深入了解服务器环境中正在发生的事情至关重要,尤其是在涉及审计访问对象和更精细的细节(如windows 文件审计)时。
审计访问对象意味着确定谁以及何时访问了您的文件系统,您可以审计所有对象,不仅是文件和文件夹,还包括注册表项、打印机和服务。
大多数系统管理员想知道谁访问了哪个文件并编辑、修改、重命名甚至删除了某个文件或文件夹。如果敏感数据受到损害,实时预警至关重要。事件未被发现的时间越长,它可能造成的损害就越大。
文件服务器访问权限
例如,您如何知道谁试图访问他们没有业务权限的文件?尤其是当多个用户可以访问某些机密数据时,例如财务记录、医疗记录、帐户和员工文件夹。
这些审计策略应该定期更新,而不仅仅是为了满足基本的数据安全法规。随着新技术和不断更新的 IT 系统,管理用户权限和特权访问变得越来越困难。
敏感数据访问
Windows 文件审核:如何正确保护服务器上的文件
Windows 服务器上的安全性通过 NT 文件系统进行,其中包括 SACL 或安全访问控制列表,这是一种用于跟踪服务器上对象访问的机制。
文件和文件夹审核可以通过两种方式进行管理:使用组策略或在本地使用单个服务器的安全策略。
您将在本地安全策略 > 系统审计策略 > 对象访问下找到审计文件系统选项。
当您只有一两台服务器并且只需要跟踪几个本地文件和文件夹时,您可以在本地设置整个流程。
但是,如果您有更多服务器,建议您通过 Active Directory 配置 Windows 文件审核策略,该策略将应用于您的所有服务器和工作站。此外,这是自动跟踪和审核更多对象的最佳方式,无需手动单击每个设置。
Windows 文件审核策略
Windows 文件审核最佳实践:
不要将单个用户帐户直接添加到访问控制列表中。
创建多个组,并将它们添加到 ACL。
当只有一个用户将访问某个文件时,将该用户放在一个单独的组中,并将该组添加到 ACL。
跟踪成功和失败的文件访问
您需要做的第一件事是在您的服务器上启用文件访问审计。
默认情况下,审核对象访问未打开 - 您必须手动配置它。但在此之前,您需要在 Active Directory中配置本地组策略或组策略对象 (GPO) 。完成此操作后,您可以转到“审核对象访问”属性并决定是否要为成功或失败的访问打开跟踪选项,或两者兼而有之。
您必须做的第三件事是直接在数据级别选择要审核的操作、访问类型以及原因. 我的意思是,你可以像这样配置你的审计策略,但是你会减慢你的服务器,塞满你的日志事件,并导致索引量的混乱。
如何在 Windows 服务器上配置组策略和文件审核
这是有关如何启用 Windows 文件审核的分步指南。
您必须登录到域控制器以检查您是否启用了组策略管理。
在启用文件夹审核中,您将了解
1) 如何为没有组策略管理功能的域配置组策略。
2) 如何使用组策略管理功能对其进行配置以及如何配置 Windows 文件审核。
Active Directory组策略
问题:查看文件审核结果
如果您没有第三方 Windows 文件审核解决方案,您将不得不习惯于使用 Windows 安全事件日志来手动查看谁在何时何地做了什么。这只是冰山一角。
管理安全事件日志是一项艰苦的工作,尤其是在您负责协作工作环境的情况下。一个问题是 Windows 文件审核只能记录某个文件更改的发生,但它不能提供有关前后状态的详细信息。
通过用户实时性能报告分析重要的性能计数器
ADAudit(文件服务器 审计软件)
ADAudit是一款AD域变更审计与报表软件,它能对AD域内用户的行为进行跟踪,通过生成的各类报表对用户行为进行分析。发现异常行为或恶意操作,实时进行报警,让域内用户行为真正的可视化。对网络合规性的审计有非常大的帮助。相比以往管理员通过域控制器对域内用户行为审查,ADAudit不仅增加了审查效率,还能通过对域内的关联事件进行分析,彻底的对域用户的各类行为进行有效审计。
企业网络用户行为的规范对网络信息安全非常重要,因此用户行为的审计自然不可避免。它不仅对网络信息安全具有很大的帮助,更给企业网络合规性的审计提供重要支持。