Кто удалил файл на файловом сервере

Кто удалил файл на файловом сервере

Сообщения: 25
Благодарности: 1

Как узнать кто удалил файлы с сервера DFS Win 2003, где настроить и смотреть ?

Сообщения: 4904
Благодарности: 496

Настраивайте политики аудита в Групповой политике (либо локально на сервере) и включайте аудит нужных событий на папку ( в свойствах папки)

——-
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Сообщения: 25
Благодарности: 1

Цитата monkkey:

включайте аудит нужных событий на папку ( в свойствах папки) »

Этот момент чего-то не очень понял.

Сообщения: 4904
Благодарности: 496

Security — Advanced — Auditing

——-
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Это сообщение посчитали полезным следующие участники:

Сообщения: 25
Благодарности: 1

Чтобы применить или изменить параметры политики аудита для локального файла или папки
Откройте проводник Windows.
Щелкните правой кнопкой мыши файл или папку, для которых требуется провести аудит, выберите команду Свойства и откройте вкладку Безопасность.
Нажмите кнопку Дополнительно и перейдите на вкладку Аудит.
Выполните одно из следующих действий.
Для добавления нового пользователя или группы нажмите кнопку Добавить. В поле Введите имена выбираемых объектов введите имя пользователя или группы и нажмите кнопку OK.
Чтобы отменить аудит для имеющейся группы или пользователя, выберите соответствующее имя, нажмите кнопку Удалить, кнопку OK, затем пропустите оставшуюся часть процедуры.
Чтобы просмотреть или изменить параметры аудита для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Изменить.
В поле Применять выберите место, в котором следует провести аудит.
В поле Доступ укажите, для каких действий необходимо провести аудит, установив соответствующие флажки.
Чтобы производить аудит успешных событий, установите флажок Успех.
Чтобы прекратить аудит успешных событий, снимите флажок Успех.
Чтобы производить аудит неуспешных событий, установите флажок Отказ.
Чтобы прекратить аудит неуспешных событий, снимите флажок Отказ.
Или, чтобы прекратить аудит всех событий, нажмите кнопку Очистить все.
Если требуется предотвратить наследование этих элементов аудита последующими файлами и подпапками исходного объекта, установите флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера.
Важно!

Перед настройкой аудита файлов и папок необходимо разрешить аудит доступа к объекту, установив параметры политики аудита для категории событий доступа к объектам. Если аудит доступа к объекту не будет разрешен, при настройке аудита файлов и папок будет выдано сообщение об ошибке, а аудит файлов и папок проводиться не будет. Для получения дополнительных сведений о разрешении аудита доступа к объекту см. ссылку «См. также», раздел «Определение и изменение параметров политики аудита для категории события»
Примечания

Для выполнения этой процедуры необходимо войти в систему в качестве члена группы администраторов либо иметь право Управление аудитом и журналом безопасности в оснастке Групповая политика.
Чтобы открыть проводник, нажмите кнопку Пуск и выберите команды Программы, Стандартные и Проводник.
Для получения сведений об аудите раздела локального реестра см. ссылку «См. также», раздел «Аудит работы с разделом реестра».
После включения аудита доступа к объектам просмотрите результаты изменений в журнале безопасности в программе «Просмотр событий».
Настройка аудита доступа к файлам и папкам возможна только на дисках NTFS.
Если:
в диалоговом окне Элемент аудита для файла или папки в поле Доступ флажки недоступны;
в диалоговом окне Дополнительные параметры безопасности для файла или папки кнопка Удалить недоступна,
значит параметры аудита унаследованы от родительской папки.
Так как размер журнала безопасности ограничен, файлы и папки для проведения аудита следует выбирать аккуратно. Также следует решить, какой объем дискового пространства следует отвести под хранение журнала безопасности. Максимальный размер журнала безопасности задается в окне просмотра событий.
См. также

Аудит доступа к файлам и папкам Windows на примере Windows server 2012R2

Иногда бывает необходимо понять кто удалил/изменил/переименовал конкретный файл или папку. В ОС Windows для этого используется аудит доступа к объектам.

Аудит — это запись в специальные журналы информации об определенных событиях (источник, код события, успешность, объект и т.д. ). Объектом аудита может являться как любой файл или папка, так и определенное событие, например вход в систему или выход из нее, то есть можно записывать все события происходящие с конкретным файлом или папкой — чтение, запись, удаление и т.д., можно события входа в систему и т.д.

Необходимо понимать, что аудит забирает на себя.

Для того, чтобы можно было настраивать аудит файлов и папок необходимо предварительно включить эту возможность через локальные (или в случае если у Вас используется Microsoft AD групповые) политики безопасности.

В случае локальных политик необходимо запустить оснастку “Локальная политика безопасности”, для этого необходимо нажать комбинацию клавиш Win+R, в открывшееся поле ввести secpol.msc и нажать клавишу Enter.

В открывшейся оснастке в дереве слева необходимо перейти в раздел “Локальные политики” — “Политика аудита”.

Далее необходимо выбрать необходимую нам политику — в данном случае это “Аудит доступа к объектам”. Именно этой политикой регулируется доступ к объектам файловой системы (файлам и папкам) и раскрыть ее двойным щелчком мыши. В открывшемся окне необходимо выбрать какие именно типы событий будут регистрироваться — “Успех” (разрешение на операцию получено) и/или “Отказ” — запрет операции и проставить соответствующие галочки, после чего нажать “Ок”.

Теперь когда включена возможность ведения аудита интересующих нас событий и их тип можно переходить к настройке самих объектов — в нашем случае файлов и папок.

Для этого необходимо открыть свойства файла или папки, перейти на вкладку “Безопасность”, нажать “Дополнительно” и “Аудит”.

Нажимаем “Добавить” и начинаем настраивать аудит.

Сначала выбираем субъект — это чьи действия будут аудироваться (записываться в журнал аудита).

Можно вписать туда имя пользователя или группы, если имя заранее неизвестно, то можно воспользоваться кнопкой “Дополнительно” которая открывает форму поиска где можно выбрать интересующих нас пользователей и группы. Чтобы контролировались действия всех пользователей необходимо выбрать группу “Все”.

Далее необходимо настроить тип аудируемых событий (Успех, Отказ, Все), также область область применения для аудита папок — только эта папка, папка с подпапками, только подпапки. только файлы и т.д., а также сами события аудита.

Для папок поля такие:

А такие для файлов:

После этого начнется сбор данных аудита. Все события аудита пишутся в журнал “Безопасность”. Открыть его проще всего через оснастку “Управление компьютером” compmgmt.msc.

В дереве слева выбрать “Просмотр событий” — “Журналы Windows” — “Безопасность”.

Каждое событие ОС Windows имеет свой код события. Список событий достаточно обширен и доступен на сайте Microsoft либо в интернете.

Попробуем например найти событие удаления файла, для этого удалим файл на котором предварительно настроен аудит (если это не тестовые файл, то не забываем сделать его копию, так как аудит это всего лишь информация о действиях, а не разрешение/запрет этих действий). Нам нужно событие с кодом 4663 — получение доступа к объекту, у которого в поле Операции доступа Написано “DELETE” . Поиск событий в журналах Windows достаточно сложен, поэтому обычно используются специализированные средства анализа — системы мониторинга, скрипты и т.д.

Вручную можно, например, задать например такой фильтр:

Далее в отфильтрованных событиях необходимо найти интересующее нас по имени объекта.

Открыть его двойным щелчком мыши и увидеть кто удалил данный файл в поле субъект.

На этом демонстрация аудита доступа к файлам и папкам Windows на примере Windows server 2012R2 окончена. В нашей базе знаний вы найдёте ещё множество статей посвящённых различным аспектам работы в Windows, а если вы ищете надежный виртуальный сервер под управлением Windows, обратите внимания на нашу услугу — Аренда виртуального сервера Windows.

Аудит удаления сетевых папок Windows.

В локальной сети организации, в общей сетевой папке для обмена документами кто-то периодически удалял папки. Пользователей более 200. Чтоб отследить источник проблемы был применен аудит сетевой папки. Как это сделать написано далее.

Все действия выполняются на файловом сервере с Windows Server 2012 в доменной сети. Файловый сервер не является контроллером домена.

Аудит настроен через графический интерфейс. Альтернативный вариант аудита – через скрипт.

Активация политики аудита.

Для активации аудита воспользуемся локальной групповой политикой на сервере.

Нажимаем сочетание клавиш Win+R

В открывшейся строке «Выполнить» вводим команду:

gpedit . msc

В открывшемся редакторе локальной групповой политики переходим в свойства «Аудит файловой системы» по пути:

Конфигурация компьютера >> Конфигурация Windows >> Параметры безопасности >> Конфигурация расширенной политики аудита >> Политика аудита системы – Объект локальной групповой политики >> Доступ к объектам >> Аудит файловой системы (свойства).

Активируем галочкой «Настроить следующие события аудита:»

Нажимаем кнопку «ОК» для сохранения изменений.

Обновляем настройки локальной групповой политики для этого в строке «Выполнить» или в CMD вводим команду:

gpupdate / force

Настройка аудита сетевой папки.

Выбираем нужную папку.

У папки открыт общий доступ для всех на чтение/запись.

Переходим в свойствах папки на вкладку «Безопасность». Нажимаем кнопку «Дополнительно».

В открывшихся доп. параметрах переходим на вкладку «Аудит». Нажимаем кнопку «Продолжить».

Добавляем новый элемент для аудита.

Нажимаем на строчку «Выберите субъект».

Можно указать каких-то конкретных пользователей или всех сразу, написав Все.

В доменной сети можно создать группы в AD и назначать аудит по группам.

Применяется к: Для этой папки, её подпапок и файлов.

Нажимаем строчку «Отображение дополнительных разрешений».

Удаление подпапок и файлов.

Нажимаем ОК для сохранения настроек.

Аудит можно настроить не только на удаление, но на любые действия, список которых предоставляет система.

Закрываем свойства папки и переходим в журнал событий.

Просмотр журнала событий аудита.

Нажимаем сочетание клавиш Win+R.

Как восстановить удаленный файл с сервера

Эта статья для обычных пользователей, поэтому я не буду описывать, как можно включить теневое копирование на сервере. А вот про то, как самостоятельно восстановить очень-очень важный отчет, над которым вы вчера потратили часа два, не меньше, и который был нечаянно удален, напишу.

Всем известно, что на сервере нет корзины, которая есть на обычных компьютерах. И часто, что-то удалив, нам приходится обращаться за помощью к специалистам. Многие не знают, что можно обойтись без посторонней помощи. А как это сделать читайте ниже.

Самое главное — нужно знать, где лежал наш очень-очень важный отчет. Находим папку, кликаем на ней правой кнопкой мыши. В всплывающем меню находим Свойства.
см. картинку 1.

Нам откроется следующее диалоговое меню, где нам надо выбрать вкладку Предыдущие версии.
см. картинку 2.

У нас на сервере настроено теневое копирование с интервалом в один час и глубиной до 9 дней. Настройка интервала и глубины хранения для каждого сервера могут отличаться, все зависит от свободного объема жестких дисков.
Нам нужно найти интересующую нас дату и кликнуть на ней.
После этого возможные действия станут активными.
см. картинку 3.

Открыть — откроет копию папки, где можно найти интересующий нас файл. Вы можете скопировать его в любую папку на компьютере. Это действие нужно выбирать, если у вас изменился или вы удалили один файл из множества других.
Копировать — создаст копию папки со всем содержимым.
Восстановить — восстановит все папки и файлы на этот период. Этот вариант подойдет бухгалтеру, если ему нужно «откатить» базу 1С на час или более назад.

Как видите, это очень просто!