中小企业用Windows Server作为服务器系统应该还是占绝大多数的,而共享文件夹映射为网络驱动器供员工访问、存储数据也是最普遍的应用之一。
凡事有利有弊,这个对立面是永远存在的,文件共享访问同样也存在这样的问题。虽然可以通过NTFS的权限以及在域里面为用户分组进行权限的管控,但很难 做到对每一个独立用户的权限管控,因此在实际应用中就总有这样那样的问题,比如某个文件又被某个不知名的人删除了。到最后大家都推脱责任,因为某个文件夹 是某些人共同拥有权限的,所以即便知道是哪些人中的某人删除了文件,但你无法知道是具体的人。
虽然删除的文件可以通过Shadow Copy或其他备份手段找回,但毕竟麻烦,如果能让系统记录这一事件就比较好了,有系统记录就推脱不了了,按以下几步操作即可实现对共享目录中的文件删除事件的记录。
一、打开“审核对象访问”
运行gpmc.msc打开组策略管理,右键单击域控制器,新建一个“GPO并链接”,命名为“文件访问记录”(名字可随便自己取)。
在右侧“安全筛选”中添加要记录的组、用户。
右击刚添加的“文件访问记录”,选择“编辑”打开“组策略编辑器”,依次定位到“计算机配置→Windows设置→安全设置→本地策略→审核策略”,双击右侧的“审核对象访问”,勾选“定义这些策略设置”及“成功”项,“失败”项不需要打勾。
二、添加审核用户
右键单击需要审核的共享文件夹,选择“属性”,然后切换到“安全”标签,单击“高级”按钮,在新对话框中切换到“审核”标签,添加要审核的用户、组,在“审核项目”中勾选和删除相关的项目。
到指定共享目录中,使用受审核记录的用户删除一个文件,这时在系统的安全日志中就会有ID为560的事件了。
在“描述”中向下滚动可以看到特权是“DELETE”,也就是删除了。
至此我们的目的就已经达到了,可以记录文件被删除的事件。虽然通过审核功能还可以审核文件被复制、打开等众多事件,但不建议审核所有事件,否则事件日志将会增长飞快,而只记录“删除”相关的记录则会好得多,但缺点就是不能得到详细的访问记录了。
如果内部管制很严的话,就不建议采用这种共享映射的方式来访问、存储文件,可以采用FTP的方式,当然如果预算允许的话,采购专用的NAS存储设备也是个不错的选择,因为专门针对网络存储而设计,一般在权限以及访问日志的记录方面非常详细。
出处http://windyli.blog.51cto.com/1300305/292287
另一篇参考:
网上看到的一篇讲述windows审核策略的文章,感觉不错,我就懒得写了。
老板给分配了这样一个任务:他想要知道每个员工每天都在公司的几台公用电脑上何时运行过什么程序以及何时访问过本地硬盘的哪些文件,而这个监控活动还不能让员工发现。经过考虑我想出了一个方法,利用Windows XP的审核策略。
要使用这种方法,首先要满足以下条件:
操作系统为Windows XP Professional (必需是Professional版)或者Windows Server 2003
硬盘分区都是NTFS文件系统
在文件夹选项的查看选项卡下禁用了简单文件共享
公司使用公用电脑的员工都有自己的用户账户(这样才知道哪个账户对应的是哪位员工),并且这些员工的账户都只能有最基本的权限(以防他们修改策略设置)
下面开始设置,首先是要打开计算机上的审核策略。以具有管理员权限的账户登录,在运行中输入“Gpedit.msc”并回车,打开组策略编辑器,在左侧的 面板中依次展开“计算机配置-Windows设置-安全设置-本地策略-审核策略”,然后在右侧的面板中双击打开“审核对象访问”这个策略,选中“成功” 后点击确定关闭这个窗口。
假设我们的程序都安装在“C:\Program Files”文件夹下,那么打开我的电脑,并进入到C盘(NTFS文件系统),在Program Files文件夹上点击鼠标右键,选择“属性”(已禁用简单文件共享),接着在属性窗口的“安全”选项卡上点击“高级”按钮,打开高级属性的“审核”选项 卡。点击“添加”按钮,然后在“选择用户和组”对话框中输入“Everyone”并回车,接着你会看到图二的界面,一定要确保在“应用到”下拉菜单中选择 的是“该文件夹,子文件夹及文件”,然后在下面的对话框中选中“遍历文件夹/运行文件”这个选项右侧的“成功”复选框。这样以后所有对Program Files文件夹内所有子文件夹的成功访问以及所有文件的成功执行都会被系统记录起来。
现在就可以放心让员工使用电脑了,只要他们访问到了之前我们进行审核的任何对象,系统都会忠实地记录,这些记录是通过事件查看器查看的。
同样以具有管理员权限的账户登录,在运行中输入“eventvwr.exe”并回车,打开事件查看器,点击左侧的“安全性”条目,所有的审核日志以及其他 一些安全日志都会显示在这里。双击任何一个打开后可以看到图三的界面,以图三显示的日志为例,这个日志就说明了在2004年2月27日中午11点半,用户 “c_c_liu”在名为“alex-xp2”的计算机上成功运行了Windows资源管理器。
如果你觉得这里显示的内容太多不好查看,也可以使用筛选器过滤掉其他无关信息。在事件查看器的“查看”菜单下点击“筛选”,然后可以看到图四的界面,其中 “事件类型”下选择“成功审核”,“事件来源”选择“Security”,“类别”选择“对象访问”,“用户”处输入想要查看运行程序的用户账户名称,并 点击确定,所有符合要求的日志就会全部显示出来。 
如果你需要查看其他电脑上的日志,也不用专门在其他电脑上操作那么麻烦,只要所有电脑都位于同一个局域网中,直接在一台电脑上就可以做到(需要具有其他电 脑的管理员权限)。同样是在事件查看器中,在左侧列表的“事件查看器(本地)”上点击鼠标右键,选择“ 连接到另一台计算机”,然后在弹出的新窗口中输入计算机的名称点击“确定”,稍等片刻就可以连接到网络中的其他计算机,
可以仔细看一下区别,左侧列表中的名称便成了“事件查看器(远程机器名称)”。在这里需要注意一下,连接远程计算机的事件查看器时你可能会遇到访问被拒绝 的情况,这个原因说起来很麻烦,不过解决方法很简单,通过网络邻居访问一下远程电脑,并在弹出的认证对 话框中输入一个有效的用户名和密码,点选“记住我的密码”。这样再次连接的时候就不会被拒绝了。当然,访问完成后你可能希望删除这个记住的密码,在控制面 板中打开“用户账户”,点选你使用的账户后点击左侧的“管理我的网络密码”,然后会出现一个类似图六的 窗口,在这里删除相应的记录即可。
审核策略的功能是非常强大的,不仅对文件夹的访问和文件的执行,其他的,例如用户的登录和注销、打印机的使用以及系统设置的更改都逃不过审核策略的监视。不过在使用审核策略的同时还有一些问题要注意:
首先,审核是一种很占用计算机资源的操作,尤其是当你要审核的对象非常多时,很有可能会降低系统的性能。因此只有在需要的时候才打开必需的审核策略。
其次,保存审核日志是需要硬盘空间的,如果你审核的对象非常多,而对象的变动也很频繁的话那么短时间内审核日志就可能会占据了大量的硬盘空间。因此日志需要经常性查看和清理,这个将会在后面说明。
最后,记得给你的审核日志规定一个合适的大小,因为默认情况下审核日志的所占用的硬盘空间是被限定的,如果你的日志太多,那么新的日志就会冲掉旧的,这样一些重要的信息可能就会因为被冲掉而被忽略了。
最后要说的就是审核日志大小的设定以及管理方法。
同样是运行eventvwr.exe打开事件查看器,在左侧面板的“安全性”条目上点击鼠标右键,选择“属性”,将能看到图七的对话框,你可以根据需要把 日志文件的大小设定为10000KB,也可以设定当日志达到规定大小后所采取的操作。这样就不会漏掉重要的日志,也不用担心日志占用了太多的硬盘空间。当 然,在查看完所有的日之后可以点击“清除日志”按钮把这些记录全部删掉。
希望通过这个例子,你能用好审核策略,使你的系统更安全。
参考自:http://bbs.bitscn.com/78417
转载于:https://blog.51cto.com/stark/768646
1769
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
