Политики аудита файловой системы Windows позволяют отслеживать все события доступа к определенным файлам и папкам на диске. С помощью политик аудита вы можете выявить события создания, чтения, изменения, удаления файлов и папок на файловой системе NTFS в Windows. Чаще всего аудит файлов используется для контроля доступа и изменений в общих сетевых папках, к которым одновременно могут обращаться несколько пользователей.
Включить политику аудита доступа к объектам файловой системы Windows
По умолчанию в Windows аудит событий доступа к файлам и папкам отключен. Включить его можно с помощью групповой политики. Для настройки на отдельном сервере используется редактор локальной групповой политики (gpedit.msc), а для массового включения в домене AD — консоль управления доменными GPO (gpmc.msc).
1. Откройте редактор GPO и перейдите в раздел:
Конфигурация Windows > Параметры безопасности > Конфигурация расширенной политики аудита > Политики аудита системы > Доступ к объектам
2. Откройте политику Аудит файловой системы и укажите, что вы хотите сохранять в журнал только успешные события доступа к объектам файловой системы (Настроить следующие события аудита -> Успех).
3. Сохраните изменения и обновите настройки локальной групповой политики с помощью команды:
gpupdate /force
Также можно включить аудит из командной строки, вывести доступные категории аудита:
AuditPol.exe /list /subcategory:*
Включить аудит успешных событий доступа к объектам файловой системы:
AuditPol.exe /set /subcategory:"File System" /success:enable
Вывести настройки категории аудита:
AuditPol.exe /get /category:"Object Access"
Настройка аудита событий на файлах и папках Windows
После включения политики аудита необходимо настроить параметры аудита на конкретных файлах и папках, которые нужно отслеживать. К примеру, вы хотите отслеживать события чтения, изменения и создания файлов в каталоге C:\Docs.
1. Откройте свойства папки и перейдите на вкладку Безопасность > Дополнительно > Аудит.
2. Нажмите Добавить, в поле Субъект выберите «Пользователя» или «Everyone», чьи события нужно отслеживать.
3. В списке Тип укажите, что нужно отслеживать только успешные события (Успех).
4. В Применяется к выберите, для каких объектов применять аудит (по умолчанию — для этой папки, вложенных объектов и файлов).
5. В Дополнительные разрешения выберите действия, которые хотите отслеживать, например: чтение (Чтение данных/просмотр списка) и изменение файлов (Создание файлов/папок, запись данных).
Можно включить аудит для каталога с помощью PowerShell:
$Path = "C:\Docs"
$AuditChangesRules = New-Object System.Security.AccessControl.FileSystemAuditRule('BUILTIN\Users', 'Delete,DeleteSubdirectoriesAndFiles', 'none', 'none', 'Success')
$Acl = Get-Acl -Path $Path
$Acl.AddAuditRule($AuditChangesRules)
Set-Acl -Path $Path -AclObject $Acl
Настройки аудита папки можно вывести с помощью PowerShell:
(Get-Acl "C:\Docs\" -Audit).Audit
Вывести настройки аудита папки с помощью PowerShell
Чтобы рекурсивно просканировать все каталоги и найти папки, на которых включен аудит файловой системы, воспользуйтесь таким скриптом:
$folders=Get-ChildItem "c:\docs" -Recurse |Where-Object {$_.PSIsContainer}
foreach ($folder in $folders)
{
$auditacl=(Get-Acl $folder.FullName -Audit).audit
if ($auditacl -ne "") {write-host $folder.FullName}
}
Просмотр событий аудита доступа к файлам и папкам в Windows
Теперь, когда с файлами в указанной папке выполняются какие-то действия, политика аудита записывает их в Просмотр событий (Event Viewer). Чтобы просмотреть события:
1. Запустите консоль Просмотр событий (eventvwr.msc).
2. Перейдите в раздел Журналы Windows > Безопасность и отфильтруйте лог по источнику:
Источник событий: Microsoft Windows security audit
Категория задачи: File system
В событиях с Идентификатором события 4663 содержится информация о пользователе, который произвел действие, имя файла и тип операции (например, изменение или удаление).
Использование PowerShell для вывода событий аудита
Для вывода всех событий, связанных с определенным объектом, используйте следующий PowerShell скрипт:
$fileName = "C:\\docs\\13131.txt"
$results = Get-WinEvent -FilterHashtable @{logname='Security'; id=4663,4659} |`
Where-Object { $_.message -match $fileName -and $_.message -notmatch "Имя учетной записи:\s*машина$*"}`
foreach ($result in $results) {
$Account = $result.properties[1].Value
$objectName = $result.properties[6].Value
$accessMask = $result.properties[8].Value
if ( $accessMask -like "*00000000-*") { $accessMask=$result.properties[9].Value}
$accessMask2 = $result.properties[9].Value
$fileOperation = ""
switch -Wildcard ($accessMask) {
"*%%1538*" { $fileOperation = "READ_CONTROL" }
"*%%4416*" { $fileOperation = "Чтение данных (или просмотр каталога)" }
"*%%4417*" { $fileOperation = "Запись данных (или добавление файла)" }
"*%%4418*" { $fileOperation = "Добавление данных (или добавление папки или создание канала)" }
"*%%4419*" { $fileOperation = "Чтение расширенных атрибутов" }
"*%%4420*" { $fileOperation = "Запись расширенных атрибутов" }
"*%%4423*" { $fileOperation = "Чтение атрибутов" }
"*%%4424*" { $fileOperation = "Запись атрибутов" }
"*%%4426*" { $fileOperation = "Удаление" }
"*%%4428*" { $fileOperation = "Чтение разрешений" }
"*%%4429*" { $fileOperation = "Запись DAC" }
"*%%4430*" { $fileOperation = "Запись владельца" }
"*%%4432*" { $fileOperation = "Синхронизация" }
"*%%4433*" { $fileOperation = "Доступ к системной безопасности" }
"*%%4434*" { $fileOperation = "Максимально допустимый доступ" }
"*%%4436*" { $fileOperation = "Полный доступ" }
"*%%4437*" { $fileOperation = "Выполнение" }
"*%%4438*" { $fileOperation = "Запись" }
"*%%4439*" { $fileOperation = "Чтение" }
"*%%1537*" { $fileOperation = "Удаление" }
default { $fileOperation = "Неизвестно" }
}
Write-Host $result.Id $result.TimeCreated $Account $objectName $fileOperation
}
Этот скрипт выведет все действия с указанным файлом, которые были зафиксированы политиками аудита в Windows.