Windows 文件访问监控

---

在这篇文章中，我们将深入探讨如何在 Windows 文件服务器上配置文件访问审核，并探讨解释关键访问事件的挑战。

背景

制定有效的审计策略的第一步是充分了解您的系统、用例和业务需求，这样您就可以避免配置比实际需要更广泛的审计范围带来的影响。 您选择的审核策略设置越多，审核的文件和文件夹越多，文件服务器记录事件所需的工作就越多，容纳事件量所需的存储空间就越多，管理员必须解析的数据就越多通过了解谁正在访问什么。

因此，在启用审核策略之前，请确保：

• 确定组织最关键数据的存储位置，并确定需要审核的文件和文件夹的优先级。
• 确定支持所选审核设置所需的存储量。

在 Windows 文件服务器上配置文件访问审核

在这篇博文中，我将展示如何在运行 Windows Server 2016 R2 的域控制器上通过组策略启用高级审核策略。 （如果您只有一个文件服务器，则可以使用本地安全策略。）

与使用基本审核策略设置相比，高级审核策略允许管理员在要返回的事件类型和数量方面更具选择性。特别是，在审核文件访问时，基本审核策略提供单一设置，而高级策略则提供 14 个子类别。在此示例中，我们将启用以下选项：

• 审核文件系统 - 审核用户访问文件系统对象的尝试。
• 审核句柄操作 - 增加对失败访问尝试的可见性。
• 通过组策略管理创建新的组策略对象 (GPO) 并输入合适的名称。

• 右键单击新的 GPO 以启动“组策略管理编辑器”窗口。

• 导航到计算机配置 -> Windows 设置 -> 高级审核策略配置 -> 审核策略 -> 对象访问。

• 双击审核文件系统。然后选择配置以下审核事件，并选择成功和失败。单击应用保存更改，然后单击确定。

• 双击审核句柄操作。选择配置以下审核事件，然后选择成功和失败。然后点击应用，然后点击确定。

• 现在我们需要将新的 GPO 与包含文件服务器的 OU 链接。在组策略管理中，右键单击 OU，选择链接现有 GPO...，选择我们创建的 GPO（文件系统访问策略），然后单击确定将其应用到所选的组织单位。然后强制文件服务器检查新的组策略：再次右键单击组策略管理中的 OU，单击组策略更新，然后按照向导中的步骤进行操作。

• 导航到目标 Windows 文件服务器上安全日志的属性。然后配置最大日志大小 (KB) 以及达到最大事件日志大小时要采取的操作。

• 导航至每个目标文件夹属性的安全选项卡 -> 单击高级 -> 导航至审核选项卡-> 单击添加 配置审核设置。假设这些文件夹包含您组织最重要的资产，您可能希望通过选择“Everyone”主体来监控所有用户的访问事件。

文件访问审核的挑战

现在让我们回顾一下文件访问审核中的一些主要挑战。

高事件量

管理员常常难以有效管理所产生的大量审计数据。例如，让我们检查以下常见场景创建的事件：

1. 用户打开文件共享上的 Microsoft Word 文档。
2. 用户编辑文档。
3. 用户保存并关闭文档。

这种普通行为将导致超过 200 个事件被写入事件日志，如下所示。将其乘以用户每天执行此活动的次数，很容易看出监视文件访问的任务变得多么难以处理！

以下是有关在我们的简单场景中可能返回的事件的更多详细信息：

Event IDDescriptionDetails4656A handle to an object was requestedThis is the first event recorded when a user attempts to access a file; it includes the type of access that is being requested.4658The handle to an object was closedThis event logs when a handle to an object was closed. It is useful in determining how long a file was open.4660An object was deletedThis event is logged when an object was deleted. To find which object it was, you must relate it to a corresponding 4656 event.4663An attempt was made to access an objectThis event identifies the operation attempted against a file or folder, such as ReadData, WriteData or Delete.4670Permissions on an object were changedThis event is logged when permissions to a file or folder were changed. It shows who made the change and the before and after values.

临时文件的噪音

上面的示例返回了 230 个事件，但其中近一半是针对仅存在很短时间的临时文件记录的。

Microsoft Office 使用临时文件有多种用途，包括在编辑过程中自动保存数据、释放内存和防止数据丢失。虽然这为用户提供了更好的体验，但对于负责管理审核跟踪的管理员来说却是一件非常头疼的事情：为了了解正在访问哪些对象，他们不仅必须关联几个不同的事件 ID，还需要识别并丢弃与临时文件相关的事件。

难以理解权限更改

当文件或文件夹的权限发生更改时，会记录事件 4670。监视这些事件至关重要，因为它们可能会将敏感信息置于危险之中，例如将文件夹权限添加到域用户组时。这是一个示例事件：

由于以下几个原因，事件 4670 可能难以处理：

• 安全描述符使用安全描述符定义语言（SDDL）表示，因此管理员需要将其转换为可读格式。
• 翻译完成后，管理员需要煞费苦心地比较原始和新的安全描述符，以便识别更改后的权限。

关联事件以了解文件移动

了解文件从一个位置到另一个位置的移动可能至关重要，例如，当用户的文档丢失并需要找到时。但是，移动文件，无论是通过拖放还是剪切粘贴，都会生成多个事件，其中许多是 4663 事件。为了确定文件移动到的位置，管理员必须手动过滤掉噪音事件，并将具有匹配句柄 ID 的 4663 个事件关联起来。

Netwrix 如何提供帮助？

正如我们所看到的，本机文件访问审核需要大量的事件数据以及手动过滤和关联工作，让管理员不知所措，以至于它不是回答有关文件访问、权限更改和文件移动的关键问题的可行方法。

Netwrix 的数据访问治理软件提供了一种有效且可扩展的文件活动监控方法。此外，它还可以让您了解谁有权访问什么内容并严格限制对敏感数据的访问，从而帮助您降低网络安全事件的风险。你可以：

• 审计整个 IT 生态系统的活动。
• 将对敏感数据的访问减少到所需的最低限度，以降低内部威胁的风险，并最大限度地减少勒索软件和其他攻击造成的损害。
• 简化数据所有者的定期权限认证。
• 通过准确一致的内容标记来保护敏感数据。

常问问题

什么是文件活动监控工具？

它是一种软件解决方案，可跟踪整个网络中敏感数据的活动。

如何查看谁访问了文件？

要跟踪此活动，组织需要启用本机文件访问审核或下载文件活动监控产品来监控文件和文件夹的活动。