Если требуется выявить слабые места в защите корпоративной сети, можно установить аудит файлов и папок, расположенных на раздел NTFS. Для аудита доступа пользователей к файлам и папкам прежде всего следует настроить политику аудита на регистрацию доступ объектам, в том числе файлов и папок.

При настройке политики аудита на регистрацию доступа к объектам включается аудит конкретных файлов и папок. При этом также указывается, какие виды доступа, пользователи и группы подлежат

аудиту.

Чтобы включить аудит конкретных файлов или папок, нужно выполнить действия, описанные далее:

1. В меню Пуск (Start) щелкните правой клавишей мыши Мой компьютер (My Computer) и выберите пункт меню Проводник (Explore).
2. Щелкните правой клавишей мыши файл или папку, для которой нужно включить аудит, и выберите пункт контекстного меню Свойства (Properties).
3. На вкладке Безопасность (Security) диалогового окна Свойства (Properties) щелкните кнопку Дополнительно (Advanced).

   Совет: Если в диалоговом окне Свойства (Properties) нет вкладки Безопасность (Security), выясните, находятся ли выбранные файлы и папки в разделе, отформатированном как NTFS? Если компьютер не входит в домен, выключен ли простой общий доступ к файлам (Simple File Sharing)? Для выключения простого общего доступа к файлам щелкните Пуск (Start), щелкните правой кнопкой мыши Мой компьютер (My Computer), затем щелкните пункт меню Проводник (Explore). В меню Сервис (Tools) выберите пункт Свойства папки (Folder Options). На вкладке Вид (View) снимите флажок Простой общий доступ к файлам (Рекомендуется) [Simple File Sharing (Recommended)] и щелкните ОК.

4. На вкладке Аудит (Auditing) в диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings For foldername) Щелкните кнопку Добавить (Add), выберите пользователей, для которых требуется включить аудит доступа к файлам и папкам, и Щелкните ОК.
5. В диалоговом окне Элемент аудита для имя_папки (Audit Entry For folder_name) установите флажок Успех (Successful), Отказ (Failed) или оба флажка, чтобы указать тип событий для аудита. Ниже перечислены действия пользователей, вызывающие соответствующие события, что поможет определить, в каких случаях следует включать аудит этих событий.

События для файлов и папок, вызываемые действиями пользователей:

• Переход в папку/Выполнение файла (Traverse Folder/Execute File) - Запуск программы или получение доступа к папке при смене текущей папки
• Получение списка файлов/Чтение данных (List Folder/Read Data) - Просмотр содержимого файла или папки
• Чтение атрибутов (Read Attributes) Просмотр атрибутов файла или папки
• Чтение расширенных атрибутов (Read Extended Attributes) Просмотр атрибутов файла или папки
• Создание файлов/Запись данных (Create Files/Write Data) - Изменение содержимого файла или создание новых файлов в папке
• Создание папок/Добавление данных (Create Folders/Append Data) - Создание папок внутри папок
• Запись атрибутов (Write Attributes) Изменение атрибутов файла или папки
• Запись расширенных атрибутов (Write Extended Attributes) Изменение атрибутов файла или папки
• Удаление вложенных папок и файлов (Delete Subfolders And Files) - Удаление файла или папки внутри папки
• Удаление (Delete) Удаление файла или папки
• Чтение разрешений (Read Permissions) - Просмотр прав владельца файла на файл или папку
• Смена разрешений (Change Permissions) Изменение прав доступа к файлу или папке
• Смена владельца (Take Ownership) Изменить право владельца на файл или папку

Щелкните OK, чтобы вернуться в диалоговое окно Дополнительные параметры безопасности (Advanced Security Settings For folderjiame). По умолчанию все изменения параметров аудита, выполненные Для родительской папки, относятся также и ко всем дочерним папкам и всем файлам в родительской и дочерних папках.

Чтобы запретить изменения параметров аудита для текущей папки при изменении параметров родительской папки, снимите флажок Наследовать от родительского объекта: Параметры аудита, применимые к дочерним объектам (Inherit From Parent The Auditing Entries That Apply To Child Objects).

Щелкните ОК.

]]> ]]>