Как узнать, скопировал/просмотрел/изменил ли кто-то файл/папку?

Содержание

Вопрос или проблема
Ответ или решение
Теория
Пример
Применение
Заключение

Вопрос или проблема

Я считаю, что нет другого способа проверить в Windows (например, Win 7), кто скопировал или получил доступ к файлу или папке, кроме как включив аудит файлов в Локальной политике безопасности.

Теперь, когда я включил политику (Параметры безопасности > Политика аудита > Аудит доступа к объектам (успех, неудача); мой вопрос в том, как теперь узнать, скопировал ли кто-то/просмотрел/изменил файл/папку?

Поскольку мы уже настроили аудит локальной политики в соответствии с вашими предпочтениями, нам необходимо искать события безопасности, выполнив следующие шаги:

Панель управления > Административные инструменты > Просмотр событий > Журналы Windows > Безопасность

Затем мы ищем указанные события. Список всех таких возможных событий безопасности перечислен на
technet.microsoft.com – Настройки политики аудита в разделе Локальные политики\Политика аудита

Для событий, специфичных для доступа к директории, смотрите
technet.microsoft.com – Аудит доступа к службам каталогов

Работа с данными аудита файлов может быть сложной задачей, особенно если речь идет о PCI или других потребностях на уровне сервера. На рынке есть несколько продуктов, которые могут помочь, но большинство из них полагаются на журнал событий.

У нашей компании есть продукт, который может сделать это без использования журнала событий; он называется FileSure, и вы можете найти его здесь: http://www.bystorm.com

Честно говоря, наш лучший конкурент – это File System Auditor от Quest, и они также не используют журнал событий.

Копирование файлов и/или кражу данных сложнее обнаружить, поскольку, пока ваши данные находятся на сервере, копирование, скорее всего, происходит на рабочей станции. Я знаю, что FileSure может помочь и с этим… Я не знаю, могут ли это наши конкуренты.

Ответ или решение

Для определения того, был ли файл или папка скопирован, просмотрен или модифицирован на системе Windows (например, Windows 7), действительно лучшим подходом является использование аудита файлов, доступного через Локальную политику безопасности. Настройка политики аудита предоставляет возможности для отслеживания и анализа изменений, которые произошли с объектами файловой системы. Далее объясню подробно, как это реализовать и что стоит учитывать.

Теория

Аудит доступа к объектам — это функция Windows, которая позволяет системным администраторам отслеживать события доступа к файлам и папкам. Для успешного использования этой функции необходимо заранее активировать соответствующие политики аудита в системе. Политика "Audit Object Access" используется для фиксации попыток доступа к объектам системы, и она может быть настроена для регистрации как успешных, так и неудачных попыток доступа.

Мониторинг через журнал Windows – после активации аудита, события записываются в журнал Windows. Это специальный компонент операционной системы, ответственный за хранение, управление и отображение системных сообщений и событий.

Пример

Прежде чем вы сможете просматривать факты доступа к файлам, нужно выполнить следующие шаги:

Активировать аудит объектного доступа:
- Перейдите в "Панель управления" > "Административные инструменты" > "Локальная политика безопасности".
- В разделе "Политика аудита" найдите "Аудит объектного доступа" и активируйте его для успешных и неудачных событий.
Настроить аудит для конкретных файлов или папок:
- Нажмите правой кнопкой мыши на папку или файл, который вы хотите отслеживать, выберите "Свойства".
- Перейдите на вкладку "Безопасность" и нажмите "Дополнительно".
- Выберите вкладку "Аудит", затем "Изменить" и добавьте пользователей или группы, которые вы хотите отслеживать.
- Задайте параметры аудита, отметив действия, которые должны приводить к логированию (например, чтение, запись).
Анализировать журнал безопасности:
- Откройте "Панель управления" > "Административные инструменты" > "Просмотр событий" > "Журналы Windows" > "Безопасность".
- Здесь будут отображаться события, связанные с доступом к вашим файлам и папкам. Вы можете фильтровать их по различным ID событий, которые охватывают такие действия, как доступ к папке или модификация файла.

Применение

Поиск информации в событии: Теперь у вас есть доступ к журналу, но как именно распознать, что файл был скопирован, прочитан или изменен? В первую очередь, необходимо знать идентификаторы событий, которые представляют интерес. Например, событие с ID 4663 в Windows соответствует доступу к объекту, где конкретные подкоды действий могут означать создание, удаление, чтение или изменение файла.

Для комплексного мониторинга и управления большими объемами аудиторских данных, включая требования PCI DSS или других стандартов безопасности, можно использовать специальные решения из области программного обеспечения. Например, такие продукты, как FileSure или File System Auditor от Quest, значительно облегчают анализ, обходясь без использования стандартных журналов Windows. Эти решения предлагают гибкие инструменты для поиска потенциальных утечек или неправомерного копирования данных.

Заключение

Аудит файлов и папок — это необходимый элемент в стратегиях информационной безопасности, позволяющий контролировать доступ к важным ресурсам. Однако стоит отметить, что эффективность аудита во многом зависит от правильной настройки и анализа полученных данных. Альтернативные и специализированные программные продукты могут предоставить дополнительные функциональные возможности и упростить процесс мониторинга, особенно в сложных сетевых средах или при высоких требованиях к безопасности.