Windows 文件审核 – 如何保护服务器上的文件 _服务器

深入了解服务器环境中正在发生的事情至关重要，尤其是在涉及审计访问对象和更精细的细节（如windows 文件审计）时。
审计访问对象意味着确定谁以及何时访问了您的文件系统，您可以审计所有对象，不仅是文件和文件夹，还包括注册表项、打印机和服务。
大多数系统管理员想知道谁访问了哪个文件并编辑、修改、重命名甚至删除了某个文件或文件夹。如果敏感数据受到损害，实时预警至关重要。事件未被发现的时间越长，它可能造成的损害就越大。

文章插图
文件服务器访问权限
例如，您如何知道谁试图访问他们没有业务权限的文件？尤其是当多个用户可以访问某些机密数据时，例如财务记录、医疗记录、帐户和员工文件夹。
【Windows 文件审核 – 如何保护服务器上的文件】这些审计策略应该定期更新，而不仅仅是为了满足基本的数据安全法规。随着新技术和不断更新的 IT 系统，管理用户权限和特权访问变得越来越困难。

文章插图
敏感数据访问
Windows 文件审核：如何正确保护服务器上的文件
Windows 服务器上的安全性通过 NT 文件系统进行，其中包括 SACL 或安全访问控制列表，这是一种用于跟踪服务器上对象访问的机制。
文件和文件夹审核可以通过两种方式进行管理：使用组策略或在本地使用单个服务器的安全策略。
您将在本地安全策略 > 系统审计策略 > 对象访问下找到审计文件系统选项。
当您只有一两台服务器并且只需要跟踪几个本地文件和文件夹时，您可以在本地设置整个流程。
但是，如果您有更多服务器，建议您通过 Active Directory 配置 Windows 文件审核策略，该策略将应用于您的所有服务器和工作站。此外，这是自动跟踪和审核更多对象的最佳方式，无需手动单击每个设置。

文章插图
Windows 文件审核策略
Windows 文件审核最佳实践：
不要将单个用户帐户直接添加到访问控制列表中。
创建多个组，并将它们添加到 ACL 。
当只有一个用户将访问某个文件时，将该用户放在一个单独的组中，并将该组添加到 ACL 。
跟踪成功和失败的文件访问
您需要做的第一件事是在您的服务器上启用文件访问审计。
默认情况下，审核对象访问未打开 - 您必须手动配置它。但在此之前，您需要在 Active Directory中配置本地组策略或组策略对象 (GPO)。完成此操作后，您可以转到“审核对象访问”属性并决定是否要为成功或失败的访问打开跟踪选项，或两者兼而有之。
您必须做的第三件事是直接在数据级别选择要审核的操作、访问类型以及原因. 我的意思是，你可以像这样配置你的审计策略，但是你会减慢你的服务器，塞满你的日志事件，并导致索引量的混乱。
如何在 Windows 服务器上配置组策略和文件审核
这是有关如何启用 Windows 文件审核的分步指南。
您必须登录到域控制器以检查您是否启用了组策略管理。
在启用文件夹审核中，您将了解
1) 如何为没有组策略管理功能的域配置组策略。
2) 如何使用组策略管理功能对其进行配置以及如何配置 Windows 文件审核。

文章插图
Active Directory组策略
问题：查看文件审核结果
如果您没有第三方 Windows 文件审核解决方案，您将不得不习惯于使用 Windows 安全事件日志来手动查看谁在何时何地做了什么。这只是冰山一角。
管理安全事件日志是一项艰苦的工作，尤其是在您负责协作工作环境的情况下。一个问题是 Windows 文件审核只能记录某个文件更改的发生，但它不能提供有关前后状态的详细信息。
通过用户实时性能报告分析重要的性能计数器