Аудит Windows Share

Аудит Windows Share

Настройка не сложная и не займет много времени 🙂

Сначала настроим шару. Перейдем в свойства папки, далее Безопасность -> Дополнительно -> Аудит. Добавим группу Все, если её нет, двойным кликом заходим в её свойства, Отображение дополнительных разрешений и включаем:

  • Создание файлов/запись данных
  • Создание папок/Дозапись данных
  • Удаление подпапок и файлов
  • Удаление
  • Смена владельца

Не забываем, что применить нужно и к папке, и к её подпапкам!

Теперь настроим политику аудита.

Откроем secpol.msc Параметры безопасности -> Локальные политики -> Параметры безопасности и найдём в правой части окна категорию «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista or later)» и включим её.

Так же перейдем в Параметры безопасности -> Конфигурация расширенной политики -> Политики аудита системы -> Доступ к объектам и настройте категорию Аудит файловой системы в Успех и отказ

Как найти — кто удалил файл? Смотрим лог Безопасность по событию 4663. В данных событиях будет написан путь до файла, операции доступа (запись, удаление и т.д.) и пользователь.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *