利用Windows Server 2012架设文件服务器并进行文件存取稽核(下集)

本文将继续介绍如何利用Windows Server 2012架设文件服务器并进行文件存取稽核。


情境描述

本文将介绍如何利用Windows Server 2012来架设文件服务器作为使用者存放共用数据之用,并透过稽核对象存取的稽核原则来记录文件或数据夹的存取轨迹。

实践步骤

四、建立分享

点选Server Manager > File and Storage Services > Shares,于分享功能的窗口中按一下To create a file share start the New Share Wizard

image

在New Share Wizard窗口中依照精灵的提示,第一步您可以选择要使用哪种分享的配置文件,本文使用默认的SMB Share - Quick来做示范,请直接按 Next。

image

接着您必须指定您要分享的路径,您可以选择整个磁盘或指定特定路径,笔者以自订路径作为示范,您可以自行输入路径,若输入的路径不存在则精灵会帮您建立数据夹,另外,您也可以按一下Browse来选择路径,分享路径确定完毕后按Next。

image

然后您可以指定您要分享的名称及描述,默认是以您的数据夹名称作为分享名称,设定完毕后按Next。(补充说明,这个步骤中Remote path to share是将来其他台电脑要连到该分享目录的路径)

image

在其他设定的步骤中,有三个选项供您依照需求来选择是否启用,其中Enable access-based enumeration选项,可以让使用者只会看到他有权限的文件或数据夹;Allow caching of share选项可以让您为分享目录建立缓存,但这必须要搭配启用BranchCache;Encrypt data access选项则是帮您为远程登录分享目录文件时进行加密。默认会启用Allow caching of share选项,您也可以在事后回头来修改这些设定值。

image

您可以按下图的Customize permissions来修改默认的数据夹权限,建议您建立分享前先妥善规划您的权限,尤其是存放重要数据的分享。

image

在Share的页签当中您会看到默认是允许Everyone拥有Read的权限,但这样会造成一个问题,容笔者先卖个关子。

image

切换至Auditing页签来新增Security Access Control List(SACL)。

image

下图的设定为示范稽核Users群组成功(Type)对分享路径的数据夹及底下的数据夹还有文件(Applies to)进行Modify、Read & execute、List folder contents、Read及Write(Basic permissions)进行稽核。

image

最后是确认您所建立分享的相关设定是否正确,若没问题则按Create。

image

成功建立分享后按Close以关闭窗口。

image

此时您应该可以看到在Server Manager中已经有您刚所建立的分享。

image

但实际上要将文件存放至分享路径时,您会遇到拒绝存取的状况,原因在于您的分享只允许Read。

image

为示范方便,笔者将原本Everyone只能Read改为拥有Change的权限,就能解决上述问题,建议您可以依照实际的安全性需求来调整分享的权限,再搭配NTFS文件格式的权限以确保分享的安全性。

image

五、设定Local Security Policy

为了让使用者存取文件服务器上分享的文件能留下轨迹,必须设定本地安全性群组原则,有关文件存取的稽核原则政策为Audit object access,您可以选择要稽核的是成功或失败的纪录。

image

设定稽核原则后您可以在命令提示符中以gpupdate /force来立即套用群组原则。

image

六、检视文件存取稽核结果

依照前五个步骤进行设定,您就可以尝试对分享路径进行操作(新增、修改、删除文件或数据夹等),接着到文件服务器开启事件检视器,点选Event Viewer(Local)>Windows Log>Security,为能快速找到文件存取的稽核纪录,可以透过Filter Current Log的功能,来筛选出Event ID为46564663的文件存取事件。

image

下图为Event ID为4656的稽核纪录,您可以看到是哪个账号(Account Name)从哪台电脑进行存取(Account Domain)对哪个文件(Object Name)做了什么动作(Access)。

image

下图为Event ID为4663的稽核纪录,您可看出User1删除了文件名称为"111 - 复制.txt"的文件。

image

致谢

感谢好朋友James提供的资讯,才能让笔者顺利完成本文。

参考数据

-利用Windows Server 2012架设文件服务器并进行文件存取稽核(上集)

- Setting Disk Space Quotas on Windows Server 2012 – YouTube

- How to create a quota template in Windows Server 2012

- How to share a folder in Windows Server 2012

- 12 Steps to NTFS Shared Folders in Windows Server 2012

- Scenario: File Access Auditing

- Securing and Auditing High Risk Files on Windows Servers

- Setup Shared Folder in Windows Server 2012

- Windows Server 2012, File Servers and SMB 3.0 – Simpler and Easier by Design

- How to set up a file audit on Windows server

- What's New in FSRM in Windows Server 2012

- Access-based Enumeration

- Folder Redirection, Offline Files, and Roaming User Profiles overview

- Server Message Block overview

- Audit File Access and Change in Windows

- Security Auditing Enhancements in Windows Server 2012