<返回更多

Windows 文件审核 – 如何保护服务器上的文件

2022-03-22    运维有小邓
加入收藏

深入了解服务器环境中正在发生的事情至关重要,尤其是在涉及审计访问对象和更精细的细节(如windows 文件审计)时。

审计访问对象意味着确定谁以及何时访问了您的文件系统,您可以审计所有对象,不仅是文件和文件夹,还包括注册表项、打印机和服务。

大多数系统管理员想知道谁访问了哪个文件并编辑、修改、重命名甚至删除了某个文件或文件夹。如果敏感数据受到损害,实时预警至关重要。事件未被发现的时间越长,它可能造成的损害就越大。

Windows 文件审核 – 如何保护服务器上的文件

文件服务器访问权限

例如,您如何知道谁试图访问他们没有业务权限的文件?尤其是当多个用户可以访问某些机密数据时,例如财务记录、医疗记录、帐户和员工文件夹。

这些审计策略应该定期更新,而不仅仅是为了满足基本的数据安全法规。随着新技术和不断更新的 IT 系统,管理用户权限和特权访问变得越来越困难。

Windows 文件审核 – 如何保护服务器上的文件

敏感数据访问

Windows 文件审核:如何正确保护服务器上的文件

Windows 服务器上的安全性通过 NT 文件系统进行,其中包括 SACL 或安全访问控制列表,这是一种用于跟踪服务器上对象访问的机制。

文件和文件夹审核可以通过两种方式进行管理:使用组策略或在本地使用单个服务器的安全策略。

您将在本地安全策略 > 系统审计策略 > 对象访问下找到审计文件系统选项。

当您只有一两台服务器并且只需要跟踪几个本地文件和文件夹时,您可以在本地设置整个流程。

但是,如果您有更多服务器,建议您通过 Active Directory 配置 Windows 文件审核策略,该策略将应用于您的所有服务器和工作站。此外,这是自动跟踪和审核更多对象的最佳方式,无需手动单击每个设置。

Windows 文件审核 – 如何保护服务器上的文件

Windows 文件审核策略

Windows 文件审核最佳实践:

不要将单个用户帐户直接添加到访问控制列表中。

创建多个组,并将它们添加到 ACL。

当只有一个用户将访问某个文件时,将该用户放在一个单独的组中,并将该组添加到 ACL。

跟踪成功和失败的文件访问

您需要做的第一件事是在您的服务器上启用文件访问审计。

默认情况下,审核对象访问未打开 - 您必须手动配置它。但在此之前,您需要在 Active Directory中配置本地组策略或组策略对象 (GPO) 。完成此操作后,您可以转到“审核对象访问”属性并决定是否要为成功或失败的访问打开跟踪选项,或两者兼而有之。

您必须做的第三件事是直接在数据级别选择要审核的操作、访问类型以及原因. 我的意思是,你可以像这样配置你的审计策略,但是你会减慢你的服务器,塞满你的日志事件,并导致索引量的混乱。

如何在 Windows 服务器上配置组策略和文件审核

这是有关如何启用 Windows 文件审核的分步指南。

您必须登录到域控制器以检查您是否启用了组策略管理。

在启用文件夹审核中,您将了解

1) 如何为没有组策略管理功能的域配置组策略。

2) 如何使用组策略管理功能对其进行配置以及如何配置 Windows 文件审核。

Windows 文件审核 – 如何保护服务器上的文件

Active Directory组策略

问题:查看文件审核结果

如果您没有第三方 Windows 文件审核解决方案,您将不得不习惯于使用 Windows 安全事件日志来手动查看谁在何时何地做了什么。这只是冰山一角。

管理安全事件日志是一项艰苦的工作,尤其是在您负责协作工作环境的情况下。一个问题是 Windows 文件审核只能记录某个文件更改的发生,但它不能提供有关前后状态的详细信息。

通过用户实时性能报告分析重要的性能计数器

Windows 文件审核 – 如何保护服务器上的文件

ADAudit(文件服务器 审计软件)

ADAudit是一款AD域变更审计与报表软件,它能对AD域内用户的行为进行跟踪,通过生成的各类报表对用户行为进行分析。发现异常行为或恶意操作,实时进行报警,让域内用户行为真正的可视化。对网络合规性的审计有非常大的帮助。相比以往管理员通过域控制器对域内用户行为审查,ADAudit不仅增加了审查效率,还能通过对域内的关联事件进行分析,彻底的对域用户的各类行为进行有效审计。

企业网络用户行为的规范对网络信息安全非常重要,因此用户行为的审计自然不可避免。它不仅对网络信息安全具有很大的帮助,更给企业网络合规性的审计提供重要支持。

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>