本文將繼續介紹如何利用Windows Server 2012架設檔案伺服器並進行檔案存取稽核。
【情境描述】
本文將介紹如何利用Windows Server 2012來架設檔案伺服器作為使用者存放共用資料之用,並透過稽核物件存取的稽核原則來記錄檔案或資料夾的存取軌跡。
【實作步驟】
四、建立分享
點選Server Manager > File and Storage Services > Shares,於分享功能的視窗中按一下To create a file share start the New Share Wizard。
在New Share Wizard視窗中依照精靈的提示,第一步您可以選擇要使用哪種分享的設定檔,本文使用預設的SMB Share - Quick來做示範,請直接按 Next。
接著您必須指定您要分享的路徑,您可以選擇整個磁碟或指定特定路徑,筆者以自訂路徑作為示範,您可以自行輸入路徑,若輸入的路徑不存在則精靈會幫您建立資料夾,另外,您也可以按一下Browse來選擇路徑,分享路徑確定完畢後按Next。
然後您可以指定您要分享的名稱及描述,預設是以您的資料夾名稱作為分享名稱,設定完畢後按Next。(補充說明,這個步驟中Remote path to share是將來其他台電腦要連到該分享目錄的路徑)
在其他設定的步驟中,有三個選項供您依照需求來選擇是否啟用,其中Enable access-based enumeration選項,可以讓使用者只會看到他有權限的檔案或資料夾;Allow caching of share選項可以讓您為分享目錄建立快取,但這必須要搭配啟用BranchCache;Encrypt data access選項則是幫您為遠端存取分享目錄檔案時進行加密。預設會啟用Allow caching of share選項,您也可以在事後回頭來修改這些設定值。
您可以按下圖的Customize permissions來修改預設的資料夾權限,建議您建立分享前先妥善規劃您的權限,尤其是存放重要資料的分享。
在Share的頁籤當中您會看到預設是允許Everyone擁有Read的權限,但這樣會造成一個問題,容筆者先賣個關子。
切換至Auditing頁籤來新增Security Access Control List(SACL)。
下圖的設定為示範稽核Users群組成功(Type)對分享路徑的資料夾及底下的資料夾還有檔案(Applies to)進行Modify、Read & execute、List folder contents、Read及Write(Basic permissions)進行稽核。
最後是確認您所建立分享的相關設定是否正確,若沒問題則按Create。
成功建立分享後按Close以關閉視窗。
此時您應該可以看到在Server Manager中已經有您剛所建立的分享。
但實際上要將檔案存放至分享路徑時,您會遇到拒絕存取的狀況,原因在於您的分享只允許Read。
為示範方便,筆者將原本Everyone只能Read改為擁有Change的權限,就能解決上述問題,建議您可以依照實際的安全性需求來調整分享的權限,再搭配NTFS檔案格式的權限以確保分享的安全性。
五、設定Local Security Policy
為了讓使用者存取檔案伺服器上分享的檔案能留下軌跡,必須設定本地安全性群組原則,有關檔案存取的稽核原則政策為Audit object access,您可以選擇要稽核的是成功或失敗的紀錄。
設定稽核原則後您可以在命令提示字元中以gpupdate /force來立即套用群組原則。
六、檢視檔案存取稽核結果
依照前五個步驟進行設定,您就可以嘗試對分享路徑進行操作(新增、修改、刪除檔案或資料夾等),接著到檔案伺服器開啟事件檢視器,點選Event Viewer(Local)>Windows Log>Security,為能快速找到檔案存取的稽核紀錄,可以透過Filter Current Log的功能,來篩選出Event ID為4656及4663的檔案存取事件。
下圖為Event ID為4656的稽核紀錄,您可以看到是哪個帳號(Account Name)從哪台電腦進行存取(Account Domain)對哪個檔案(Object Name)做了什麼動作(Access)。
下圖為Event ID為4663的稽核紀錄,您可看出User1刪除了檔案名稱為"111 - 複製.txt"的檔案。
【致謝】
感謝好朋友James提供的資訊,才能讓筆者順利完成本文。
【參考資料】
-利用Windows Server 2012架設檔案伺服器並進行檔案存取稽核(上集)
- Setting Disk Space Quotas on Windows Server 2012 – YouTube
- How to create a quota template in Windows Server 2012
- How to share a folder in Windows Server 2012
- 12 Steps to NTFS Shared Folders in Windows Server 2012
- Scenario: File Access Auditing
- Securing and Auditing High Risk Files on Windows Servers
- Setup Shared Folder in Windows Server 2012
- Windows Server 2012, File Servers and SMB 3.0 – Simpler and Easier by Design
- How to set up a file audit on Windows server
- What's New in FSRM in Windows Server 2012
- Folder Redirection, Offline Files, and Roaming User Profiles overview
- Server Message Block overview