Я реализую аудит файлов в каталоге на сервере IIS, чтобы получать уведомление, когда кто-то пытается изменить или удалить какие-либо документы.
Я установил Advanced Auditing Policy\Audit Policies\Object Access:File System проверять успехи и неудачи.
Следующим этапом согласно всей документации, которую я прочитал, является установка SACL для любых файлов / каталогов, которые мне нужно отслеживать.
Однако проверка журнала событий безопасности перед установкой списков SACL показывает множество идентификаторов событий 4656 (был запрошен дескриптор объекта). Чтение этих событий показывает, что они вызываются для доступа к различным системным файлам.
Я получил доступ к Свойства для этих файлов / каталогов и щелкнул Безопасность таб. Затем я нажал на Продвинутый кнопку и выбрал Аудиторская проверка таб. Там я вижу, что аудит настроен для Everyone пользователь записывает все записи.
Затем я запустил сценарий PowerShell:
Get-ChildItem -Path "C:\" -Recurse | ForEach-Object {
$file = $_.FullName
$(Get-Acl -Audit $file).GetAuditRules($true,$false, [System.Security.Principal.SecurityIdentifier]) | ForEach-Object { Write-Output $file }
}
чтобы вывести список всех файлов / каталогов с включенным аудитом. Оказывается, в этом ящике IIS есть более 32 000 файлов с включенным аудитом.
Думая, что, возможно, я как-то включал их в прошлом, я затем запустил тот же сценарий на контроллере домена и подсчитал такое же число. Оба они находились в тестовой среде, поэтому затем я запустил сценарии на другом производственном сервере IIS (который я не создавал) и получил аналогичные результаты.
Поэтому мои вопросы:
Это нормально? Установлено ли более 32K файлов с SACL аудита, но политика изначально отключена? Включение политики приводит к тому, что журналы событий заполняются бесполезными событиями - на тестовом сервере IIS я заметил около 100 событий за час.
Хотя я могу легко изменить приведенный выше сценарий, чтобы удалить эти SACL, а затем добавить только те, которые мне нужны, безопасно ли это делать?
Даже в более общем плане - я пропустил что-то очевидное?