深入了解服務器環境中正在發生的事情至關重要,尤其是在涉及審計訪問對象和更精細的細節(如windows 文件審計)時。
審計訪問對象意味著確定誰以及何時訪問了您的文件系統,您可以審計所有對象,不僅是文件和文件夾,還包括注冊表項、打印機和服務。
大多數系統管理員想知道誰訪問了哪個文件并編輯、修改、重命名甚至刪除了某個文件或文件夾。如果敏感數據受到損害,實時預警至關重要。事件未被發現的時間越長,它可能造成的損害就越大。
文件服務器訪問權限
例如,您如何知道誰試圖訪問他們沒有業務權限的文件?尤其是當多個用戶可以訪問某些機密數據時,例如財務記錄、醫療記錄、帳戶和員工文件夾。
這些審計策略應該定期更新,而不僅僅是為了滿足基本的數據安全法規。隨著新技術和不斷更新的 IT 系統,管理用戶權限和特權訪問變得越來越困難。
敏感數據訪問
Windows 文件審核:如何正確保護服務器上的文件
Windows 服務器上的安全性通過 NT 文件系統進行,其中包括 SACL 或安全訪問控制列表,這是一種用于跟蹤服務器上對象訪問的機制。
文件和文件夾審核可以通過兩種方式進行管理:使用組策略或在本地使用單個服務器的安全策略。
您將在本地安全策略 > 系統審計策略 > 對象訪問下找到審計文件系統選項。
當您只有一兩臺服務器并且只需要跟蹤幾個本地文件和文件夾時,您可以在本地設置整個流程。
但是,如果您有更多服務器,建議您通過 Active Directory 配置 Windows 文件審核策略,該策略將應用于您的所有服務器和工作站。此外,這是自動跟蹤和審核更多對象的最佳方式,無需手動單擊每個設置。
Windows 文件審核策略
Windows 文件審核最佳實踐:
不要將單個用戶帳戶直接添加到訪問控制列表中。
創建多個組,并將它們添加到 ACL。
當只有一個用戶將訪問某個文件時,將該用戶放在一個單獨的組中,并將該組添加到 ACL。
跟蹤成功和失敗的文件訪問
您需要做的第一件事是在您的服務器上啟用文件訪問審計。
默認情況下,審核對象訪問未打開 - 您必須手動配置它。但在此之前,您需要在 Active Directory中配置本地組策略或組策略對象 (GPO) 。完成此操作后,您可以轉到“審核對象訪問”屬性并決定是否要為成功或失敗的訪問打開跟蹤選項,或兩者兼而有之。
您必須做的第三件事是直接在數據級別選擇要審核的操作、訪問類型以及原因. 我的意思是,你可以像這樣配置你的審計策略,但是你會減慢你的服務器,塞滿你的日志事件,并導致索引量的混亂。
如何在 Windows 服務器上配置組策略和文件審核
這是有關如何啟用 Windows 文件審核的分步指南。
您必須登錄到域控制器以檢查您是否啟用了組策略管理。
在啟用文件夾審核中,您將了解
1) 如何為沒有組策略管理功能的域配置組策略。
2) 如何使用組策略管理功能對其進行配置以及如何配置 Windows 文件審核。
Active Directory組策略
問題:查看文件審核結果
如果您沒有第三方 Windows 文件審核解決方案,您將不得不習慣于使用 Windows 安全事件日志來手動查看誰在何時何地做了什么。這只是冰山一角。
管理安全事件日志是一項艱苦的工作,尤其是在您負責協作工作環境的情況下。一個問題是 Windows 文件審核只能記錄某個文件更改的發生,但它不能提供有關前后狀態的詳細信息。
通過用戶實時性能報告分析重要的性能計數器
ADAudit(文件服務器 審計軟件)
ADAudit是一款AD域變更審計與報表軟件,它能對AD域內用戶的行為進行跟蹤,通過生成的各類報表對用戶行為進行分析。發現異常行為或惡意操作,實時進行報警,讓域內用戶行為真正的可視化。對網絡合規性的審計有非常大的幫助。相比以往管理員通過域控制器對域內用戶行為審查,ADAudit不僅增加了審查效率,還能通過對域內的關聯事件進行分析,徹底的對域用戶的各類行為進行有效審計。
企業網絡用戶行為的規范對網絡信息安全非常重要,因此用戶行為的審計自然不可避免。它不僅對網絡信息安全具有很大的幫助,更給企業網絡合規性的審計提供重要支持。
