Примерно месяц назад мы столкнулись с атакой Cryptolocker, и у нас не был настроен аудит файлов, поэтому не было возможности определить, какой пользователь ее отправил.
Я зашел в Инструменты администратора > Локальная политика безопасности > Локальная политика > Политика аудита > и включил «Успех и неудача при доступе к объекту».
Затем я перешел к настройкам аудита корневой папки общих дисков и выбрал мониторинг «Пользователей домена» для атрибутов записи, удаления и удаления подпапок и файлов.
Но журнал событий просто переполнен событиями «Подробный общий доступ к файлам» 5145: «Объект сетевого общего доступа был проверен на предмет возможности предоставления клиенту требуемого доступа».
Мне действительно не нужно видеть эти события, и я просто хочу отслеживать, был ли изменен файл, на случай, если нас снова ударит криптолокер. Нужно ли мне что-то еще сделать, чтобы получать только такие события?
Есть ли инструмент, который справляется с этой задачей лучше, чем журнал событий Windows?
решение1
При использовании устаревших настроек аудита, расположенных по адресу:
Параметры Windows > Параметры безопасности > Локальные политики > Политика аудита > Доступ к объектам — это очень грубая настройка, которая может создавать много шума в зависимости от объектов, для которых может быть включен аудит.
Если вы установите устаревший аудит на «Не настроен» и включите расширенный аудит, расположенный по адресу:
Параметры Windows > Параметры безопасности > Локальные политики > Конфигурация расширенной политики аудита > Доступ к объектам
Вы можете включить только те подкатегории, которые вам нужны, в данном случае «Файловая система».
Затем в файловой системе включите только те типы аудита, которые вам нужны для папок верхнего уровня:
