Objects auditing - makves-ru/makves GitHub Wiki

Настройка аудита на файловых ресурсах

Для того, чтобы можно было настраивать аудит файлов и папок необходимо предварительно включить эту возможность через локальные (или в случае если у Вас используется Microsoft AD групповые) политики безопасности. Нажимаем Ctrl+R и в строке выполнить пишем secpol.msc

В открывшемся окне локальных политик ищем Security Settings > Local Policies > Audit Policy > Aydit object access

Кликаем два раза, и ставим галочки Success и Failure. Нажимаем OK.

Для включения групповой политики нужно воспользоваться оснасткой Group Policy Management

Находим Default Domain Controolers Policy нажимаем правой мышью и кликаем Edit

В окне Group Policy Management Editor ищем computer configuration > Policies > Windows Settings > Local Policies > Audit Policy

Выбираем audit policy access Устанавливаем флажки Define, Success, Failure

Так же есть возможность детальной настройки аудита для файлов, и файловых шар Для этого в Group Policy Management Editor находим Advanced Audit Policy Configuration > Audit Policies > Object Access В окне справа находим Audit Detailed File Shre Properties Устанавливаем флажки Define, Success, Failure

Повторить аналогичное действие для Audit File Share и Audit File System.

ВАЖНО При использовании Advanced Audit Policy Configuration, они получают приоритет и обычные настройки аудита перестают действовать.

Итак возможность аудита включена, переходим к настройке папок. Находим нашу целевую папку для аудита и заходим в ее свойства.

Заходим на вкладку Security и нажимаем кнопку Advanced

В появившемся окне заходим во вкладку Auditing

Нажимаем Add и приступаем к настройке аудита этой папки. principal(субъект) - чьи действия будут записываться в журнал аудита Выбираем everyone и нажимаем OK.

Теперь нужно настроить тип событий (Успех, Отказ или Все), область применения (только эта папка, папка и подпапки или только файлы и т.д.) и, самое главное - события аудтита. Предположим нам требуется аудировать все папки, подпапки и файлы, все типы событий. Нужно выбрать Type: "All", Applies to: "This folder, subfolders and files". Нажимаем кнопку Advanced permissions и устанавливаем !ВСЕ! галочки событий

Убедитесь что нижний флажок «Apply these auditing entries to objects and/or containers within this container only» не установлен.

Нажмите «ОК», на этом настройка одной файловой шары завершена.