フォルダー権限の変更を監査します。 Windows Server 用のシンプルなファイルとフォルダーの削除監査システム

こんにちは！。まだドメイン内でシャーロックホームズになりきれていない場合は、今がその時です。毎分、追跡および記録する必要がある何千もの変更がシステム内で発生します。構造のサイズが大きくなり複雑になると、管理上のエラーやデータ漏洩の可能性が高くなります。変化 (成功または失敗) を継続的に分析しなければ、真に構築することは不可能です。安全な環境。システム管理者は常に 答えなければなりません、誰が、いつ、何が変更され、誰に権利が委任され、何を 変更の場合に発生した(成功または失敗)、古いパラメータと新しいパラメータの値は何か、誰がシステムにログインしたりリソースにアクセスできたのか、誰がデータを削除したのかなど。

変更監査は IT インフラストラクチャ管理に不可欠な部分となっていますが、組織は常に監査に注意を払っているわけではありません。技術的な問題。結局のところ、何をどのように追跡する必要があるのかは完全には明確ではなく、この問題に関して文書が常に役立つとは限りません。監視する必要があるイベントの数はすでに複雑で、データ量も多く、標準ツール利便性と追跡タスクを簡素化する機能に違いはありません。スペシャリストは、次の設定を行って独立して監査を設定する必要があります。最適なパラメータ監査に加えて、結果を分析し、選択したイベントに関するレポートを生成する責任もあります。ネットワーク上でいくつかのサービスが実行されていると考えると、アクティブディレクトリ/GPO 交換サーバー、 MS。 SQLサーバー、仮想マシンなど、非常に多くのイベントが生成されるため、説明だけを読んでその中から本当に必要なものを選択するのは非常に困難です。

その結果、管理者はこの対策で十分であると考えています。予約コピー問題が発生した場合は、単純に古い設定にロールバックすることを好みます。監査の実施の決定は、多くの場合、重大な事件が発生した後にのみ行われます。次に、Active Directory 監査を設定するプロセスを見てみましょう。 Windowsの例 Server 2008 R2、この記事で説明されているすべてのアクションは新しいエディションに適用されます Windowsサーバー.

Active Directory ドメインを監査するのは誰ですか?

最も差し迫った問題は常に、組織のドメイン内で発生するセキュリティイベントを収集して分析する責任は誰にあるのかということです。原則として、ロシアのほとんどの企業では、次のような理由から、

小さなもの
追加の人員を雇用するのに十分な資金がない
必要はありません

その場合、彼らにとって、Active Directory、ファイルサーバー、メールの監査はまったく関係なく、発生したインシデントの形で本当に必要があり、真剣な調査が必要な場合にのみ必要になります。中堅および上級レベルの企業では、原則として、イベントの監査がすでに確立されており、システム管理者がその調査に関与しているか、会社に別のセキュリティ部門があり、その部門長がその部門に割り当てられていることがほとんどです。退職間近の高齢男性で、すでに政府機関から追い出されて退職している。私たちの政府は、年金受給者が豊かに暮らすことをどれほど気にかけているのか。

オペレーティングシステムツールを使用した Active Directory 監査

Windows Server 2008 R2 ファミリ以降のオペレーティングシステムでは、Windows Server 2003 などの以前のオペレーティングシステムと比較して、セキュリティポリシーを通じて構成された監査サブシステムの機能が更新され、監視されるパラメータの数が 53 個増加しました。古いオペレーティングシステムでは、ディレクトリサービスイベント監査を有効にするか無効にするかを制御する、ディレクトリサービスアクセス監査ポリシーのみが存在していました。カテゴリレベルで監査を管理できるようになりました。たとえば、Active Directory 監査ポリシーはカテゴリに分類されており、それぞれに特定の設定があります。

ディレクトリサービスアクセス (ディレクトリサービスへのアクセス)。
ログイン監査
システムイベントの監査
プロセス追跡
特権使用状況の監査
アカウントとグループの管理
ディレクトリサービスの変更。
ディレクトリサービスレプリケーション (ディレクトリサービスレプリケーション)。
詳細なディレクトリサービスレプリケーション。

グローバル監査ポリシーのディレクトリサービスアクセス監査を有効にすると、ディレクトリサービスポリシーのすべてのサブカテゴリが自動的に有効になります。
Windows Server 2008 R2 の監査システムは、オブジェクトの作成、変更、移動、復元のすべての試行を追跡します。ログには、変更された属性の以前の値と現在の値、および操作を実行したユーザーアカウントが記録されます。ただし、オブジェクトの作成時に属性のデフォルトのパラメータが使用された場合、その値は記録されません。

Active Directory ドメインで監査ポリシーを有効にする

AD ドメインがもともとより多くの目的で発明されたのは論理的です。便利な制御あらゆる面でそのオブジェクトを監視し、監査する情報セキュリティーここでは企業も例外ではありません。システム管理者は、コンピューターとドメインコントローラーの両方に適用されるグループポリシーを通じて、ドメインまたはフォレスト全体のレベルですべての設定を行います。これに関連するツールから次の点を強調できます。

グローバル監査ポリシー (GAP)。
システムアクセス制御リスト (SACL) - 監査される操作を定義します。
スキーム – イベントのリストを完成させるために使用されます。

デフォルトでは、クライアントシステムでは監査が無効になっており、サーバーシステムではサブカテゴリ「Active Directory ディレクトリサービスへのアクセス」が有効で、残りは無効になっています。グローバルポリシー「ディレクトリサービスアクセスの監査」を有効にするには、「セキュリティ設定」に移動して「グループポリシー管理エディター」を呼び出す必要があります。ローカルポリシー/Audit ポリシー。ポリシーをアクティブ化し、制御されたイベント (成功、失敗) を設定します。

さらに、より巧妙で選択的な AD 監査モードも追加されており、これもポリシーにあります。

コンピュータの構成 - ポリシー - Windows の構成- セキュリティ設定 - 詳細監査ポリシー構成 - 監査ポリシー - アカウント管理 (コンピュータ構成 - ポリシー - Windows 設定 - セキュリティ設定 - 詳細監査ポリシー構成 - アカウント管理)

その中には次のセクションがあります。

入り口アカウント
アカウント管理
詳細な追跡
ディレクトリサービス (DS) アクセス
入る出る
オブジェクトへのアクセス
方針変更
特権の使用
システム
グローバルオブジェクトへのアクセスを監査する

2 番目の実装オプションは、コマンドラインユーティリティを使用して構成することです。 監査ポール、GAP の完全なリストを取得するには、パラメータを設定する。 Auditpol を使用するには、次のコマンドを入力するだけです。

Auditpol /list /subcategory:*

ご覧のとおり、auditpol コマンドの結果は、監査設定もセキュリティイベントも存在しませんでした。

次のコマンドを使用して、「ディレクトリサービスアクセス」ポリシーをアクティブにします。

Auditpol /set /subcategory:"ディレクトリサービスの変更" /success:enable

コマンドの詳細情報を取得するには、auditpol /h として実行します。

待たずにドメインコントローラーポリシーを更新しましょう。

ディレクトリサービスアクセス監査ポリシーサブカテゴリは、セキュリティログにコード 4662 のイベントを生成します。このイベントは、イベントビューアコンソールの Windows ログ - セキュリティタブを使用して表示できます。

イベントを表示する別の方法は、Get-EventLog PowerShell コマンドレットを使用することです。例えば：

Get-EventLog セキュリティ | ?($_.eventid -eq 4662)

Get-EventLog コマンドレットは、After、AsBaseObject、AsString、Before、ComputerName、EntryType、Index、InstanceID、List、LogName、Message、Newest、Source、および UserName という特定の条件に基づいてイベントをフィルター処理できる 14 個のパラメーターを受け入れることができます。

さらに、他の多数のイベント 5136 (属性変更)、5137 (属性作成)、5138 (属性削除の取り消し)、および 5139 (属性の移動) がログに記録されます。
特定のイベントを簡単に選択できるように、イベントビューアーコンソールはフィルターとカスタムビューに加えて、他のサーバーからログデータを収集できるサブスクリプションを使用します。

イベントコレクター

ドメインコントローラーで毎秒生成される何百万ものイベントを詳しく調べることが常に便利であるとは限らないことに同意してください。そのような状況では、作業が楽になり、情報セキュリティ監査の実施が容易になります。ここには非常に多くの解決策のオプションがありますが、これらを強調したいと思います。

個人的には、Active Directory を監査するために、必要なサーバーから 1 つのいわゆるコレクターサーバーへのすべてのイベントのリダイレクトを使用しています。そのタスクには、構成したすべてのサーバーからのログの集約が含まれます。この機能も一般的です。私は個人的に Windows Server 2016 にリダイレクトされたログコレクターを実装していますが、これは重要ではありません。

2 番目の実装は、Zabbix 監視システムです。完全に無料ですが、適切に設定するには少し作業する必要がありますが、一度設定すると、非常に優れた機能を制御できるようになります。便利なツール Active Directory ドメインの監査について。これはトリガーの 1 つの実装例です。「アカウントでのログインが成功しました」というイベントに関する情報が表示されます。以下では、ID 番号 4624 がこれに関与していることがわかります (詳細は https:// を参照してください)。 habr.com/post/215509/)

もう 1 つの優れたソリューションは、Netwrix Active Directory Change Reporter 製品を実装することです。これは非常にクールなセキュリティ監査ハーベスターです情報システム Active Directory ドメインインフラストラクチャ。この製品は文字通り 30 分で展開され、タスクを実行できるようになります (詳細については、http://itband.ru/2011/09/audit-adds/ を参照してください)。

Windows Server 2008 R2 の Active Directory イベント監査イベントのリスト

以下に、情報システムのセキュリティを監査する際に必要となる、最も一般的で最もよく使用されるイベントを書き留めてみました。入手可能なすべての情報を調べたい場合は、ポータルにアクセスすることをお勧めします。マイクロソフト高度な監査に特化しています。リンク自体はここにあります https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4723

資格情報の検証

4774 アカウントはログイン用にマップされました。
4775 ログインアカウントをマッピングできませんでした。
4776 ドメインコントローラーアカウントの資格情報を確認しようとしました。
4777 ドメインコントローラーアカウントの資格情報を検証できませんでした。

コンピュータアカウント管理

4741 コンピューターアカウントが作成されました。
4742 コンピュータアカウントが変更されました。
4743 コンピュータアカウントが削除されました。

配布グループの管理

4744 作成されましたローカルグループセキュリティチェックは無効になっています。
4745 セキュリティチェックが無効になっているローカルグループが変更されました。
4746 セキュリティが無効になっているローカルグループにユーザーを追加しました。
4747 セキュリティが無効になっているローカルグループからユーザーが削除されました。
4748 セキュリティが無効になっているローカルグループが削除されました。
4749 グローバルグループがセキュリティチェックを無効にして作成されました。
4750 セキュリティチェックが無効になっているグローバルグループが変更されました。
4751 セキュリティが無効になっているグローバルグループにユーザーを追加しました。
4752 セキュリティが無効になっているグローバルグループからユーザーが削除されました。
4753 セキュリティが無効になっているグローバルグループが削除されました。
4759 ユニバーサルグループがセキュリティチェックを無効にして作成されました。
4760 セキュリティチェックが無効になっているユニバーサルグループが変更されました。
4761 セキュリティが無効になっているユニバーサルグループにメンバーが追加されました。
4762 セキュリティが無効になっているユニバーサルグループからユーザーが削除されました。

その他のアカウント管理イベント

4739 ドメインポリシーが変更されました。
4782 アクセスアカウントのパスワードのハッシュ。
4793 パスワードポリシーチェック API が呼び出されました。

セキュリティグループの管理

4727 セキュリティが有効なグローバルグループが作成されました。
4728 ユーザーがセキュリティが有効なグローバルグループに追加されました。
4729 ユーザーがセキュリティが有効なグローバルグループから削除されました。
4730 セキュリティが有効なグローバルグループが削除されました。
4731 セキュリティが有効なローカルグループが作成されました。
4732 ユーザーがセキュリティが有効なローカルグループに追加されました。
4733 ユーザーは、セキュリティが有効なローカルグループから削除されました。
4734 セキュリティが有効なローカルグループが削除されました。
4735 セキュリティが有効なローカルグループが変更されました。
4737 セキュリティが有効なグローバルグループが変更されました。
4754 セキュリティが有効なユニバーサルグループが作成されました。
4755 セキュリティが有効なユニバーサルグループが変更されました。
4756 セキュリティが有効なユニバーサルグループにユーザーを追加しました。
4757 ユーザーは、セキュリティが有効なユニバーサルグループから削除されました。
4758 セキュリティが有効なユニバーサルグループが削除されました。
4764 グループタイプが変更されました。

ユーザーアカウント管理

4720 ユーザーアカウントが作成されました。
4722 ユーザーアカウントが有効になりました。
4724 ユーザーのパスワードをリセットします。
4725 ユーザーアカウントが無効になっています。
4726 ユーザーアカウントが削除されました。
4738 ユーザーアカウントが変更されました。
4765 ジャーナル SID がアカウントに追加されました。
4766 ログアカウント SID の追加に失敗しました。
4767 ユーザーアカウントのロックが解除されました。
4780 ACL は、Administrators グループのメンバーであるアカウントに設定されています。
4781 アカウント名が変更されました。
4794 ディレクトリサービス復元モードを設定しようとしました。
5376 資格情報マネージャー: 資格情報は保存されました。
5377 資格情報マネージャー: 資格情報は次から復元されました。バックアップコピー.

その他のイベント

1102 セキュリティログがクリアされました
4624 ログイン成功
4625 ログインに失敗しました

[監査ポリシー] ブランチでは、ログイン/ログアウト監査、アカウント管理監査、オブジェクトアクセス、ポリシー変更などの他の機能もアクティブになります (図 1 を参照)。たとえば、共有フォルダーの例を使用して、オブジェクトへのアクセスの監査を設定してみましょう。これを行うには、上で説明したように、監査ポリシーをアクティブ化します。オブジェクトアクセス、フォルダーを選択し、フォルダーオプションメニューを呼び出します。このメニューで、セキュリティサブ項目に移動し、詳細ボタンをクリックします。今、開いたウィンドウで「追加オプション「監査」タブに移動し、「編集」ボタンをクリックしてから「追加」をクリックし、監査を実行するアカウントまたはグループを指定します。次に、監視されているイベント (実行、読み取り、ファイル作成など) と結果 (成功または失敗) を記録します。「適用」リストを使用して、監査ポリシーの適用範囲を指定します。変更を確認します。

これで、指定されたすべての操作がセキュリティログに表示されます。
監査の設定を容易にするため、大量のオブジェクトの場合は、「親オブジェクトからパラメータを継承」チェックボックスをアクティブにする必要があります。この場合、「継承元」フィールドには、設定の取得元の親オブジェクトが表示されます。
ログに記録されるイベントをより詳細に制御するには、セキュリティ設定/ローカルポリシー/詳細監査ポリシー構成で構成される詳細な監査ポリシーを使用します。ここには 10 のサブポイントがあります。

アカウントログイン - 資格情報の検証、Kerberos 認証サービス、Kerberos サービスチケットの操作、その他のログインイベントを監査します。
アカウント管理 – アプリケーショングループ、コンピューターとユーザーアカウント、セキュリティと配布グループの管理を監査します。
詳細な追跡 - RPC および DPAPI イベント、プロセスの作成と終了。
ディレクトリサービスアクセス DS - ディレクトリサービスのアクセス、変更、レプリケーション、および詳細なレプリケーションを監査します。
ログイン/ログアウト – アカウントのロック、システムのログインとログアウト、IPSec の使用、ネットワークポリシーサーバーの監査。
オブジェクトへのアクセス - カーネルオブジェクトの監査、記述子、イベントの操作アプリケーションによって作成された、認証サービス、ファイルシステム、共有フォルダー、フィルタリングプラットフォーム。
ポリシーの変更 – 監査、認証、認可、フィルタリングプラットフォーム、MPSSVC セキュリティサービスルールなどの変更。
権利の使用 – さまざまなカテゴリのデータへのアクセス権の監査。
システム – システムの整合性、セキュリティ状態の変更と拡張、IPSec ドライバー、その他のイベントを監査します。
グローバルオブジェクトへのアクセスの監査 - ファイルシステムとレジストリの監査。

ユーザーアカウント管理監査を有効にすると、作成、変更、削除、ブロック、有効化、およびパスワードや権限を含むその他のアカウント設定を追跡できるようになります。実際にどのように機能するかを見てみましょう。[ユーザーアカウント管理] サブカテゴリを選択してアクティブにします。 Auditpol コマンドは次のようになります。

Auditpol /set /subcategory:"ユーザーアカウント管理" /success:enable /failure:enable
gpudate /force

コンソールでの監査システムイベントを表示すると、すぐにイベント番号 4719 が表示されます。監査パラメータの変更により、ポリシー名と新しい値が表示されます。

イベントを作成するには、Active Directory ユーザーとコンピュータコンソールを開き、任意のアカウントのパラメータの 1 つを変更します (たとえば、セキュリティグループにユーザーを追加します)。イベントビューアコンソールでは、複数のイベントが一度に生成されます。イベント番号 4732 および 4735 は、セキュリティグループメンバーシップの変更とアカウントの追加を示します。新しい集団セキュリティ (図 8 では紫色で強調表示)。
新しいアカウントを作成しましょう - システムはいくつかのイベントを生成します: 4720 (新しいアカウントの作成)、4724 (アカウントのパスワードのリセット試行)、コード 4738 (アカウントの変更) のいくつかのイベント、そして最後に 4722 (新しいアカウントの有効化) ）。監査データに基づいて、管理者は古い属性値と新しい属性値を追跡できます。たとえば、アカウントの作成時に UAC 値が変更されます。

定期監査制度のデメリット

標準ツールオペレーティング·システム多くの場合、基本的な分析ツールのセットのみが提供されています。公式ドキュメント (http://technet.microsoft.com/ru-ru/library/dd772623(WS.10).aspx) では、ツール自体の機能が非常によく似た方法で説明されていますが、パラメーターの選択についてはほとんど助けがありません。変化を監視する必要があります。その結果、この問題の解決策はすべてシステム管理者の肩にかかっており、システム管理者は監査の技術的側面を十分に理解する必要があり、トレーニングのレベルに依存するため、エラーが発生する可能性が高くなります。また、結果の分析や各種レポートの作成も担当します。
特定のイベントを簡単に選択できるように、イベントビューアーコンソールインターフェイスでフィルターとカスタムビューを作成できます。データを選択するためのパラメーターとして、日付、イベントのログとソース、レベル (重大、警告、エラーなど)、コード、ユーザーまたはコンピューター、およびキーワード。組織には、グループや部門にグループ化された多数のユーザーがおり、監査を個別に構成する必要がある場合がありますが、この機会インターフェイスでは提供されません。

ルールがカスタムビューでトリガーされる場合は、タスク (タスクをイベントにバインドメニュー) を作成できます。プログラムを起動し、メッセージを送信します。 Eメールまたはデスクトップにメッセージを表示します。

ただし、繰り返しになりますが、アラートの実装、特にイベントの選択は完全に管理者に任されています。
変更された属性を前の値にロールバックする必要がある場合、このアクションは手動で実行されます。コンソールにはパラメーターの値のみが表示されます。

一部のセキュリティ標準では、監査プロセス中に収集されたデータを長期間（たとえば、SOX では最大 7 年間）保持する必要があります。システム手段によるこれを実装することは可能ですが、非常に困難です。セキュリティログのサイズは (他のものと同様) 128 MB に制限されており、イベントが多数発生すると、数時間以内にデータが上書きされる (つまり、失われる) 可能性があります。これを回避するには、イベントビューアでログプロパティウィンドウを呼び出し、ログサイズを増やし、[いっぱいになったときにログをアーカイブする] チェックボックスをオンにしてアーカイブをアクティブにする必要があります。イベントを上書きしないでください。」

しかし今後は、多くのアーカイブ内のイベントを検索するという問題を解決する必要があります。デメリットにも注意が必要です標準システム監査には以下が含まれます限られた機会グループポリシーを監視します。この変更の事実にもかかわらず、定期的な手段追跡できても、変更されたパラメータの値は記録されないため、正確に何が変更され、新しい値が何になったのかという質問に答えることは不可能です。状況によってはこれで十分ですが、本格的な監査と呼ぶのは困難です。質問がある場合は、コメントに書き込んでください。

Windows Server 2008 R2 のファイルおよびフォルダーへのアクセスを監査するには、監査機能を有効にし、アクセスを記録するフォルダーおよびファイルも指定する必要があります。監査を設定すると、サーバーログには、選択したファイルとフォルダーに対するアクセスやその他のイベントに関する情報が含まれます。ファイルおよびフォルダーへのアクセスの監査は、NTFS ファイルシステムを備えたボリュームでのみ実行できることに注意してください。

Windows Server 2008 R2 でファイルシステムオブジェクトの監査を有効にする

ファイルとフォルダーのアクセス監査は、グループポリシーを使用して有効または無効にします: ドメインポリシードメインアクティブスタンドアロンサーバーのディレクトリまたはローカルセキュリティポリシー。個々のサーバーで監査を有効にするには、ローカルポリシー管理コンソールを開く必要があります。 開始 ->全てプログラム ->管理的ツール ->地元安全ポリシー。ローカルポリシーコンソールで、ローカルポリシーツリーを展開する必要があります ( 地元ポリシー）要素を選択します監査ポリシー.

右側のパネルで要素を選択する必要があります監査物体アクセス表示されるウィンドウで、記録する必要があるファイルおよびフォルダーへのアクセスイベントの種類 (アクセスの成功/失敗) を指定します。

必要な設定を選択したら、をクリックします。 わかりました。

アクセスを記録するファイルとフォルダーの選択

ファイルおよびフォルダーへのアクセスの監査をアクティブ化した後、アクセスを監査する特定のファイルシステムオブジェクトを選択する必要があります。 NTFS アクセス許可と同様に、監査設定は、(別の方法で構成されていない限り) デフォルトですべての子オブジェクトに継承されます。ファイルやフォルダーにアクセス権を割り当てる場合と同様に、すべてのオブジェクトまたは選択したオブジェクトのみに対して監査設定の継承を有効にすることができます。

特定のフォルダー/ファイルの監査を設定するには、それをクリックする必要があります右クリックマウスを移動して「プロパティ」( プロパティ）。プロパティウィンドウで、「セキュリティ」タブに移動します( 安全）を押してボタンを押します 高度な。高度なセキュリティ設定ウィンドウ ( 高度な安全設定) 「監査」タブに移動します ( 監査）。もちろん、監査を設定するには管理者権限が必要です。の上この段階では監査ウィンドウには、このリソースの監査が有効になっているユーザーとグループのリストが表示されます。

にアクセスできるユーザーまたはグループを追加するにはこのオブジェクト修正されるので、ボタンを押す必要があります 追加…これらのユーザー/グループの名前を指定します (または、 みんな– すべてのユーザーのアクセスを監査するため):

この設定を適用した直後システムログセキュリティ (スナップインで見つけることができます) コンピューター管理 ->イベントビューア)、監査が有効になっているオブジェクトにアクセスするたびに、対応するエントリが表示されます。

あるいは、PowerShell コマンドレットを使用してイベントを表示およびフィルタリングすることもできます- イベントログの取得たとえば、eventid 4660 のすべてのイベントを表示するには、次のコマンドを実行します。

Get-EventLog セキュリティ | ?($_.eventid -eq 4660)

アドバイス。ログ内の任意のイベントに割り当てることができます Windows確実送信などのアクション Eメールまたはスクリプトの実行。これをどのように構成するかについては、次の記事で説明されています。

2012 年 6 月 8 日より更新 （コメンテーターに感謝します）。

Windows 2008/Windows 7では監査管理が導入されました特別なユーティリティ 監査ポール. 完全なリスト監査を有効にできるオブジェクトのタイプは、次のコマンドを使用して確認できます。

Auditpol /list /subcategory:*

ご覧のとおり、これらのオブジェクトは 9 つのカテゴリに分類されます。

システム
ログオン/ログオフ
オブジェクトアクセス
特権の使用
詳細な追跡
ポリシーの変更
アカウント管理
DS アクセス
アカウントのログオン

それに応じて、それぞれがサブカテゴリーに分類されます。たとえば、オブジェクトアクセス監査カテゴリにはファイルシステムサブカテゴリが含まれており、コンピュータ上のファイルシステムオブジェクトの監査を有効にするには、次のコマンドを実行します。

Auditpol /set /subcategory:"ファイルシステム" /failure:enable /success:enable

これは、次のコマンドで無効にされます。

Auditpol /set /subcategory:"ファイルシステム" /failure:disable /success:disable

それらの。不要なサブカテゴリの監査を無効にすると、ログの量と不要なイベントの数を大幅に減らすことができます。

ファイルとフォルダーへのアクセスの監査をアクティブ化した後、監視する特定のオブジェクトを (ファイルとフォルダーのプロパティで) 指定する必要があります。デフォルトでは、監査設定はすべての子オブジェクトに継承されることに注意してください (特に指定しない限り)。

どれでも Windows管理者怒ったユーザーが正確に誰がメガを削除したのか知りたいという状況に遭遇しました。重要なファイル年次報告書付き共有フォルダの上ファイルサーバー。この情報は、ファイルサーバー上のファイルとフォルダーの削除を監査する場合にのみ取得できます。そうでない場合は、残っているのは、削除されたファイルをバックアップコピーから復元し (既に実行していますか?)、手を放すことだけです。

ただし、ファイル削除の監査が有効になっている場合でも、ログ内の何かを見つけるのが問題となる場合があります。まず、見つけてください希望のエントリー何千ものイベントの中からそれを行うのは非常に困難です (Windows には、柔軟なフィルタリングが可能な、目的のイベントを検索するまともな手段がありません)。第二に、ファイルがかなり前に削除されている場合、このイベントは単純に存在しない可能性があります。ログにあるので、新しいものによって上書きされました。

この記事では、組み込みの整理の例を示します。 Windows ツール 共有ネットワークディレクトリ内のファイルとフォルダーの削除を監査するシステム（ファイルサーバー）イベントは別の MySQL データベースに記録されます。

すべての情報を含むデータベースの存在のおかげで、削除されたファイル管理者は次の質問に答えることができます。

誰がいつファイルを削除しましたか?
ファイルはどのアプリケーションから削除されましたか?
どの時点でバックアップを復元する必要がありますか?

まずはファイル上で Windowsサーバーファイル削除に関する情報がシステムログに記録されるようにするには、イベント監査を有効にする必要があります。この手順については、この記事ですでに説明しました。

監査は次の方法で有効にできます。一般方針 オブジェクトアクセスの監査ポリシーセクションで セキュリティ設定 -> ローカルポリシー -> 監査ポリシー

または (できれば) GPO 経由で: セキュリティ設定 -> 高度な監査ポリシー構成 -> オブジェクトアクセス -> 監査ファイルシステム.

アドバイス。監査を実施すると、システムリソースに追加のコストがかかります。特に高負荷のファイルサーバーの場合は、注意して使用する必要があります。

共有ネットワークフォルダーのプロパティ (セキュリティ -> 詳細 -> 監査) で、グループの追跡するファイルを削除します。 みんなフォルダーとファイルの削除イベントの監査を有効にする ( 消去サブフォルダーそしてファイル).

アドバイス。特定のフォルダー内のファイル削除の監査は、PowerShell 経由で有効にすることもできます。

$Path = "D:\パブリック"
$AuditChangesRules = New-Object System.Security.AccessControl.FileSystemAuditRule("Everyone", "Delete,DeleteSubdirectoriesAndFiles", "none", "none", "Success")
$Acl = Get-Acl -Path $Path
$Acl.AddAuditRule($AuditChangesRules)
Set-Acl -Path $Path -AclObject $Acl

ファイルが正常に削除されると、イベント ID イベントがシステムセキュリティログに表示されます 4663 ソースから マイクロソフトウィンドウズセキュリティ監査。イベントの説明には、削除されたファイルの名前、削除が実行されたアカウント、およびプロセスの名前に関する情報が含まれます。

したがって、関心のあるイベントはログに書き込まれます。次に、次のフィールドで構成されるテーブルを MySQL サーバー上に作成します。

サーバーの名前
リモートファイル名
削除時間
ファイルを削除したユーザーの名前

このようなテーブルを作成するための MySQL クエリは次のようになります。

CREATE TABLE track_del (id INT NOT NULL AUTO_INCREMENT、server VARCHAR(100)、file_name VARCHAR(255)、dt_time DATETIME、user_name VARCHAR(100)、PRIMARY KEY (ID));

イベントログから情報を収集するためのスクリプト。今日のイベント ID 4663 でログをフィルタリングします。

$event = $_.ToXml()
if($event)
{

}
}

次のスクリプトは、受信したデータをリモートサーバー上の MySQL データベースに書き込みます。

$Connection.Open()
$sql = 新しいオブジェクト MySql.Data.MySqlClient.MySqlCommand
$sql.Connection = $Connection
$today = get-date -DisplayHint date -UFormat %Y-%m-%d
Get-WinEvent -FilterHashTable @(LogName="Security";starttime="$today";id=4663) | フォーリーチ (
$event = $_.ToXml()
if($event)
{
$Time = Get-Date $_.TimeCreated -UFormat "%Y-%m-%d %H:%M:%S"
$File = $event.Event.EventData.Data."#text"

$File = $File.Replace('\','|')
$User = $event.Event.EventData.Data."#text"
$Computer = $event.Event.System.computer
$sql.CommandText = "トラックデル (サーバー,ファイル名,dt_時刻,ユーザー名) の値に挿入 ("$Computer","$File","$Time","$User")"
$sql.ExecuteNonQuery()
}
}
$Reader.Close()
$Connection.Close()

次に、誰がファイルを削除したかを調べます。」 document1 - コピー.DOC」の場合は、PowerShell コンソールで次のスクリプトを実行するだけです。

$DeletedFile = "%document1 - Copy.DOC%"
Set-ExecutionPolicy RemoteSigned
追加タイプ - パス「C:\Program Files (x86)\MySQL\MySQL Connector Net 6.9.8\Assemblies\v4.5\MySql.Data.dll」
$Connection = @(ConnectionString="server=10.7.7.13;uid=posh;pwd=P@ssw0rd;database=aduser")
$Connection.Open()
$MYSQLCommand = 新しいオブジェクト MySql.Data.MySqlClient.MySqlCommand
$MYSQLDataAdapter = 新しいオブジェクト MySql.Data.MySqlClient.MySqlDataAdapter
$MYSQLDataSet = 新しいオブジェクト System.Data.DataSet
$MYSQLCommand.Connection=$Connection
$MYSQLCommand.CommandText="SELECT user_name,dt_time from track_del where file_name LIKE "$DeletedFile""
$MYSQLDataAdapter.SelectCommand=$MYSQLCommand
$NumberOfDataSets=$MYSQLDataAdapter.Fill($MYSQLDataSet, "データ")
foreach($MYSQLDataSet.tables の $DataSet)
{
書き込みホスト "ユーザー:" $DataSet.user_name "at:" $DataSet.dt_time
}
$Connection.Close()

コンソールで、ユーザー名とファイルが削除された時刻を取得します。

注記。なぜなら問題が発見されました。文字「\」がデータベースに書き込まれず、「|」に置き換えられました。したがって、データベースから選択するときにファイルへのフルパスを指定する必要がある場合は、逆置換 $DataSet.file_name.Replace(‘|’,’\’) を実行できます。 Alex Kornev さん、メモをありがとう！

ログからデータベースにデータをダンプするためのスクリプトは、スケジューラに従って 1 日の終わりに 1 回実行することも、より多くのリソースを消費する削除イベント () に割り当てることもできます。すべてはシステム要件によって異なります。

アドバイス。セキュリティログが、その日のすべてのイベントを含めるのに十分な大きさであることを確認する必要があります。それ以外の場合は、ログからデータベースにデータをリセットするタスクを 1 日に 1 回以上、またはトリガーごとに実行する必要があります。ワークステーション用 最大ログサイズ原則として、少なくとも設定する価値があります 64 MB、北にある - 262 MB. 上書きオプションを有効のままにしておきます ( 必要に応じてイベントを上書きする).

必要に応じて、PHP で単純な Web ページを操作して、より便利な形式でファイル削除の原因に関する情報を取得できます。この問題は、PHP プログラマーであれば 1 ～ 2 時間で解決できます。

重要なヒント。ユーザーがファイルを削除したという情報がログにある場合は、それを意図的または悪意のあるものとして急いで明確に解釈しないでください。多くのプログラム (特に MS Office プログラムがこの問題を起こします) は、データを保存するときに、まず一時ファイルを作成し、そのファイルに文書を保存します。古いバージョンファイルが削除されます。この場合、それは理にかなっています追加エントリファイルを削除したプロセスの名前 (イベントの ProcessName フィールド) をデータベースに記録し、この事実を考慮してファイルの削除を分析します。または、winword.exe、excel.exe などのガベージプロセスからのイベントを徹底的にフィルターで除外します。

そこで、ネットワーク共有内のリモートファイルに関する情報を監査および保存するシステムのアイデアと一般的なフレームワークを提案しました。必要に応じて、ニーズに合わせて簡単に変更できます。

最適なツールはグループポリシーです (監視対象サーバーの OU に適用されます)。各サーバーに同様のローカルポリシーを使用することが可能

「コンピューターの設定\Windows の設定\セキュリティの設定\高度な監査ポリシーの構成\システム監査ポリシー\オブジェクトアクセス\監査」ファイルシステム" => 「監査イベント: 成功」が有効になりました。

ファイルへのアクセスの失敗を監視する必要がある可能性はほとんどありません。その可能性があることは否定しません。しかし、多くの場合、誰がファイルを削除 (またはアップロード) したかを調べる必要があります。

2. 特定のフォルダーに対する監査の設定

次に、データを保存するサーバー上で直接、エクスプローラーを使用して監視するフォルダーのプロパティに移動し、監視するグループの監査設定を有効にします。たとえば、Everyone、考えられるユーザーやサービスによる変更を追跡したい場合は、次のようにします。

「サブフォルダーとファイルの削除 - 成功しました」

「削除 - 成功しました」

「ファイルの作成/データの書き込み - 成功しました」

「フォルダーの作成/データの追加 - 成功しました」

3. イベント監視

これ以降、上記のフォルダーでファイルやサブディレクトリが作成および削除されると、サーバー (ファイルが保存されている) のセキュリティイベントログにイベントが表示されます。

次の 2 つのイベントを使用して、操作の特定の参加者を追跡できます。

イベントID: 4660
説明: オブジェクトが削除されました。

ファイルが削除されたことを通知します。
削除操作を実行した人のアカウントが含まれます
ファイル名は含まれません。彼のハンドルIDのみ

イベントID: 4663
説明: オブジェクトにアクセスしようとしました。

ファイルへのアクセス試行を報告します。
操作を実行した人のアカウントが含まれます。
ハンドルIDとファイル名(オブジェクト名)が含まれます
アクセスマスク – アクセスマスク – ファイルへのアクセスがどのような目的で行われたかを決定します。

アクセスマスクの種類:

アクセスタイプ	16進数	説明
ReadData (または ListDirectory)	0×1	データの読み取りファイルまたはディレクトリオブジェクトからデータを読み取る。リストディレクトリディレクトリの内容を表示します。
データの書き込み (またはファイルの追加)	0×2	データの書き込みデータをファイルに書き込む。ファイルの追加 -ディレクトリにファイルを作成します。
AppendData (または AddSubdirectory または CreatePipeInstance)	0×4	データの追加データをファイルに追加する。 WriteData フラグも含まれていない限り、既存のデータは上書きされません。サブディレクトリの追加 -サブディレクトリを作成しています。
消去	0×10000	オブジェクトの削除。

主要な情報源 - イベント 4663:

章主題オブジェクトに対する操作が実行されたアカウントに関する情報が含まれます。

物体– ファイル情報 (パス、名前、ハンドル)

プロセス情報どのプロセスがファイルに対して操作を実行したかに関する情報が含まれています。

章内 アクセス要求情報アクセスタイプとアクセスマスクに関する情報が掲載されています。

で ファイルを作成する指定されたフォルダー内で、ID を持つイベントのペアがセキュリティイベントログに表示されます。 4663 、最初はマスクで 0x2、2番目はマスク付き 0x4.

で ファイルの削除 ID付きのイベントが表示される 4663 そしてアクセスマスク 0x10000、イベントだけでなく 4660 。同一のハンドルを持つ前のイベント 4663 を見つけることで、イベント 4660 によってどのファイルが削除されたかを判断できます。

ログを分析するには、ツールを使用できます ログパーサー https://www.microsoft.com/en-us/download/details.aspx?id=24659 たとえば、次のリクエストです。

LogParser.exe -i:evt "SELECT TimeGenerated, EventID, Extract_Token(Strings, 1, '|') AS ユーザー、Extract_Token(Strings, 6, '|') AS ファイル、Extract_Token(Strings, 7, '|') AS 'C:\ から 111.docx.txt へのハンドル ID \*.evtx’ WHERE (STRCNT(Strings, ‘111.docx’) >0) ORDER BY TimeGenerated DESC"

ここで、「111.docx」は検索文字列、C:\ \*.evtx – EVTX 形式でアップロードされたログファイルへのパス。 LogParser は他の形式も理解します。

場合によっては、誰が特定のファイルまたはフォルダーを削除/変更/名前変更したかを把握する必要があります。 Windows OS では、これにオブジェクトアクセス監査が使用されます。

監査とは、特定のイベント (ソース、イベントコード、成功、オブジェクトなど) に関する情報を特別なログに記録することです。監査オブジェクトには、任意のファイルまたはフォルダー、または特定のイベント (システムへのログインまたはログアウトなど) を指定できます。つまり、特定のファイルまたはフォルダーで発生するすべてのイベント (読み取り、書き込み、削除など) を記録できます。、イベントログインなどができます。

監査が引き継ぐことを理解する必要があります。

ファイルとフォルダーの監査を構成できるようにするには、まずローカル (または Microsoft AD グループを使用している場合) のセキュリティポリシーを通じてこの機能を有効にする必要があります。

ローカルポリシーの場合、これを行うには、「ローカルセキュリティポリシー」スナップインを起動する必要があります。Win+R キーの組み合わせを押し、表示されるフィールドに「secpol.msc」と入力して Enter キーを押します。

開いたスナップインの左側のツリーで、「ローカルポリシー」-「監査ポリシー」セクションに移動する必要があります。

次に、必要なポリシーを選択する必要があります。この場合それが「オブジェクトアクセス監査」です。ファイルシステムオブジェクト (ファイルとフォルダー) へのアクセスを規制するのはこのポリシーであり、マウスをダブルクリックすることで開くことができます。開いたウィンドウで、どのタイプのイベントを記録するかを選択する必要があります - 「成功」(操作の許可が受け取られた) および/または操作が禁止されている「拒否」 - 適切なボックスにチェックを入れて、「」をクリックします。わかりました"。

関心のあるイベントとそのタイプを監査する機能が有効になったので、オブジェクト自体 (この場合はファイルとフォルダー) の設定に進むことができます。

これを行うには、ファイルまたはフォルダーのプロパティを開き、「セキュリティ」タブに移動し、「詳細設定」と「監査」をクリックする必要があります。

「追加」をクリックして監査の設定を開始します。

まず、対象を選択します。これは、アクションが監査される (監査ログに記録される) 対象です。

そこにユーザーまたはグループの名前を入力できます。名前が事前に不明な場合は、「詳細」ボタンを使用すると、検索フォームが開き、興味のあるユーザーとグループを選択できます。すべてのユーザーのアクションを制御するには、「Everyone」グループを選択する必要があります。

次に、監査対象イベントのタイプ (成功、失敗、すべて) と、監査フォルダーの範囲 (このフォルダーのみ、サブフォルダーを含むフォルダー、サブフォルダーのみ) を構成する必要があります。監査イベント自体だけでなく、ファイルなどのみも含まれます。

フォルダーの場合、フィールドは次のとおりです。

ファイルについては次のとおりです。

この後、監査データの収集が開始されます。すべての監査イベントは「セキュリティ」ログに書き込まれます。これを開く最も簡単な方法は、「コンピュータの管理」スナップイン compmgmt.msc を使用することです。

左側のツリーで、「イベントビューア」-「Windows ログ」-「セキュリティ」を選択します。

各 Windows OS イベントには独自のイベントコードがあります。イベントのリストは非常に広範囲に及ぶため、Microsoft の Web サイトまたはインターネットから入手できます。たとえば、監査イベントを表示できます。

たとえば、ファイル削除イベントを見つけてみましょう。これを行うには、監査が事前に構成されているファイルを削除します (これがテストファイルでない場合は、そのコピーを作成することを忘れないでください)監査はアクションに関する単なる情報であり、これらのアクションを許可/禁止するものではないため)。コード 4663 のイベントが必要です。つまり、「アクセス操作」フィールドに「DELETE」と書かれているオブジェクトへのアクセスを取得します。イベントを検索する Windows ログ非常に複雑なため、通常は監視システムやスクリプトなどの特殊な分析ツールが使用されます。

たとえば、次のようにフィルターを手動で設定できます。

ダブルクリックして開くと、誰が削除したかがわかりますこのファイル件名フィールドに。