■ 威海職業(yè)學院 趙永華

編者按：文件服務(wù)器的權(quán)限管理至關(guān)重要，對文件服務(wù)器權(quán)限更改建立審核制可有效解決對文件服務(wù)器的訪問權(quán)限帶來的安全問題。

盡管對文件服務(wù)器權(quán)限更改進行審核并不能替代有效的技術(shù)控制，但審核對于管理員及時掌握系統(tǒng)運營環(huán)境中的安全狀況和維護服務(wù)至關(guān)重要。

為監(jiān)視文件服務(wù)器上的權(quán)限更改，需要在Windows將文件系統(tǒng)事件寫入日志之前，在策略中啟用審核并在要審核的文件/文件夾上配置系統(tǒng)訪問控制列表。

為此，我們可以通過本地策略配置審核策略，但如果文件服務(wù)器是活動目錄域的成員，則可使用組策略完成。

配置組策略

在啟用某個策略時，以前需要啟用對象訪問，此時我們還需要記錄文件系統(tǒng)訪問權(quán)限。在Windows Server 2008 R2及更高版本可以在“高級審核策略”中啟用文件系統(tǒng)對象訪問，該策略僅記錄與文件系統(tǒng)相關(guān)的對象訪問事件。Windows Server中的高級審核使管理員能夠更精細地控制收集的事件。

具體操作方式為：在“計算機配置→Windows設(shè)置→安全設(shè)置→高級審核策略配置→系統(tǒng)審核策略→對象訪問”下，啟用審核文件系統(tǒng)事件的生效和無效選項。

配置SACL

在組策略配置完成后，我們再來配置系統(tǒng)訪問控制列表SACLs。例如想要監(jiān)視文件服務(wù)器上的某個文件夾(c:accounts)，那么可以直接添加到SACL。具體操作過程如下：

1.右擊將要添加到 SACL的文件夾，選擇“屬性”后切換到“安全”欄目，點擊“高級”選項后切換至“審核”。

2.點擊“添加”后點擊“選擇條例”，在“輸入對象名”框中輸入“everyone”即可，當然這里可以輸入特定的用戶賬戶或組，但是出于安全考慮，我們選擇所有用戶。

3.從下拉菜單選擇“此文件夾及其子文件夾和文件”，點擊“顯示高級權(quán)限”，確認“更改權(quán)限”被勾選。

這里我們關(guān)注的是權(quán)限變更而非具體權(quán)限，其實這里可以進一步指明具體的操作，譬如可以指定為“List folder/Read data”即表示發(fā)生讀文件事件的操作。

以上對SACL設(shè)置操作，系統(tǒng)內(nèi)若有多臺文件服務(wù)器則需一一進行，顯然較為繁瑣。此時我們通過全局對象訪問審核，允許管理員為每臺計算機而不是文件系統(tǒng)級別設(shè)置文件和注冊表SACL配置，這樣可以更輕松地跟蹤網(wǎng)絡(luò)上服務(wù)器的設(shè)置。

這樣，我們就對文件服務(wù)器權(quán)限更改建立了審核制。此后，只要有人對文件夾(例如c:accounts，包括其子文件夾)進行權(quán)限修改，在Windows Security安全日志中就會記錄，且非常詳細。