单位局域网内有一台服务器,被大家用来作为文件共享服务器,服务器上建立了文件共享目录,

同事在自己主机上通过文件共享访问服务器上共享的文档资料,方便了同事们的平时工作。

虽然提醒服务器上的文档资料使用完后要自行删除,但久而久之,共享目录下仍然积累了很多

单位的文档资料。强制清空,同事们有意见,不清空吧,在提供方便的同时,也带来了很大的安

全隐患。因此,想用Windows自带的功能实现对共享目录的监控,以对抱有私自查看和复制他人

文件想法的人员,给予震慑。

 

从易到难,使用两种方法:

 

1、检查当前的文件操作

在“控制面板”-“计算机管理”中,有“共享文件夹”-“会话”,可以查看当前访问共享目录的主机、

使用的用户,但有很大的问题,就是不知道具体执行的操作和操作针对的文件。审计还不够完整,就要

用到下面的文件审计的方法。

 

2、审计当前和历史的文件操作

这种方法审计的内容完整,而且不仅能查看当前的文件操作,还能审计过去发生的文件操作,更加符合要求。

 

(1)首先,要在服务器上启动审计,在“本地安全设置”-“本地策略”-“审核策略”,可以看到提供了多种

审计内容,我们主要关心文件操作,因此启用“审核对象访问”,包括“成功”和“失败”的操作;

 

(2)然后,对共享目录打开审计,在“共享和安全”-“安全”-“高级”-“审计”,可以看到可以审计很多文件

操作,我们主要关系文件的拷出和拷入,因此选择审计“读取数据”和“写入数据”;

 

(3)注销当前用户,重新登录,让上面的设置生效。

 

(4)打开事件查看器,查看审计记录。

可以看到共享目录上发生的文件操作(事件ID为560),包括访问的文件和和具体操作(读取或写入),但美中不

足的是查看不到访问主机,这样我们就不方便定位到责任人;

 

(5)但是可以用检查与文件操作的事件最接近的登录事件来弥补,进行文件操作前,主机肯定要远程登录服务器,因此

会产生相应的事件。查看事件ID为540的登录事件,可以查看到远程登录到共享目录所在服务器的主机名称。

 

(6)通过主机名称就能定位到责任人,如果主机名还不够直接的话,还可以使用nbtstat命令,根据主机名称查询主机的

IP地址。如果对交换机熟悉的话,还能根据IP地址查到主机连接的交换机和端口,定位责任人就更加方便了。