■ 威海職業學院 趙永華
編者按:文件服務器的權限管理至關重要,對文件服務器權限更改建立審核制可有效解決對文件服務器的訪問權限帶來的安全問題。
盡管對文件服務器權限更改進行審核并不能替代有效的技術控制,但審核對于管理員及時掌握系統運營環境中的安全狀況和維護服務至關重要。
為監視文件服務器上的權限更改,需要在Windows將文件系統事件寫入日志之前,在策略中啟用審核并在要審核的文件/文件夾上配置系統訪問控制列表。
為此,我們可以通過本地策略配置審核策略,但如果文件服務器是活動目錄域的成員,則可使用組策略完成。
在啟用某個策略時,以前需要啟用對象訪問,此時我們還需要記錄文件系統訪問權限。在Windows Server 2008 R2及更高版本可以在“高級審核策略”中啟用文件系統對象訪問,該策略僅記錄與文件系統相關的對象訪問事件。Windows Server中的高級審核使管理員能夠更精細地控制收集的事件。
具體操作方式為:在“計算機配置→Windows設置→安全設置→高級審核策略配置→系統審核策略→對象訪問”下,啟用審核文件系統事件的生效和無效選項。
在組策略配置完成后,我們再來配置系統訪問控制列表SACLs。例如想要監視文件服務器上的某個文件夾(c:accounts),那么可以直接添加到SACL。具體操作過程如下:
1.右擊將要添加到 SACL的文件夾,選擇“屬性”后切換到“安全”欄目,點擊“高級”選項后切換至“審核”。
2.點擊“添加”后點擊“選擇條例”,在“輸入對象名”框中輸入“everyone”即可,當然這里可以輸入特定的用戶賬戶或組,但是出于安全考慮,我們選擇所有用戶。
3.從下拉菜單選擇“此文件夾及其子文件夾和文件”,點擊“顯示高級權限”,確認“更改權限”被勾選。
這里我們關注的是權限變更而非具體權限,其實這里可以進一步指明具體的操作,譬如可以指定為“List folder/Read data”即表示發生讀文件事件的操作。
以上對SACL設置操作,系統內若有多臺文件服務器則需一一進行,顯然較為繁瑣。此時我們通過全局對象訪問審核,允許管理員為每臺計算機而不是文件系統級別設置文件和注冊表SACL配置,這樣可以更輕松地跟蹤網絡上服務器的設置。
這樣,我們就對文件服務器權限更改建立了審核制。此后,只要有人對文件夾(例如c:accounts,包括其子文件夾)進行權限修改,在Windows Security安全日志中就會記錄,且非常詳細。