Аудит файла / папки Windows не работает, если он является членом домена AD
Мне нужно реализовать аудит файлов / папок для рабочих станций Windows 7-10, чтобы регистрировался весь доступ членов администраторов домена (чтение, запись / изменение, создание, удаление).
Я включил "Аудит доступа к объекту" в групповой политике, и он действует (rsop.msc):
Затем я устанавливаю свойства аудита для тестовой папки:
Щелкните правой кнопкой мыши папку> Свойства> Безопасность> Дополнительно> вкладка Аудит> нажмите Продолжить> Добавить> Администраторы домена> Проверить все на успешность и сбой:
Я вижу несколько записей в журнале событий безопасности для настройки указанных выше свойств аудита (например, «Параметры аудита для объекта были изменены»), но когда я изменяю или удаляю файл в этой папке, в системе безопасности не создаются события. журнал. Я также пытался использовать «Все» вместо «Администраторы домена» в настройках аудита, но это не имело значения.
Вышеупомянутый тест проводится на Windows 7 Pro x64 SP1 со всеми обновлениями.
Что мне не хватает? Как я могу заставить аудит работать должным образом?
- Обновление 1 ---
Я только что протестировал компьютер с Windows 7 и Windows 10, которые не являются членами домена AD и Оно работало завораживающе!
Это почти как если бы «Аудит доступа к объекту» не действует (даже если он отображается как «Успех, Неудача» как в rsop.msc, так и в «gpresult / z»).
Есть ли что-то еще, что мне нужно сделать в объекте групповой политики, или из-за чего это может не вступить в силу?
Сначала вам нужно включить аудит из локальных политик или политик домена и применить его к машине, которую вы хотите проверять. После того, как политика установлена, вам необходимо настроить аудит всего, что вы хотите проверять, и это начнет добавлять события в журнал событий.
Как только это будет на месте, перейдите в папку, которую вы хотите отслеживать, щелкните правой кнопкой мыши и перейдите в свойства
Щелкните вкладку «Безопасность» -> «Дополнительно» -> «Вкладка аудита» -> «Изменить» -> «Добавить» -> затем добавьте группу, имеющую доступ к этой папке -> выберите события, которые вы хотите проверить, и нажмите «ОК» -> Выберите Заменить все существующие наследуемые записи аудита, чтобы применить аудит ко всем подпапкам и файлам, и нажмите ОК.
В Windows 7 и Windows Server 2008 R2 количество параметров аудита, по которым можно отслеживать успехи и неудачи, увеличилось до 53. В этом пошаговом руководстве демонстрируется процесс настройки расширенной системы безопасности Windows 7 и Windows Server 2008 R2. аудит инфраструктуры политик в тестовой среде. Он также проведет вас через процесс настройки некоторых репрезентативных параметров расширенной политики аудита безопасности: https://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx
Более того, чтобы получать автоматические оповещения по электронной почте о заранее определенных событиях доступа, таких как удаление файла, отказ в доступе, чтение / запись, доступ к конкретному пользователю или файлу и т. Д., Вы получите помощь от этого. решение для аудита.
Спасибо,
Я наконец нашел, что происходит в этой статье:
Как только вы начнете применять расширенную политику настройки аудита, устаревшие политики будут полностью проигнорированы.
Я использую расширенную конфигурацию аудита в объекте групповой политики, из-за чего устаревшая функция «Аудит доступа к объекту» игнорируется.
Вместо этого я перешел на использование расширенной конфигурации аудита для аудита доступа к объектам, и теперь она работает нормально.