Политики аудита можно применять к отдельным файлам или папкам в компьютере, устанавливая тип разрешения, чтобы удачные или неудачные попытки доступа записывались в журнал безопасности.

Локальный администратор - это минимальная принадлежность к группе, необходимая для выполнения данной процедуры. Посмотреть подробности можно в пункте «Дополнительные сведения» данного раздела.

Применение или изменение параметров политики аудита для локального файла или папки
  1. Откройте проводник Windows.

  2. Щелкните правой кнопкой мыши файл или папку, для которых требуется проводить аудит, щелкните Свойства, а затем вкладку Безопасность.

  3. Щелкните Изменить, а затем Дополнительно.

    Примечание

    Если вы вошли в систему не как член группы администраторов данного компьютера, то нужно указать свои входные учетные данные администратора, чтобы продолжить.

  4. В диалоговом окне Дополнительные параметры безопасности для <объект> откройте вкладку Аудит.

  5. Выполните одно из следующих действий:

    • Чтобы установить аудит для нового пользователя или группы, щелкните Добавить. В Введите имя выбираемого объекта введите имя нужного пользователя или группы, а затем щелкните ОК.

    • Чтобы отменить аудит для имеющейся группы или пользователя, выберите имя группы или пользователя, нажмите кнопку Удалить, кнопку ОК, затем пропустите оставшуюся часть процедуры.

    • Чтобы просмотреть или изменить параметры аудита для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Изменить.

  6. В поле Применять выберите место, в котором следует проводить аудит.

  7. В поле Доступ укажите, для каких действий необходимо проводить аудит, установив соответствующие флажки.

    • Чтобы производить аудит успешных событий, установите флажок Успех.

    • Чтобы прекратить аудит успешных событий, снимите флажок Успех.

    • Чтобы производить аудит неудачных событий, установите флажок Отказ.

    • Чтобы прекратить аудит неудачных событий, снимите флажок Отказ.

    • Или, чтобы прекратить аудит всех событий, нажмите кнопку Очистить все.

  8. Если нужно, чтобы последующие файлы и подпапки исходного объекта не наследовали данные параметры аудита, установите флажок Применять эти записи аудита к объектам и контейнерам только внутри этого контейнера.

Важно!

Перед настройкой аудита файлов и папок необходимо включить аудит доступа к объектам, установив параметры политики аудита для категории событий доступа к объектам. Если аудит доступа к объекту не будет включен, при настройке аудита файлов и папок будет выдано сообщение об ошибке, а аудит файлов и папок проводиться не будет.

Дополнительные сведения

  • Для выполнения этой процедуры необходимо войти в систему в качестве члена группы администраторов либо иметь право Управление аудитом и журналом безопасности в групповой политике.

  • Чтобы открыть проводник Windows, нажмите кнопку Пуск, последовательно выберите Все программы, Стандартные, а затем - Проводник.

  • После включения аудита доступа к объектам просмотрите результаты изменений в журнале безопасности в программе «Просмотр событий».

  • Настройка аудита файлов и папок возможна только на дисках NTFS.

  • Если отображается один из следующих вариантов, значит параметры аудита унаследованы от родительской папки.

    • В диалоговом окне Аудит записей для <файл или папка> в поле Доступ флажки недоступны.

    • В диалоговом окне Дополнительные параметры безопасности для <файл или папка> кнопка Удалить недоступна.

  • Так как размер журнала безопасности ограничен, файлы и папки для проведения аудита следует выбирать аккуратно. Также следует решить, какой объем дискового пространства следует отвести под хранение журнала безопасности. Максимальный размер журнала безопасности задается в программе «Просмотр событий».

Дополнительные ссылки


Содержание