Назад | Перейти на главную страницу

Оповещение о доступе к файловому ресурсу

Я использую общий файловый ресурс пользователей на Windows 2008R2.

Меня беспокоит то, что администраторы домена получают доступ к чьим-то файлам, которым они не должны.

Я включил расширенный аудит и проверил результаты. Я вижу, когда кто-то что-то делает в папке, read/delete с преступниками userid's но это выглядит как Event ID 5145.Когда реальный пользователь получает доступ к своей собственной папке, это также выглядит как Event ID 5145.

Мое место работы закончилось 4000 пользователей, поэтому возможность предупреждать каждый раз, когда кто-то использует их собственные файлы, не подходит. Я не могу срабатывать только при сбое, поскольку администраторы домена будут иметь права на доступ к файлам.

Размещение "только пользователь" вместо пользователей и администраторов не вариант, поскольку наша резервная копия не сможет прочитать данные.

У кого-нибудь есть предложения?

У нас есть отдельное центральное устройство регистрации от LogLogic куда мы пересылаем все наши системные журналы. Это, в свою очередь, позволяет нам более детально определять, как и когда мы предупреждаем. Я бы рекомендовал использовать подобное решение, если оно у вас есть.

См. Комментарий voretaq7. Им действительно нужно доверять. Тем не менее, не лишним будет проверить, что они делают и им нужен доступ.

Мы делаем еще один шаг. Мы определили наш общий доступ (на самом деле NTFS, а не разрешения на уровне общих ресурсов), чтобы администраторы домена не имели явного доступа для чтения к большинству общих ресурсов. Для этого мы создали группу Mgmt Security, которая обычно пуста. Конечно, администраторы домена могут добавлять себя в эту группу, поэтому администратор сети получает предупреждение каждый раз, когда членство в этой группе изменяется.

В случае проблемы с общим доступом, администраторы домена всегда имеют право требовать владения любыми файлами в соответствии со своими правами.

В настоящее время развертывается ведение журнала событий, и мы также работаем над тем, чтобы серьезно ограничить количество людей в нашей группе администраторов домена, развернув инструмент AD Mgmt (сервер активных ролей от Quest).