Изменение атрибута файла аудита файлового ресурса Windows Server
Моя цель - определить, какой пользователь установил атрибут «Скрытый» для файла в локальном файловом ресурсе.
Я включил аудит доступа к общему файловому ресурсу согласно этому статья . Коротко: Добавлена запись групповой политики, чтобы разрешить запись определенных доступов в журнал событий + включен аудит на уровне папки для всех типов доступа.
В результате я получаю такие записи в журнале событий:
Subject:
Security ID: Domain\Username
Account Name: Username
Account Domain: Domain
Logon ID: 0x329558
Object:
Object Server: Security
Object Type: File
Object Name: E:\share\filename.xml
Handle ID: 0xfc4
Resource Attributes: S:AI
Process Information:
Process ID: 0x4
Process Name:
Access Request Information:
Accesses: WriteAttributes
Access Mask: 0x100
Какие именно атрибуты выполняли пользовательский набор? Это то, что указано в атрибутах ресурсов? Они не выглядят так, как будто имеют в виду «Скрытый», и я не получаю других записей в журнале событий типа WriteAttributes (я тщательно ищу через PowerShell). И какой-то процесс определенно устанавливает этот скрытый флаг.
Вопросы:
- Содержит ли эта запись журнала событий информацию об атрибутах, которые на самом деле устанавливало приложение?
- Как еще я могу отслеживать эту активность? Монитор процессов не зафиксировал ни одного события SetBasicinformationFile, но файл все равно стал Скрытым!
Этого можно добиться с помощью простого пакетного сценария, в котором повторно выполняется dir /b /a:h , а затем оценивается уровень ошибок. Переключатель /b необязателен, но отображает вывод каталога в минимальном формате.
При выполнении этой команды он возвращает ERRORLEVEL равный 1, когда не найдено ни одного скрытого файла, что вам и нужно. Если файл скрыт, то он вернет ERRORLEVEL 0, который вам не нужен, и тогда вы сможете что-нибудь вызвать.
Теперь это не скажет вам, кто спрятал файл, но если вы будете вызывать его достаточно часто (скажем, каждые 30 секунд), то у вас будет, по крайней мере, временной интервал, когда это случилось, и вы сможете коррелировать его с 4663 событиями, которые произошли примерно в это же время. Я предполагаю, что у вас уже есть аудит в этой папке?
Вы можете вызвать этот сценарий с помощью любого планировщика, хотя на самом деле это хороший сценарий для утилиты EventSentry Light, которая имеет встроенный планировщик, который может вызывать email-предупреждения, основанные на уровне ошибок любого запущенного сценария. Она даже включает в себя выходные данные сценария. Эта функция называется "планировщик приложений". Конечно, вы также можете написать свой собственный сценарий и запустить электронное письмо с помощью PowerShell, VBScript или что-то вроде blat.exe.
Аудиторская часть может быть самой хитрой, если аудит Windows не достаточно гранулирован, чтобы поймать кого-то , кто просто прячет файл. Но даже тогда аудит в родительской папке должен показать некоторую активность, например, список каталогов.
.Одитинг файлов/обмена не предоставляет полной информации о том, что было изменено. Атрибуты ресурсов предназначены для функции динамического контроля доступа, чтобы предоставить детальную информацию о критериях классификации ЦАП, вызвавших событие аудита.
ProcMon на сервере может работать, но вы должны быть внимательны при его настройке. Он должен быть настроен на Drop Filtered Events (Отображать отфильтрованные события), собирать только события файла, сохранять в резервный файл (не виртуальную память), а также конкретную операцию (SetBasicInformationFile), и, возможно, путь. Затем вы экспортируете конфигурацию в PMC файл и используете ее при запуске. Также хорошо указать /Runtime в секундах, затем переместить/переименовать файл по окончании и перезапустить его, так как ProcMon время от времени исчезает и может отрицательно повлиять на систему.
.