Политики аудита можно применять к отдельным файлам или папкам в компьютере, устанавливая тип разрешения, чтобы удачные или неудачные попытки доступа записывались в журнал безопасности.
Локальный администратор - это минимальная принадлежность к группе, необходимая для выполнения данной процедуры. Посмотреть подробности можно в пункте «Дополнительные сведения» данного раздела.
 | Применение или изменение параметров политики аудита для локального файла или папки |
Откройте проводник Windows.
Щелкните правой кнопкой мыши файл или папку, для которых требуется проводить аудит, щелкните Свойства, а затем вкладку Безопасность.
Щелкните Изменить, а затем Дополнительно.
Примечание Если вы вошли в систему не как член группы администраторов данного компьютера, то нужно указать свои входные учетные данные администратора, чтобы продолжить.
В диалоговом окне Дополнительные параметры безопасности для <объект> откройте вкладку Аудит.
Выполните одно из следующих действий:
-
Чтобы установить аудит для нового пользователя или группы, щелкните Добавить. В Введите имя выбираемого объекта введите имя нужного пользователя или группы, а затем щелкните ОК.
-
Чтобы отменить аудит для имеющейся группы или пользователя, выберите имя группы или пользователя, нажмите кнопку Удалить, кнопку ОК, затем пропустите оставшуюся часть процедуры.
-
Чтобы просмотреть или изменить параметры аудита для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Изменить.
-
Чтобы установить аудит для нового пользователя или группы, щелкните Добавить. В Введите имя выбираемого объекта введите имя нужного пользователя или группы, а затем щелкните ОК.
В поле Применять выберите место, в котором следует проводить аудит.
В поле Доступ укажите, для каких действий необходимо проводить аудит, установив соответствующие флажки.
-
Чтобы производить аудит успешных событий, установите флажок Успех.
-
Чтобы прекратить аудит успешных событий, снимите флажок Успех.
-
Чтобы производить аудит неудачных событий, установите флажок Отказ.
-
Чтобы прекратить аудит неудачных событий, снимите флажок Отказ.
-
Или, чтобы прекратить аудит всех событий, нажмите кнопку Очистить все.
-
Чтобы производить аудит успешных событий, установите флажок Успех.
Если нужно, чтобы последующие файлы и подпапки исходного объекта не наследовали данные параметры аудита, установите флажок Применять эти записи аудита к объектам и контейнерам только внутри этого контейнера.
 | Важно! |
|
Перед настройкой аудита файлов и папок необходимо включить аудит доступа к объектам, установив параметры политики аудита для категории событий доступа к объектам. Если аудит доступа к объекту не будет включен, при настройке аудита файлов и папок будет выдано сообщение об ошибке, а аудит файлов и папок проводиться не будет. |
Дополнительные сведения
-
Для выполнения этой процедуры необходимо войти в систему в качестве члена группы администраторов либо иметь право Управление аудитом и журналом безопасности в групповой политике.
-
Чтобы открыть проводник Windows, нажмите кнопку Пуск, последовательно выберите Все программы, Стандартные, а затем - Проводник.
-
После включения аудита доступа к объектам просмотрите результаты изменений в журнале безопасности в программе «Просмотр событий».
-
Настройка аудита файлов и папок возможна только на дисках NTFS.
-
Если отображается один из следующих вариантов, значит параметры аудита унаследованы от родительской папки.
-
В диалоговом окне Аудит записей для <файл или папка> в поле Доступ флажки недоступны.
-
В диалоговом окне Дополнительные параметры безопасности для <файл или папка> кнопка Удалить недоступна.
-
В диалоговом окне Аудит записей для <файл или папка> в поле Доступ флажки недоступны.
-
Так как размер журнала безопасности ограничен, файлы и папки для проведения аудита следует выбирать аккуратно. Также следует решить, какой объем дискового пространства следует отвести под хранение журнала безопасности. Максимальный размер журнала безопасности задается в программе «Просмотр событий».
Дополнительные ссылки