Я знаю, как проверить, какой пользователь обращается к файлу. Как узнать, какой процесс изменяет файлы в каталоге?
Я предполагаю, что вы, вероятно, ищете более долгосрочный аудит, чем использование «Process Monitor» или многократный запуск «handle.exe». Посмотрим, окупятся ли мои экстрасенсорные способности здесь.
Аудит «доступа к объектам» - это, вероятно, то, что вы ищете. Если вы хотите проверить доступ к файлам, доступ к которым осуществляется локально на компьютере, вы сможете увидеть имя процесса, обращающегося к файлам. Однако если доступ к файлам осуществляется удаленно, вы увидите только имя и идентификатор входа пользователя, имеющего доступ к файлам (а не имя процесса, обращающегося к файлам).
Если файлы, которые вы хотите просмотреть, находятся на сервере, вам необходимо изменить локальную политику безопасности на этом сервере (если это не компьютер с контроллером домена, и в этом случае вы застрянете при добавлении или изменении существующего объекта групповой политики, который изменяет политика безопасности для всех компьютеров с контроллером домена). Параметр в групповой политике, который вы ищете, это «Аудит доступа к объекту», расположенный в подузле «Политика аудита» подузла «Локальная политика» подузла «Параметры безопасности» Подузел «Параметры Windows» раздела «Конфигурация компьютера» в групповой политике / локальной политике. Обновите групповую политику (GPUPDATE), чтобы изменения вступили в силу.
После того, как вы включили этот параметр (для успеха, неудачи или того и другого, в зависимости от того, к чему вы хотите получить доступ), вам необходимо добавить SACL (список управления доступом к системе) в папку или файлы, чтобы разрешить аудит. В W2K3 вы можете изменять SACL, добавляя записи на вкладке «Аудит» диалогового окна «Расширенный» доступа из таблицы свойств «Безопасность» для файла или папки. Если вы хотите контролировать доступ только определенного пользователя или группы пользователей, добавьте их в SACL. Если вы хотите контролировать весь доступ, просто добавьте «Все» с разрешением «Полный доступ» (успех и неудача, если вы хотите проводить аудит обоих) в SACL.
После того, как вы включили аудит в политике безопасности, обновили групповую политику и отметили элементы, которые вы хотите проверять, с помощью SACL, вы начнете видеть события аудита, регистрируемые в журнале событий «Безопасность» компьютера, на котором размещены файлы, лайк:
Event Source: Security
Event ID: 560
Type: Success Audit
Category: Object Access
Descrption:
Object Open:
Object Server: Security
Object Type: File
Object Name: C:\Secret Docs\World Domination Plan\Chinchilla.txt
Handle ID: 1904
Operation ID: {0,233543114}
Process ID: 3356
Image File Name: C:\WINDOWS\system32\notepad.exe
Primary User Name: EAnderson
Primary Domain: LAPTOP01
Primary Logon ID: (0x0,0x1C744)
Client User Name: -
Client Domain: -
Client Logon ID: -
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Privileges: -
Restricted Sid Count: 0
Access Mask: %18
«Имя файла изображения» показывает имя процесса, осуществляющего доступ. Однако вы не увидите «Имя файла изображения» в записях аудита, созданных путем доступа к файлам через «Общий доступ к файлам и принтерам». (Я не уверен, что существует убедительная «история» для долгосрочного аудита файлов с удаленным доступом. По крайней мере, вам придется выполнять «Отслеживание процессов» на удаленном клиенте, и даже тогда я не Я не думаю, что вы сможете различать доступ, выполняемый различными программами, работающими в контексте удаленного пользователя, посредством любой корреляции между журналами безопасности клиентского и серверного компьютеров ...)
Один из способов сделать это - использовать фильтр в Монитор процесса, один из инструментов Sysinternals. В файле справки есть похожий пример. Это не основной компонент ОС, поэтому вам нужно будет проверить, подходит ли его установка.
Вы можете скачать handle.exe по ссылке:
http://technet.microsoft.com/en-us/sysinternals/bb896655.aspx
Очень полезно для просмотра открытых ручек.