Настройка и просмотр параметров аудита для папок и файлов

0
(0)

Для того чтобы настроить, просмотреть или изменить параметры аудита файлов и папок, требуются следующие действия:

1. В окне программы Проводник (Windows Explorer) выберите нужный файл или папку, откройте окно свойств и перейдите на вкладку Безопасность (Security).

2. На вкладке Безопасность (Security) нажмите кнопку Дополнительно (Advanced), а затем откройте вкладку Аудит (Auditing). Обычно эта вкладка пуста, и операцию следует продолжить. Чтобы включить аудит для учетных записей пользователей или групп, нажмите кнопку Изменить (Edit), а в открывшемся окне — кнопку Добавить (Add).

Определение
Определение

3. При добавлении записей, для которых будет вестись аудит, появляется стандартное окно выбора учетных записей — выберите нужную запись и нажмите кнопку OK. Откроется окно Элемент аудита (Auditing Entry), где нужно установить все требуемые параметры аудита для указанной записи. В списке Применять (Apply onto) укажите, где именно следует выполнять аудит (это поле ввода доступно только для папок).

На панели Доступ (Access) укажите, какие события нужно отслеживать: окончившиеся успешно (Успех (Successful)), неудачно (Отказ (Failed)) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these auditing entries to objects and/or containers within this container only) определяет, нужно ли распространять введенные настройки аудита на файлы и папки, находящиеся только в выбранной папке (и не глубже).

Определение

По умолчанию аудит будет распространяться на все вложенные объекты. Если это не требуется, установите данный флажок (или выберите в списке Применять (Apply onto) опцию Только для этой папки (This folder only)). Это позволит не выполнять аудит для тех вложенных объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку OK, чтобы закрыть все диалоговые окна.

После всех выполненных действий все события доступа к выбранным объектам файловой системы будут регистрироваться в журнале безопасности, для которого лучше создать настраиваемое представление, фильтрующее нужные события.

Отключение аудита для выбранных объектов

Чтобы отключить аудит для некоторого файла или папки, достаточно удалить все записи аудита в окне дополнительных параметров этого объекта. Если кнопка Удалить (Remove) недоступна, это значит, что настройки аудита наследуются от родительской папки, и нужно менять иерархию наследования (т. е. изменять параметры аудита родительских объектов).

Насколько полезен был этот пост?

Нажмите на звезду, чтобы оценить его!

Средний рейтинг 0 / 5. Подсчет голосов: 0

Пока никаких голосов! Будьте первым, кто оценит этот пост.

Блог Comsecurity приложил все усилия, чтобы обеспечить точность и достоверность информации, представленной на этом сайте. Тем не менее, информация предоставляется «как есть» без каких-либо гарантий. Comsecurity не несет никакой ответственности за точность, содержание, полноту, законность или достоверность информации, содержащейся на этом сайте.

Оставить комментарий

avatar
  Подписаться  
Уведомление о