Аудит доступа к файлам и папкам

Если требуется выявить слабые места в защите корпоративной сети, можно установить аудит файлов и папок, расположенных на разделах NTFS. Для аудита доступа пользователей к файлам и папкам прежде всего следует настроить политику аудита на регистрацию доступа к объектам, в том числе файлов и папок. При настройке политики аудита на регистрацию доступа к объектам включается аудит конкретных файлов и папок. При этом также указывается, какие виды доступа, пользователи и группы подлежат аудиту.
В таблице 4.2 перечислены действия пользователей, вызывающие соответствующие события, что поможет определить, в каких случаях следует включать аудит этих событий.

События для файлов и папок, вызываемые действиями пользователей.

Таблица 4.2

Событие	Действие пользователя, вызвавшее событие
Переход в папку/Выполнение файла (Traverse Folder/Execute File)	Запуск программы или получение доступа к папке при смене текущей папки
Получение списка файлов/Чтение данных (List Folder/Read Data)	Просмотр содержимого файла или папки
Чтение атрибутов (Read Attributes)	Просмотр атрибутов файла или папки
Чтение расширенных атрибутов (Read Extended Attributes)	Просмотр атрибутов файла или папки
Создание файлов/Запись данных (Create Files/Write Data)	Изменение содержимого файла или создание новых файлов в папке
Создание папок/Добавление данных (Create Folders/Append Data)	Создание папок внутри папок
Запись атрибутов (Write Attributes)	Изменение атрибутов файла или папки
Запись расширенных атрибутов (Write Extended Attributes)	Изменение атрибутов файла или папки
Удаление вложенных папок и файлов (Delete Subfolders And Files)	Удаление файла или папки внутри папки
Удаление (Delete)	Удаление файла или папки
Чтение разрешений (Read Permissions)	Просмотр прав владельца файла на файл или папку
Смена разрешений (Change Permissions)	Изменение прав доступа к файлу или папке
Смена владельца (Take Ownership)	Изменить право владельца на файл или папку