積沙成塔

【情境描述】

本文將介紹如何利用Windows Server 2012來架設檔案伺服器作為使用者存放共用資料之用，並透過稽核物件存取的稽核原則來記錄檔案或資料夾的存取軌跡。

【實作步驟】

四、建立分享

點選Server Manager > File and Storage Services > Shares，於分享功能的視窗中按一下To create a file share start the New Share Wizard。

在New Share Wizard視窗中依照精靈的提示，第一步您可以選擇要使用哪種分享的設定檔，本文使用預設的SMB Share - Quick來做示範，請直接按 Next。

接著您必須指定您要分享的路徑，您可以選擇整個磁碟或指定特定路徑，筆者以自訂路徑作為示範，您可以自行輸入路徑，若輸入的路徑不存在則精靈會幫您建立資料夾，另外，您也可以按一下Browse來選擇路徑，分享路徑確定完畢後按Next。

然後您可以指定您要分享的名稱及描述，預設是以您的資料夾名稱作為分享名稱，設定完畢後按Next。（補充說明，這個步驟中Remote path to share是將來其他台電腦要連到該分享目錄的路徑）

在其他設定的步驟中，有三個選項供您依照需求來選擇是否啟用，其中Enable access-based enumeration選項，可以讓使用者只會看到他有權限的檔案或資料夾；Allow caching of share選項可以讓您為分享目錄建立快取，但這必須要搭配啟用BranchCache；Encrypt data access選項則是幫您為遠端存取分享目錄檔案時進行加密。預設會啟用Allow caching of share選項，您也可以在事後回頭來修改這些設定值。

您可以按下圖的Customize permissions來修改預設的資料夾權限，建議您建立分享前先妥善規劃您的權限，尤其是存放重要資料的分享。

在Share的頁籤當中您會看到預設是允許Everyone擁有Read的權限，但這樣會造成一個問題，容筆者先賣個關子。

切換至Auditing頁籤來新增Security Access Control List（SACL）。

下圖的設定為示範稽核Users群組成功（Type）對分享路徑的資料夾及底下的資料夾還有檔案（Applies to）進行Modify、Read & execute、List folder contents、Read及Write（Basic permissions）進行稽核。

最後是確認您所建立分享的相關設定是否正確，若沒問題則按Create。

成功建立分享後按Close以關閉視窗。

此時您應該可以看到在Server Manager中已經有您剛所建立的分享。

但實際上要將檔案存放至分享路徑時，您會遇到拒絕存取的狀況，原因在於您的分享只允許Read。

為示範方便，筆者將原本Everyone只能Read改為擁有Change的權限，就能解決上述問題，建議您可以依照實際的安全性需求來調整分享的權限，再搭配NTFS檔案格式的權限以確保分享的安全性。

五、設定Local Security Policy

為了讓使用者存取檔案伺服器上分享的檔案能留下軌跡，必須設定本地安全性群組原則，有關檔案存取的稽核原則政策為Audit object access，您可以選擇要稽核的是成功或失敗的紀錄。

設定稽核原則後您可以在命令提示字元中以gpupdate /force來立即套用群組原則。

六、檢視檔案存取稽核結果

依照前五個步驟進行設定，您就可以嘗試對分享路徑進行操作（新增、修改、刪除檔案或資料夾等），接著到檔案伺服器開啟事件檢視器，點選Event Viewer（Local）>Windows Log>Security，為能快速找到檔案存取的稽核紀錄，可以透過Filter Current Log的功能，來篩選出Event ID為4656及4663的檔案存取事件。

下圖為Event ID為4656的稽核紀錄，您可以看到是哪個帳號（Account Name）從哪台電腦進行存取（Account Domain）對哪個檔案（Object Name）做了什麼動作（Access）。

下圖為Event ID為4663的稽核紀錄，您可看出User1刪除了檔案名稱為"111 - 複製.txt"的檔案。

【致謝】

感謝好朋友James提供的資訊，才能讓筆者順利完成本文。

【參考資料】

-利用Windows Server 2012架設檔案伺服器並進行檔案存取稽核（上集）

- Setting Disk Space Quotas on Windows Server 2012 – YouTube

- How to create a quota template in Windows Server 2012

- How to share a folder in Windows Server 2012

- 12 Steps to NTFS Shared Folders in Windows Server 2012

- Scenario: File Access Auditing

- Securing and Auditing High Risk Files on Windows Servers

- Setup Shared Folder in Windows Server 2012

- Windows Server 2012, File Servers and SMB 3.0 – Simpler and Easier by Design

- How to set up a file audit on Windows server

- What's New in FSRM in Windows Server 2012

- Access-based Enumeration

- Folder Redirection, Offline Files, and Roaming User Profiles overview

- Server Message Block overview

- Audit File Access and Change in Windows

- Security Auditing Enhancements in Windows Server 2012