Monitorowanie plików i katalogów, czyli „kto mi kasuje dane?”

Na serwerze plików, z którego korzysta wiele osób nie raz trudno jest namierzyć kogoś, kto czyni szkody na przykład kasując dane. I wcale nie musi to być działanie świadomie. Sam miałem do czynienia z użytkownikami, którzy zamiast tworzyć skrót, przenosili sobie cały folder na pulpit, a wszystko to z braku podstawowej wiedzy o komputerach… To prawda, gdyby każdy był Specem IT, nie byłoby to takie ciekawe:) Czy administrator serwera plików może śledzić tego typu zdarzenia?

Oczywiście, że może.  „File and folder auditing”  to jedna z ciekawszych opcji, jakie kontroluje Group Policy (patrz Wikipedia), czyli Local Group Policy (LGP) i/lub Group Policy Object (GPO). GPO użyjemy, jeśli nasze ustawienia mają spłynąć na grupę maszyn w domenie np. wybrany kontener w Drzewie Active Directory, zaś dla pojedynczej maszyny wystarczy LGP. Pamiętajcie jednak, że GPO nadpisuje LGP 🙂

Do edycji GPO użyjemy przystawki Group Policy Magement, zaś do edycji LGP użyjemy przystawki Local Group Policy Editor uruchamianej prostym poleceniem:

gpedit.msc

Rozwijamy kolejno:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
GPO_audit_policy
Z Widocznej listy wybieramy “Audit Object Access”.

W kolejnym kroku wybieramy typ zdarzenia: failure (nie udało się) / success (udało się) i zatwierdzamy przyciskiem OK.
GPO_audit_policy2

Co audytujemy?
Teraz należy sprecyzować, co mamy audytować, czyli podać lokację wybranego folderu. Nie jest dobrym pomysłem audytowanie wszystkich folderów, jakie posiadamy, gdyż informacje pojawią się w Dzienniku Zdarzeń, co samo w sobie nie jest zbyt wygodne 🙂 Jeśli zdecydujemy, że audyt działa w głąb tych folderów, zdarzeń mogą być tysiące, a nawet dziesiątki tysięcy.  Zbyt duża ilość informacji nie tylko zapcha nam dziennik zdarzeń, ale najzwyczajniej będzie nieczytelna.

W ustawieniach wybranego foldera pod PPM wybieramy kolejno:

Properties > Security > Advanced > Auditing
audit_policy_adv

Następnie, przyciskiem ADD dodajemy użytkownika lub grupę, którą będziemy „obserwować” np. wszystkich, czyli  grupę „everyone”.

W tym przykładzie będziemy zapisywać wszystkie udane (kolumna „success”) zdarzenia typu „skasowanie plików lub folderów” („Delete” i „Delete subfolders and files”).
GPO_audit_policy3

Jak widać, opcji mamy całkiem sporo 🙂 Wszystkie obserwowane zdarzenia jak wspomniałem wcześniej znajdziemy w Dzienniku Zdarzeń w zakładce „Security”. Możemy teraz przekazać właścicielowi danych informację, kto kasuje mu pliki 🙂

Jeśli macie jakieś pytania lub komentarze, piszcie śmiało. Szczególnie interesuje mnie, czy macie jakiś wygodny sposób przeglądania tysięcy logów.

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Przeczytaj także...

1 Response

  1. Arek Siczek pisze:

    Jeżeli chce się na bieżąco być informowanym o nagłych zmianach plików to również można korzystać ze specjalnych systemów do monitoringu. Polecam Zabbix. Obecnie prowadzę darmowy kurs z obsługi systemu na swoim blogu. Polecam 🙂

Dodaj komentarz