測試環境:區域網路(Active Directory 環境)內的 File Server 主機 (Windows 2003 Server)
應用方法:設定或修改資料夾(或文件)的稽核策略。
設定方法如下:
- 在 File Server 上,打開 [Windows 檔案總管]。
- 點選到你想要設定的資料夾(或文件),按滑鼠右鍵,點選「內容」,然後點選「安全性」選項,點選「進階」。
- 打開畫面之後,再點選「稽核」選項。
- 若要增加 User 或 Group 的稽核,請單擊「新增」。在「請輸入物件名稱來選取」中,鍵入想要的 User 或 Group 的名稱。如下圖:
- 點選「確定」之後,會出現如下視窗。請在「套用在(O):」框中選擇希望稽核的方式。並在「存取(S):」框中,將你需要的稽核操作選項打勾。
- 如果不希望後續新增的子資料夾和文件繼承這些稽核項目,請將「這些稽核項目只套用到這個容器中的物件(或)容器(T)」打勾。簡而言之,打勾=不繼承權限設定。
注意:在設定資料夾和文件的稽核之前,必須通過為 對象訪問事件類別 定義稽核策略設置,來啟用 對象訪問審核。如果不啟用 對象訪問審核,在設置文件和資料夾的稽核時,將收到錯誤消息且不會稽核任何文件或資料夾。(此段文字頗為繞口,懶的翻譯)
後記:
此篇文章,僅是介紹在 Microsoft 上的應用,適合給 MIS 看的,但是在實際的管理面應用上,仍有不方便的地方。例如:某主管想知道自己部門的資料夾,某文件被誰刪除了?某個資料夾是誰建立的?站在MIS立場,有可能開放給該主管自己看嗎?請從資安的角度考慮看看吧!不是每個高階主管 (User 的一種),都有這方面的 sense,而且都能幫 MIS 考慮。
而且,這些日誌的管理,將會是額外增加的負擔,在 Fileserver 上 Log 檔案將會膨脹很快,使用的硬碟空間(花錢?) + 定時清理刪除(Script + Schdule ?),也將影響能夠稽核查詢的時間區段。用或不用,見仁見智吧!
會來整理這篇文章,無非就是:壞年冬、搞笑郎(台語)。總會有些主管,為了在景氣差的時候,表現一下自己,專找其他部門的麻煩。自以為很有建設性的建議,卻不管會不會造成其他部門工作上的負擔。~"~
參考文件:
備註:原文為簡體字,一些用語和台灣環境有許多的不同,閱讀起來頗為吃力,而且只有文字敘述,雖然夠簡潔,但是有點繞口,乍看之下總是有點頭大,所以,自己一邊測試、一邊翻譯成為自己熟悉的用語並添加一些畫面,爾後比較容易按圖操作。
沒有留言:
張貼留言