[Аудит файловой системы Windows 2008 R2]
Когда я удаляю файл, появляются два сообщения аудита журнала событий: 4663 что означает запрос на удаление файла и 4660 что подтверждает удаление. Тэй может быть присоединен по атрибуту Handler.
Когда я переименовываю файл, появляются два сообщения аудита журнала событий: 4663 что означает запрос на удаление файла и 4663 для создания нового файла (но есть только путь к папке, без имени файла)
Когда я перемещаю файл из одной папки в другую, появляется то же изображение, что и при переименовании (поскольку перемещение фактически означает переименование, ОК)
Когда я создаю новый файл, события не появляются.
Итак, вопросы: 1. Что мне не хватает для аудита создания файла? 2. Что мне не хватает для аудита переименования файлов?
Мой экспорт AuditPol.EXE (DACL и SACL):
Category/Subcategory Setting
System
Security System Extension Failure
System Integrity Failure
IPsec Driver Failure
Other System Events Failure
Security State Change Failure
Logon/Logoff
Logon Success and Failure
Logoff Success and Failure
Account Lockout Success and Failure
IPsec Main Mode Success and Failure
IPsec Quick Mode Success and Failure
IPsec Extended Mode Success and Failure
Special Logon Success and Failure
Other Logon/Logoff Events Success and Failure
Network Policy Server Success and Failure
Object Access
File System Success
Registry No Auditing
Kernel Object No Auditing
SAM No Auditing
Certification Services No Auditing
Application Generated No Auditing
Handle Manipulation No Auditing
File Share No Auditing
Filtering Platform Packet Drop No Auditing
Filtering Platform Connection No Auditing
Other Object Access Events No Auditing
Detailed File Share No Auditing
Privilege Use
Sensitive Privilege Use Failure
Non Sensitive Privilege Use Failure
Other Privilege Use Events Failure
Detailed Tracking
Process Termination Failure
DPAPI Activity Failure
RPC Events Failure
Process Creation Failure
Policy Change
Audit Policy Change Failure
Authentication Policy Change Failure
Authorization Policy Change Failure
MPSSVC Rule-Level Policy Change Failure
Filtering Platform Policy Change Failure
Other Policy Change Events Failure
Account Management
User Account Management Failure
Computer Account Management Failure
Security Group Management Failure
Distribution Group Management Failure
Application Group Management Failure
Other Account Management Events Failure
DS Access
Directory Service Changes No Auditing
Directory Service Replication No Auditing
Detailed Directory Service Replication No Auditing
Directory Service Access Success
Account Logon
Kerberos Service Ticket Operations Success and Failure
Other Account Logon Events Success and Failure
Kerberos Authentication Service Success and Failure
Credential Validation Success and Failure
Entry: 1
Resource Type: File
User: CONTOSO\Domain Users
Flags: Success
Accesses:
FILE_WRITE_DATA
FILE_APPEND_DATA
FILE_DELETE_CHILD
DELETE
The command was successfully executed.
`
Это сложный ответ. Пока я собираю соответствующие ссылки (которые состоят из причин это трудно надежно выполнить в рамках системы аудита), попробуйте следующее:
Использовать SysMon и отвернуться от EventID 2.
Связанный неотвеченный вопрос.
¹ Все они сводятся к поведению API CreateFile (), различным параметрам, которые он может получить, откуда, подключению, архитектуре и тому, что потребитель делает с дескриптором после его получения. Обнаружение изменений во времени созданного файла должно избавить от всего этого.