windows 2008文件服务器审计

2022-09-05 11:02:11 浏览数 (1)

大家好,又见面了,我是你们的朋友全栈君。

windows2008或者windows2008r2,系统做域内的文件服务器,能否做到谁删除某个共享出来的文件夹或者文件的操作审计?审计级别能做到怎么样一个程度?

回答:依据您的问题您想知道Windows2008文件服务器的审计相关。依据我的经验,这个要分成两种情况:

1.在远端访问,就是通过网络路径访问; 2.在本地上本地访问共享文件,就是在创建的机器上访问;

远端访问 访问共享文件或者共享文件夹 在就是当您在组策略中开启审计功能后,共享一个文件或文件夹后比如\contoso.comshared(shared可以是文件或者文件夹),您可以在security log中看到有关这个shared本身的操作比如何时创建的,谁操作的,在哪里操作的,进行了怎样的操作都是可以看到的。同时其他用户对其进行访问的时间和地点也是可以看到的。 访问共享子文件或者子文件夹 如果在这个共享文件夹下又创建了文件或者文件夹比如\contoso.comsharedaaa(aaa可以是文件或者文件夹)的话,当无论任何人去访问aaa或者修改aaa或者在aaa下又创建其他文件的时候,我们只能在日志中看到对shared的访问信息,比如谁,在哪里,时间,但是他做了什么操作我们就无法得知了。 本地访问共享文件 情况与远端访问是一样的。

Windows server 2003的DC也是支持开启审计功能的,步骤如下:

在DC上打开“Active Directory Users and Computer”。 在“View”菜单上,单击“Advance”。 右键单击“DC”,然后单击“properties”。 单击“Group Policy”选项卡,单击“Default domain Controller Policy”,然后单击“Edit”。 单击“computer configuration”,双击“Windows setting”,双击“security setting”,双击“local policy”,然后双击“audit policy”。

在右窗格中,右键单击“object access”,然后单击“properties”。 单击“define policy setting”,然后勾选success和fail并确定 刷新组策略; 创建共享文件并进行访问; 打开安全日志查看记录的事件。

Windows server 2008 R2的DC也有这个功能,不同的是组策略的位置与windows server 2003的不一样。2008R2开启审计的组策略为: Computer configurationwindows settingsecurity settingAdvance Audit Policy ConfigurationObject access

在这个里面请把Audit detail file share, Audit file share, Audit file system这3个策略都是配置好,并将其中的success和fail都勾上。然后您就可以刷新策略,创建共享文件并在安全日志中查看相关事件了。

转载于:https://blog.51cto.com/3032439/1683980

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/135996.html原文链接:https://javaforall.cn

0 人点赞