Windows 文件审核 – 如何保护服务器上的文件

深入了解服务器环境中正在发生的事情至关重要，尤其是在涉及审计访问对象和更精细的细节（如windows 文件审计）时。

审计访问对象意味着确定谁以及何时访问了您的文件系统，您可以审计所有对象，不仅是文件和文件夹，还包括注册表项、打印机和服务。

大多数系统管理员想知道谁访问了哪个文件并编辑、修改、重命名甚至删除了某个文件或文件夹。如果敏感数据受到损害，实时预警至关重要。事件未被发现的时间越长，它可能造成的损害就越大。

文件服务器访问权限

例如，您如何知道谁试图访问他们没有业务权限的文件？尤其是当多个用户可以访问某些机密数据时，例如财务记录、医疗记录、帐户和员工文件夹。

这些审计策略应该定期更新，而不仅仅是为了满足基本的数据安全法规。随着新技术和不断更新的 IT 系统，管理用户权限和特权访问变得越来越困难。

敏感数据访问

Windows 文件审核：如何正确保护服务器上的文件

Windows 服务器上的安全性通过 NT 文件系统进行，其中包括 SACL 或安全访问控制列表，这是一种用于跟踪服务器上对象访问的机制。

文件和文件夹审核可以通过两种方式进行管理：使用组策略或在本地使用单个服务器的安全策略。

您将在本地安全策略 > 系统审计策略 > 对象访问下找到审计文件系统选项。

当您只有一两台服务器并且只需要跟踪几个本地文件和文件夹时，您可以在本地设置整个流程。

但是，如果您有更多服务器，建议您通过 Active Directory 配置 Windows 文件审核策略，该策略将应用于您的所有服务器和工作站。此外，这是自动跟踪和审核更多对象的最佳方式，无需手动单击每个设置。

Windows 文件审核策略

Windows 文件审核最佳实践：

不要将单个用户帐户直接添加到访问控制列表中。

创建多个组，并将它们添加到 ACL。

当只有一个用户将访问某个文件时，将该用户放在一个单独的组中，并将该组添加到 ACL。

跟踪成功和失败的文件访问

您需要做的第一件事是在您的服务器上启用文件访问审计。

默认情况下，审核对象访问未打开 - 您必须手动配置它。但在此之前，您需要在 Active Directory中配置本地组策略或组策略对象 (GPO) 。完成此操作后，您可以转到“审核对象访问”属性并决定是否要为成功或失败的访问打开跟踪选项，或两者兼而有之。

您必须做的第三件事是直接在数据级别选择要审核的操作、访问类型以及原因. 我的意思是，你可以像这样配置你的审计策略，但是你会减慢你的服务器，塞满你的日志事件，并导致索引量的混乱。

如何在 Windows 服务器上配置组策略和文件审核

这是有关如何启用 Windows 文件审核的分步指南。

您必须登录到域控制器以检查您是否启用了组策略管理。

在启用文件夹审核中，您将了解

1) 如何为没有组策略管理功能的域配置组策略。

2) 如何使用组策略管理功能对其进行配置以及如何配置 Windows 文件审核。

Active Directory组策略

问题：查看文件审核结果

如果您没有第三方 Windows 文件审核解决方案，您将不得不习惯于使用 Windows 安全事件日志来手动查看谁在何时何地做了什么。这只是冰山一角。

管理安全事件日志是一项艰苦的工作，尤其是在您负责协作工作环境的情况下。一个问题是 Windows 文件审核只能记录某个文件更改的发生，但它不能提供有关前后状态的详细信息。

通过用户实时性能报告分析重要的性能计数器

ADAudit（文件服务器 审计软件）

ADAudit是一款AD域变更审计与报表软件，它能对AD域内用户的行为进行跟踪，通过生成的各类报表对用户行为进行分析。发现异常行为或恶意操作，实时进行报警，让域内用户行为真正的可视化。对网络合规性的审计有非常大的帮助。相比以往管理员通过域控制器对域内用户行为审查，ADAudit不仅增加了审查效率，还能通过对域内的关联事件进行分析，彻底的对域用户的各类行为进行有效审计。

企业网络用户行为的规范对网络信息安全非常重要，因此用户行为的审计自然不可避免。它不仅对网络信息安全具有很大的帮助，更给企业网络合规性的审计提供重要支持。