Да бисте прегледали приступ датотекама и мапама у Виндовс Сервер 2008 Р2, морате омогућити функцију ревизије, као и одредити фасцикле и датотеке којима приступ мора бити снимљен. Након постављања ревизије, дневник сервера садржи информације о приступу и другим догађајима одабраним датотекама и мапама. Вриједно је напоменути да приступ датотекама и мапама може бити ревидиран само у количинама помоћу НТФС система датотека..
Омогућите ревизију објеката датотека датотека у Виндовс Сервер 2008 Р2
Ревизија приступа датотекама и мапама омогућена је и онемогућена помоћу групних политика: смернице домена за Ацтиве Дирецтори домен или локалне сигурносне политике за самосталне сервере. Да бисте омогућили ревизију на засебном серверу, морате отворити локалну конзолу за управљање политикама Старт -> Све Програми -> Административна Алати -> Локално Сигурност Политика. У конзоли за локалну политику морате проширити стабло локалне политике (Локално Политике) и изаберите ставку Ревизија Политика.
У десном окну изаберите ставку Ревизија Објект Приступ и у прозору који се појави унесите које врсте догађаја и датотека треба да се бележе (успешан / неуспешан приступ):
Након што сте изабрали потребна подешавања, притисните Ок.
Изаберите датотеке и мапе којима ће бити фиксиран приступ
Након што се активира ревизија приступа датотекама и мапама, потребно је одабрати конкретне објекте датотечног система, чија ће се ревизија приступа вршити. Као и НТФС дозволе, поставке ревизије се подразумевано наслеђују на све подређене објекте (осим ако није конфигурисано другачије). На исти начин као и приликом додељивања права приступа датотекама и мапама, наслеђивање поставки ревизије може се омогућити и за све и само за одабране објекте.
Да бисте конфигурирали ревизију за одређену фасциклу / датотеку, морате кликнути десним тастером миша на њу и одабрати Својства (Својства) У прозору својстава идите на картицу Сигурност (Сигурност) и притисните дугме Напредно. У прозору напредних безбедносних поставки (Напредно Сигурност Подешавања) идите на картицу Ревизија (Ревизија) Подешавање ревизије наравно захтева администраторска права. У овој фази, прозор за ревизију ће приказати листу корисника и група за које је омогућена ревизија за овај ресурс:
Да бисте додали кориснике или групе чији ће приступ овом објекту бити фиксиран, кликните на дугме Додај ... и одредите имена ових корисника / група (или одредите) Сви - за ревизију приступа за све кориснике):
Затим требате навести посебне поставке ревизије (догађаји попут приступа, писања, брисања, стварања датотека и мапа итд.). Затим кликните на Ок.
Одмах након примене ових поставки у дневнику система безбедности (можете га пронаћи у снап-у Компјутер Управљање -> Евент Виевер), са сваким приступом објектима за које је омогућена ревизија, појавит ће се одговарајући уноси.
Алтернативно, догађаји се могу прегледати и филтрирати помоћу ПоверСхелл цмдлета. - Гет-евентлог На пример, да бисте приказали све догађаје са евентид 4660, извршите наредбу:
Гет-ЕвентЛог сигурност | ? $ _. евентид -ек 4660Савет. Могуће је доделити одређене радње било којим догађајима у Виндовс дневнику, попут слања е-поште или покретања скрипте. Како је то конфигурисано описано је у чланку: Надгледање и обавештавање о догађајима у Виндовс записима
УПД од 08.06.2012 (Хвала коментатору) Роман).
У Виндовс 2008 / Виндовс 7 појавио се посебан услужни програм за управљање ревизијом аудитпол. Комплетна листа типова објеката за које можете омогућити ревизију може се видети помоћу наредбе:
аудитпол / листа / подкатегорија: *
Као што видите, ови објекти су подељени у 9 категорија:
- Систем
- Пријава / одјава
- Приступ објекту
- Коришћење привилегија
- Детаљно праћење
- Промјена политике
- Управљање рачуном
- ДС Аццесс
- Пријава на рачун
И сваки од њих, подељен је у подкатегорије. На пример, категорија Ревизија приступа објекту укључује подкатегорију Филе система и да бисте омогућили ревизију објеката датотечног система на рачунару, покрените наредбу:
аудитпол / сет / подкатегорија: "Филе систем" / неуспех: енабле / суццесс: енабле
Прекида се у складу са командом:
аудитпол / сет / подкатегорија: "Филе систем" / неуспех: онеспособљавање / успех: онеспособити
И.е. ако онемогућите ревизију непотребних поткатегорија, можете значајно смањити количину дневника и број непотребних догађаја.
Након што се активира ревизија приступа датотекама и мапама, морате навести посебне објекте којима ћемо управљати (у својствима датотека и мапа). Имајте на уму да се подразумевано поставке ревизије наслеђују на све подређене објекте (осим ако није другачије одређено).
Сви прикупљени догађаји могу се сачувати у екстерну базу података за одржавање историје. Пример примене система: Једноставан систем ревизије брисања датотека и мапа за Виндовс Сервер.
