Сегодня мы рассмотрим варианты аудита сетевых ресурсов Windows с помощью сторонних программ. Различных способов аудита не мало, но каждый из них хорош только в определенных обстоятельствах.
Давайте по порядку рассмотрим эти варианты. Для тех кто не хочет использовать дополнительное ПО, есть встроенные в Windows методы организации аудита, о которых речь шла в предыдущей части этого обзора.
Простая программа
Сценарий 1: у нас небольшое количество компьютеров, нет домена и мы просто хотим знать кто заходит и что делает на наших сетевых папках. Если наш файловый сервер работает на Win2k/XP/2k3, то простой и удобный аудит сетевых ресурсов можно организовать с помощью программы KillWatcher. Программа бесплатная, обладает простым и понятным интерфейсом, установки не требует, живет в системном трее. При нажатии на значок открывает в окне:
В закладке “Ресурсы” будет представлен список всех сетевых папок и кто в них сидит в данный момент. В закладке “Активные соединения” на каждый подключенный компьютер отображается дополнительная информация: от какого имени зашли, IP, ОС и пр. В закладке “Статистика” можно узнать что делал какой-то конкретный пользователь с файлами. Закладка “Списки” содержит инструменты по созданию отдельных список доступа к вашим сетевым ресурсам (черно-белые списки). Запись лога включается в закладке “Опции”. Как видите, все достаточно просто. Основной недостаток программы KillWatcher – она не работает в Windows Vista и выше, включая серверные 2008 и 2008 R2.
Аудит в больших масштабах
Сценарий 2: у нас большая организация с домен-контроллером, мощный файловый сервер, куда заходит больше сотни народа. При таких объемах записывать логи доступа в текстовый файл очень неразумно. Точнее искать в этих текстовых файлах нужный кусок потом будет очень тяжело. Есть комплексные решения по организации аудита. Одно из них – File System Auditor от ScriptLogic. В интернетах можно найти эту программу не только на официальном сайте ;). Для работы этого решения вам понадобится еще и SQL сервер. Производитель рекомендует MS SQL Server 2005 Express или 2008 Express. Вся установка программы сводится к нескольким нажатиям кнопки Next и Finish, трудностей возникнуть не должно. Аналогичным образом устанавливается MS SQL Server Express. Для Windows Vista, 7, 2008 и 2008 R2 я рекомендую использовать SQL Server 2008. После всех инсталляций желательно перезагрузить компьютер.
Первым делом нам надо связать File System Auditor (FSA) с SQL сервером. Для этого запускаем программу Database Wizard, которая идет в комплекте FSA.
Жмем Next, выбираем Create New Database (создать новую БД) и снова жмем Next:
Здесь нам надо указать компьютер с установленным на него SQL сервером и учетные данные для доступа к БД:
В качестве учетной записи можно использовать учетные записи либо локальную учетную запись администратора SQL сервера (её пароль можно задать при установке SQL). Нажимаем Next.
Здесь я согласился со всеми настройками по умолчанию и нажал Next.
Нажимаем Finish. После этого Database Wizard созадст БД с необходимыми парметрами. Во время этого процесса он у меня выдал окно с некой ошибкой и вариантами ответа Yes/No. Я выбрал Yes, после чего закрыл Database Wizard нажатием кнопки Cancel. Как выяснилось позже – ничего страшного в этом нет)
Теперь переходим в программу Agent Configuration Console из комплекта FSA.
Здесь нажимаем кнопку Add File Server. В появившемся окне счелкаем по кнопке Add, указываем имя своего файлового сервера и нажимаем ОК. Если попробовать вместо имени ввести IP адрес, то ничего не получится. Странно.
Результат должен быть вот таким. Нажимаем Next.
В этом диалоге мы выбираем наш SQL сервер, указываем имя базы данных и учетную запись для доступа к БД. Жмем Next.
В следующем окне я все оставил как есть. При желании здесь можно задавать те объекты и события, которые не нужно записывать.
Далее выводится диалог некоторых опций: время в течении которого все изменения считаются одним действием, распознавать переименование и удаление файлов и пр. Я всё оставил по умолчанию.
В заключении нажимаем Finish. На этом настройка нашего сервера заканчивается, а все действия в сетевых папках уже логируются и складываются в БД. Внешний вид программы примет примерно следующий вид:
Теперь давайте попробуем составить отчет о том, кто что делал в определенной сетевой папке за последнее время. Для этого жмем кнопку Report Console в верхнем меню
В появившемся окне нажимаем кнопку New Report, затем задаем ему имя, указываем сервер БД, имя БД и учетную запись. Нажимаем ОК
Критерии поиска у нас задаются в верхне-правом углу (выделил прямоугольником), а сама выборка данных открывается нажатием кнопки Refresh:
После нажатия кнопки Refresh мы увидим интересные данные:
Сразу видно какие пользователи куда ходили и что делали.
Вот вобщем-то и всё. Как видите, File System Auditor является мощным решением по мониторингу доступа на сетевые ресурсы. На этом обзор завершен, с нетерпением жду ваших коментариев )
PS: Если встречу другие достойные внимания решения, то обязательно поделюсь об этом с вами!
2 комментария к “Аудит доступа к файлам на Windows сервере. Часть 2”
andrei - 18 сентября, 2014
File System Auditor 2.
SLFSAVc.exe занимает в памяти более 600 мегов. Правильно ли это?
Ричард - 20 августа, 2016
Спасибо большое за пространственное просвещение для новичков!
А если нужно ограничить в правах десятки пользователей на несколько файлов (пусть один для примера) на сервере. Одни могут только читать, другие могут читать и дополнять ( пример Таблицы Ексцель) но без права удаления. И только один имеет все права. Что бы вы могли подсказать? В любом случае еще раз благодарен за практический разговор.