Monitorowanie plików i katalogów, czyli „kto mi kasuje dane?”


 

Na serwerze plików, z którego korzysta wiele osób nie raz trudno jest namierzyć kogoś, kto czyni szkody na przykład kasując dane. I wcale nie musi to być działanie świadomie. Sam miałem do czynienia z użytkownikami, którzy zamiast tworzyć skrót, przenosili sobie cały folder na pulpit, a wszystko to z braku podstawowej wiedzy o komputerach… To prawda, gdyby każdy był Specem IT, nie byłoby to takie ciekawe:) Czy administrator serwera plików może śledzić tego typu zdarzenia?

Oczywiście, że może.  „File and folder auditing”  to jedna z ciekawszych opcji, jakie kontroluje Group Policy (patrz Wikipedia), czyli Local Group Policy (LGP) i/lub Group Policy Object (GPO). GPO użyjemy, jeśli nasze ustawienia mają spłynąć na grupę maszyn w domenie np. wybrany kontener w Drzewie Active Directory, zaś dla pojedynczej maszyny wystarczy LGP. Pamiętajcie jednak, że GPO nadpisuje LGP :)

Do edycji GPO użyjemy przystawki Group Policy Magement, zaś do edycji LGP użyjemy przystawki Local Group Policy Editor uruchamianej prostym poleceniem:

gpedit.msc

Rozwijamy kolejno:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
GPO_audit_policy
Z Widocznej listy wybieramy “Audit Object Access”.

W kolejnym kroku wybieramy typ zdarzenia: failure (nie udało się) / success (udało się) i zatwierdzamy przyciskiem OK.
GPO_audit_policy2

Co audytujemy?
Teraz należy sprecyzować, co mamy audytować, czyli podać lokację wybranego folderu. Nie jest dobrym pomysłem audytowanie wszystkich folderów, jakie posiadamy, gdyż informacje pojawią się w Dzienniku Zdarzeń, co samo w sobie nie jest zbyt wygodne :) Jeśli zdecydujemy, że audyt działa w głąb tych folderów, zdarzeń mogą być tysiące, a nawet dziesiątki tysięcy.  Zbyt duża ilość informacji nie tylko zapcha nam dziennik zdarzeń, ale najzwyczajniej będzie nieczytelna.

W ustawieniach wybranego foldera pod PPM wybieramy kolejno:

Properties > Security > Advanced > Auditing
audit_policy_adv

Następnie, przyciskiem ADD dodajemy użytkownika lub grupę, którą będziemy „obserwować” np. wszystkich, czyli  grupę „everyone”.

W tym przykładzie będziemy zapisywać wszystkie udane (kolumna „success”) zdarzenia typu „skasowanie plików lub folderów” („Delete” i „Delete subfolders and files”).
GPO_audit_policy3

Jak widać, opcji mamy całkiem sporo :) Wszystkie obserwowane zdarzenia jak wspomniałem wcześniej znajdziemy w Dzienniku Zdarzeń w zakładce „Security”. Możemy teraz przekazać właścicielowi danych informację, kto kasuje mu pliki :)

Jeśli macie jakieś pytania lub komentarze, piszcie śmiało. Szczególnie interesuje mnie, czy macie jakiś wygodny sposób przeglądania tysięcy logów.


Podobne Tematy:

  • Jeżeli chce się na bieżąco być informowanym o nagłych zmianach plików to również można korzystać ze specjalnych systemów do monitoringu. Polecam Zabbix. Obecnie prowadzę darmowy kurs z obsługi systemu na swoim blogu. Polecam :)