Аудит файловых систем выявляет, генерирует ли операционная система события аудита, когда пользователи пытаются открыть доступ к объектам в файловой системе. В данной статье мы рассмотрим пример аудита, который используется для ОС WINDOWS 10 (WINDOWS SERVER 2012R2).

Действия аудита создаются только для объектов с установленными системными списками контроля доступа SACL, и только если затребованный тип доступа (к примеру, «записать», «просмотр» или «изменить») и учетная запись, вызвавшая запрос, соответствуют параметрам SACL.

Мониторинг папок и файлов – это совокупность мер по выявлению изменений на серверах и хранилищах информации, которые могут привести к неэффективному пользованию дисковым пространством, ослаблению защиты и ошибкам в программах.

Для автоматизированного анализа и аудита файловой системы предприятия, поиска нарушений прав доступа и отслеживания изменений в критичных данных рекомендуем «СёрчИнформ FileAuditor».   

Мониторинг файловой системы отслеживает два типа событий:

• Успешные попытки – считываются только об удачных событиях (просмотр, изменение и т.д.).
• Отказы – фиксируются после неуспешных событий (неправильно введен пароль, нет полномочий на изменение файла). 

Если настроен аудит успешностей, его отчет будет создаваться в любом случае, когда учетная запись успешно обращается к объектам ОС с соответствующим списком контроля доступа. Если активирован аудит ошибок, запись аудита создается каждый раз, когда пользователь пытается открыть доступ к объектам ОС с соответствующим списком контроля доступа.

Основные цели аудита файловой системы

Проверка файлов и папок производится в рамках общего аудита информационной структуры предприятия и дает возможность:

• обнаружить и дать оценку рискам утечки конфиденциальной информации, проанализировать эффективность работы сервера;
• отследить, с какой эффективностью расходуются корпоративные файловые ресурсы.

Файлы и их содержимое проверяются путем мониторинга реестра безопасности при помощи опции просмотра действий. 

Аудит доступа к файлам отражает, кто виновник изменений или удаления файлов, успешные эти изменения или нет, кто получил полномочия делать записи или изменения, а кто нет. 

Аудит с помощью Active Directory

В дистрибутиве Windows Server элементы домена, включая файловые хранилища сервера, находятся в сервисе активного реестра Active Directory (AD), расположенном на контроллерах участков безопасности. AD служит единой точкой проверки подлинности данных и авторизации для пользователей и служб на предприятии.

После того, как будет активирован аудит входа к папкам в политиках контроллера точки безопасности, в реестр вносятся данные событий успеха и отказа. Для каждого из вариантов рекомендуется установить определенные конфигурации.

Для локальных политик нужно подключить опцию local security policy. Для этого зажмите сочетание клавиш Win+R, пропишите в открывшемся поле secpol.msc и нажмите Ввод.

Затем нужно настроить Аудит доступа к объектам. Эта политика регулирует доступ к элементам файловых ресурсов. В следующем окне нужно выбрать категорию аудита (Успех и/или Отказ) и кликнуть ОК. 

После включения отслеживания интересующих событий можно настроить объекты – файлы и папки. Для этого нужно правой кнопкой мышки вызвать меню Свойства и на вкладке Безопасность кликнуть Дополнительно, а затем Аудит.

Дальше нужно нажать Добавить и задать настройки аудита. Сперва необходимо выбрать субъект (чьи операции будут записываться в реестр проверки).

Можно ввести имена пользователей или групп, а когда имя не задано, использовать кнопку Дополнительно, которая откроет поисковую таблицу, где вы сможете выбрать пользователя или группу, которые вас интересуют. Для управления событиями всех пользователей нужно выбрать группу Все. 

Затем настройте тип контролируемых действий (Успех, Отказ, Все), а также захват проверки – только этот файл, файл с подпапками, одни подпапки, файлы и пр., а также сами управляющие действия.

Далее начнется сбор информации для проверки. Все действия мониторинга записываются в реестр безопасности. Самый простой способ открыть его – через вкладку Управление компьютером compmgmt.msc (Пуск/Панель управления/Администрирование/Управление компьютером). В левом поле выбрать Просмотр действий/Журналы Windows/Безопасность.

Каждому событию Windows присваивает собственный код действия. Перечень действий довольно широк и находится в свободном доступе на платформе Microsoft. 

Для примера можно попробовать отыскать действие по удалению папки. Для этого удаляем нужную папку, в которой заранее активирован аудит (не забудьте скопировать файл, если это не тестовый вариант. 

Дальше ищем действие с кодом (4663) – Доступ к объекту, у которого есть опция Удалить в поле Операции доступа. 

Найти события в реестрах Windows довольно сложно, поэтому часто применяются специальные инструменты анализа – системы наблюдения, скрипты и пр. Вручную устанавливаются необходимые фильтры. В выбранных действиях находят нужное название объекта. Далее нужно двойным кликом мышки активировать его и узнать, кто был виновником изменений. 

Таким образом, с помощью приведенного в примере аудита можно оценить активность ключевых объектов файловой системы и обеспечить ее информационную безопасность.

09.10.2020