server文件的管理

資訊安全

japues 2009-02-13 08:59:06 ‧ 11910 瀏覽

分享至

最近常發現server上共用資料匣被刪除，有沒有辦法可以查是誰刪的，有沒有什麼軟體可以管控和記錄每一筆server上檔案的編輯，因人在人陸，系統是win2003server簡體版的

看更多先前的討論...收起先前的討論...

tom6507 iT邦大師 1 級 ‧ 2009-02-13 10:43:38 檢舉

fishk iT邦大師 1 級 ‧ 2009-02-13 11:28:27 檢舉

要選擇稽核物件存取

稽核物件存取設定會決定是否要稽核有指定 SACL 之使用者存取物件 (例如，檔案、資料夾、登錄機碼、印表機等等) 的事件。若您定義此原則設定，則可指定是否要稽核成功、稽核失敗，或完全不稽核事件類型。當使用者存取一個有定義 SACL 的物件成功時，成功稽核會產生一個稽核項目。當使用者存取有指定 SACL 的物件失敗時，失敗稽核會產生一個稽核項目；在系統正常運作期間，發生一些失敗事件是可預期的。例如，許多應用程式 (如 Microsoft Word) 總是會嘗試以具有讀寫權限的方式開啟檔案；如果應用程式無法這樣做，它們便會試著以唯讀方式開啟檔案。發生這種情形時，如果已啟用失敗稽核及該檔案上適當的 SACL，那麼失敗事件將會被記錄下來。

在啟用物件存取稽核及設定物件的 SACL 時，企業系統的安全性記錄檔中會產生大量的項目；因此真的需要使用所記錄的資訊時，才應該啟用這些設定。

tom6507 iT邦大師 1 級 ‧ 2009-02-13 12:36:27 檢舉

偷偷改圖 :P

fishk iT邦大師 1 級 ‧ 2009-02-13 13:22:21 檢舉

very good!!

japues iT邦高手 2 級 ‧ 2009-02-14 08:40:05 檢舉

了解，但他記錄為成功時會有內容顯示功成的內容是什麼嗎，目前看到的都是登入成功，沒有看到是新增刪除還是修改，且看來如果開啟還要擔心記錄檔過多要定時清理

fishk iT邦大師 1 級 ‧ 2009-02-18 12:13:32 檢舉

針對需要監控的目錄再設定監控的項目就好了, 否則真的會產生很多log.

fishk iT邦大師 1 級 ‧ 2009-02-23 10:23:28 檢舉

這一題的最佳解答也要算 tom6507大 一份才對, IT邦大神可幫忙嗎 ^_^

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

fishk

iT邦大師 1 級 ‧ 2009-02-13 09:59:21

最佳解答

在File Server要監控的檔案或目錄，啟用Audit Log，把你要監控的動作打開, 就可以LOG下來了。
log可以從Event Viewer的Security Log中查到。

回應 15
分享
檢舉

看更多先前的回應...收起先前的回應...

japues iT邦高手 2 級 ‧ 2009-02-13 10:03:11 檢舉

@@有沒有中文說明ㄚ，我我查看log但只有何時那台pc登入server但無法查詢到他進入那個資料匣和作了什麼事

fishk iT邦大師 1 級 ‧ 2009-02-13 10:12:54 檢舉

要查之前Object access的audit policy要先啟動，在下列位置
Under Group Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy
然後在要監控的檔案或目錄，針對你希望的audit的功能，啟用Audit Log，如Delete...等

先前在還沒有設定前，在Security Log中是無法查到的。
所以你只能先設定後，再看看以後可不可以追查到。

詳細說明可參考
http://windows.stanford.edu/docs/security2000.html#audit