudit Plus对文件/文件夹进行完整的更改监控
ADAudit Plus提供的报告,只需单击一下即可提取对文件/文件夹所做的更改以及完整的详细信息。这些报告可以以任何格式导出,例如 CSV、PDF、XML 等。实时警报可以发送到您的电子邮件或电话,以便在对关键文件或文件夹进行更改时收到通知。以下是访问这些报告的方法:
登录ADAudit Plus →转到“文件审核”选项卡→在“文件审核报告”下→导航到“所有文件/文件夹更改”报告。选择要跟踪所做更改的时间段以及文件服务器所属的域。
管理员将在本报告中找到详细信息:
- 已更改的文件/文件夹的名称
- 谁进行了更改
- 何时进行更改
- 文件/文件夹的位置
管理员可以通过从报告上方显示的图表中筛选出更改来选择要查看的更改类型。例如,如果想查看已删除的文件,只需从图表中挑选它们,就会显示已删除文件的所有日志。要根据用户或服务器对更改进行分类,每个更改都有单独的报告。它们显示相同的详细信息,但它们是根据您选择的服务器或用户进行策划的。
ADAudit Plus可最大限度地提高对Windows服务器环境的可见性,并使管理员始终掌握IT安全性和合规性。通过有关本地登录和注销操作、文件完整性、打印机使用情况、复制状态等的独家报告,可以鸟瞰 Windows 服务器中发生的活动。再加上 UBA 的强大功能,将能够检测并阻止任何潜在的网络威胁。
