Политики аудита можно применять к отдельным файлам или папкам в компьютере, устанавливая тип разрешения, чтобы удачные или неудачные попытки доступа записывались в журнал безопасности.
Локальный администратор - это минимальная принадлежность к группе, необходимая для выполнения данной процедуры. Посмотреть подробности можно в пункте «Дополнительные сведения» данного раздела.
|
Применение или изменение параметров политики аудита для локального файла или папки |
-
Откройте проводник Windows.
-
Щелкните правой кнопкой мыши файл или папку, для которых требуется проводить аудит, щелкните Свойства, а затем вкладку Безопасность.
-
Щелкните Изменить, а затем Дополнительно.
Примечание Если вы вошли в систему не как член группы администраторов данного компьютера, то нужно указать свои входные учетные данные администратора, чтобы продолжить.
-
В диалоговом окне Дополнительные параметры безопасности для <объект> откройте вкладку Аудит.
-
Выполните одно из следующих действий:
- Чтобы установить аудит для нового
пользователя или группы, щелкните Добавить. В Введите имя
выбираемого объекта введите имя нужного пользователя или
группы, а затем щелкните ОК.
- Чтобы отменить аудит для имеющейся группы или
пользователя, выберите имя группы или пользователя, нажмите кнопку
Удалить, кнопку ОК, затем пропустите оставшуюся часть
процедуры.
- Чтобы просмотреть или изменить параметры
аудита для имеющейся группы или пользователя, выберите
соответствующее имя и нажмите кнопку Изменить.
- Чтобы установить аудит для нового
пользователя или группы, щелкните Добавить. В Введите имя
выбираемого объекта введите имя нужного пользователя или
группы, а затем щелкните ОК.
-
В поле Применять выберите место, в котором следует проводить аудит.
-
В поле Доступ укажите, для каких действий необходимо проводить аудит, установив соответствующие флажки.
- Чтобы производить аудит успешных событий,
установите флажок Успех.
- Чтобы прекратить аудит успешных событий,
снимите флажок Успех.
- Чтобы производить аудит неудачных событий,
установите флажок Отказ.
- Чтобы прекратить аудит неудачных событий,
снимите флажок Отказ.
- Или, чтобы прекратить аудит всех событий,
нажмите кнопку Очистить все.
- Чтобы производить аудит успешных событий,
установите флажок Успех.
-
Если нужно, чтобы последующие файлы и подпапки исходного объекта не наследовали данные параметры аудита, установите флажок Применять эти записи аудита к объектам и контейнерам только внутри этого контейнера.
|
Важно! |
|
Перед настройкой аудита файлов и папок необходимо включить аудит доступа к объектам, установив параметры политики аудита для категории событий доступа к объектам. Если аудит доступа к объекту не будет включен, при настройке аудита файлов и папок будет выдано сообщение об ошибке, а аудит файлов и папок проводиться не будет. |
Дополнительные сведения
- Для выполнения этой процедуры необходимо
войти в систему в качестве члена группы администраторов либо иметь
право Управление аудитом и журналом безопасности в групповой
политике.
- Чтобы открыть проводник Windows, нажмите
кнопку Пуск, последовательно выберите Все программы,
Стандартные, а затем - Проводник.
- После включения аудита доступа к объектам
просмотрите результаты изменений в журнале безопасности в программе
«Просмотр событий».
- Настройка аудита файлов и папок возможна
только на дисках NTFS.
- Если отображается один из следующих
вариантов, значит параметры аудита унаследованы от родительской
папки.
- В диалоговом окне Аудит записей для
<файл или папка> в поле Доступ флажки
недоступны.
- В диалоговом окне Дополнительные параметры
безопасности для <файл или папка> кнопка Удалить
недоступна.
- В диалоговом окне Аудит записей для
<файл или папка> в поле Доступ флажки
недоступны.
- Так как размер журнала безопасности
ограничен, файлы и папки для проведения аудита следует выбирать
аккуратно. Также следует решить, какой объем дискового пространства
следует отвести под хранение журнала безопасности. Максимальный
размер журнала безопасности задается в программе «Просмотр
событий».
Дополнительные ссылки