利用Windows Server 2012架設檔案伺服器並進行檔案存取稽核(下集)

  • 24427
  • 0

本文將繼續介紹如何利用Windows Server 2012架設檔案伺服器並進行檔案存取稽核。

情境描述

本文將介紹如何利用Windows Server 2012來架設檔案伺服器作為使用者存放共用資料之用,並透過稽核物件存取的稽核原則來記錄檔案或資料夾的存取軌跡。

實作步驟

四、建立分享

點選Server Manager > File and Storage Services > Shares,於分享功能的視窗中按一下To create a file share start the New Share Wizard

image

在New Share Wizard視窗中依照精靈的提示,第一步您可以選擇要使用哪種分享的設定檔,本文使用預設的SMB Share - Quick來做示範,請直接按 Next。

image

接著您必須指定您要分享的路徑,您可以選擇整個磁碟或指定特定路徑,筆者以自訂路徑作為示範,您可以自行輸入路徑,若輸入的路徑不存在則精靈會幫您建立資料夾,另外,您也可以按一下Browse來選擇路徑,分享路徑確定完畢後按Next。

image

然後您可以指定您要分享的名稱及描述,預設是以您的資料夾名稱作為分享名稱,設定完畢後按Next。(補充說明,這個步驟中Remote path to share是將來其他台電腦要連到該分享目錄的路徑)

image

在其他設定的步驟中,有三個選項供您依照需求來選擇是否啟用,其中Enable access-based enumeration選項,可以讓使用者只會看到他有權限的檔案或資料夾;Allow caching of share選項可以讓您為分享目錄建立快取,但這必須要搭配啟用BranchCache;Encrypt data access選項則是幫您為遠端存取分享目錄檔案時進行加密。預設會啟用Allow caching of share選項,您也可以在事後回頭來修改這些設定值。

image

您可以按下圖的Customize permissions來修改預設的資料夾權限,建議您建立分享前先妥善規劃您的權限,尤其是存放重要資料的分享。

image

在Share的頁籤當中您會看到預設是允許Everyone擁有Read的權限,但這樣會造成一個問題,容筆者先賣個關子。

image

切換至Auditing頁籤來新增Security Access Control List(SACL)。

image

下圖的設定為示範稽核Users群組成功(Type)對分享路徑的資料夾及底下的資料夾還有檔案(Applies to)進行Modify、Read & execute、List folder contents、Read及Write(Basic permissions)進行稽核。

image

最後是確認您所建立分享的相關設定是否正確,若沒問題則按Create。

image

成功建立分享後按Close以關閉視窗。

image

此時您應該可以看到在Server Manager中已經有您剛所建立的分享。

image

但實際上要將檔案存放至分享路徑時,您會遇到拒絕存取的狀況,原因在於您的分享只允許Read。

image

為示範方便,筆者將原本Everyone只能Read改為擁有Change的權限,就能解決上述問題,建議您可以依照實際的安全性需求來調整分享的權限,再搭配NTFS檔案格式的權限以確保分享的安全性。

image

五、設定Local Security Policy

為了讓使用者存取檔案伺服器上分享的檔案能留下軌跡,必須設定本地安全性群組原則,有關檔案存取的稽核原則政策為Audit object access,您可以選擇要稽核的是成功或失敗的紀錄。

image

設定稽核原則後您可以在命令提示字元中以gpupdate /force來立即套用群組原則。

image

六、檢視檔案存取稽核結果

依照前五個步驟進行設定,您就可以嘗試對分享路徑進行操作(新增、修改、刪除檔案或資料夾等),接著到檔案伺服器開啟事件檢視器,點選Event Viewer(Local)>Windows Log>Security,為能快速找到檔案存取的稽核紀錄,可以透過Filter Current Log的功能,來篩選出Event ID為46564663的檔案存取事件。

image

下圖為Event ID為4656的稽核紀錄,您可以看到是哪個帳號(Account Name)從哪台電腦進行存取(Account Domain)對哪個檔案(Object Name)做了什麼動作(Access)。

image

下圖為Event ID為4663的稽核紀錄,您可看出User1刪除了檔案名稱為"111 - 複製.txt"的檔案。

image

致謝

感謝好朋友James提供的資訊,才能讓筆者順利完成本文。

參考資料

-利用Windows Server 2012架設檔案伺服器並進行檔案存取稽核(上集)

- Setting Disk Space Quotas on Windows Server 2012 – YouTube

- How to create a quota template in Windows Server 2012

- How to share a folder in Windows Server 2012

- 12 Steps to NTFS Shared Folders in Windows Server 2012

- Scenario: File Access Auditing

- Securing and Auditing High Risk Files on Windows Servers

- Setup Shared Folder in Windows Server 2012

- Windows Server 2012, File Servers and SMB 3.0 – Simpler and Easier by Design

- How to set up a file audit on Windows server

- What's New in FSRM in Windows Server 2012

- Access-based Enumeration

- Folder Redirection, Offline Files, and Roaming User Profiles overview

- Server Message Block overview

- Audit File Access and Change in Windows

- Security Auditing Enhancements in Windows Server 2012