可通过使用“Windows Properties(Windows 属性)”窗口中的 Windows Security(Windows 安全)选项卡配置 NTFS 审核策略这与为 Windows 客户端中驻留数据配置审核策略所用方法相同,使客户能够使用已熟悉的 GUI 界面。
必须在包含要为其应用系统访问控制列表(SACL)的数据的
存储虚拟机(SVM)上配置审核。
配置 NTFS 审核策略的方法是向 NTFS SACL 添加与 NTFS 安全描述符关联的条目。然后将安全描述符应用于 NTFS 文件和目录。这些任务由 Windows GUI 自动处理。安全描述符中可以包含用于应用文件和文件夹访问权限的酌情访问控制列表(DACL)和/或用于审核文件和文件夹的 SACL。
要使“Windows Security(Windows 安全)”选项卡设置 NTFS 审核策略,请在 Windows 主机上完成以下步骤:
- 从 Windows 资源管理器的 Tools(工具)菜单中,选择 Map network drive(映射网络驱动器)。
- 填写“Map Network Drive(映射网络驱动器)”框:
- 选择 Drive(驱动器)字母。
- 在“Folder(文件夹)”框中,键入包含共享(用于存储要审核的数据)的 CIFS 服务器名称和该共享的名称。
可指定 CIFS 服务器数据接口的 IP 地址,而不必指定 CIFS 服务器名称。
如果 CIFS 服务器的名称为 CIFS_SERVER
,您的共享名为 share1
,您应输入 \\CIFS_SERVER\share1。
- 单击 Finish(完成)。
您所选的驱动器已装载且就绪,Windows 资源管理器窗口显示该共享中包含的文件和文件夹。
- 选择要为其启用审核访问权限的文件或目录。
- 右键单击该文件或目录,然后选择 Properties(属性)。
- 选择 Security(安全)选项卡。
- 单击 Advanced(高级)。
- 选择 Auditing(审核)选项卡。
- 执行所需的操作:
| 如果要... | 请执行以下操作 |
|---|
| 为新用户或组设置审核 | - 单击 Add(添加)。
- 在“Enter the object name to select(输入对象名称来选择)”框中,输入要添加的用户名或组名。
- 单击 OK(确定)。
|
| 删除用户或组的审核 | - 在“Enter the object name to select(输入对象名称来选择)”框中,选择要删除的用户或组。
- 单击 Remove(删除)。
- 单击 OK(确定)。
- 跳过此过程的其余步骤。
|
| 更改用户或组的审核 | - 在“Enter the object name to select(输入对象名称来选择)”框中,选择要更改的用户或组。
- 单击 Edit(编辑)。
- 单击 OK(确定)。
|
如果要为用户或组设置审核或要更改现有用户或组的审核,将打开“Auditing Entry for <object>(<对象> 的审核条目)”框。
- 在“Apply to(应用于)”框中,选择此审核条目的应用方法。
可选择以下选项之一:
- This folder, subfolders and files(此文件夹、子文件夹和文件)
- This folder and subfolders(此文件夹和子文件夹)
- This folder only(仅此文件夹)
- This folder and files(此文件夹和文件)
- Subfolders and files only(仅子文件夹和文件)
- Subfolders only(仅子文件夹)
- Files only(仅文件)
如果要为一个文件设置审核,则“Apply to(应用于)”处于不活动状态。“Apply to(应用于)”框设置默认为 This object only(仅此文件)。
由于审核采用 SVM 资源,所以仅选择为审核事件提供可满足安全要求的最低级别。
- 在“Access(访问)”中,选择要审核的对象以及是否要审核成功事件和/或失败事件。
- 要审核成功事件,请选中“Success(成功)”框。
- 要审核失败事件,请选中“Failure(失败)”框。
仅指定要满足安全要求需要监控的操作。有关这些可审核事件的更多信息,请参阅您的 Windows 文档。可审核以下事件:
- Full control(完全控制)
- Traverse folder / execute file(遍历文件夹/执行文件)
- List folder / read data(列出文件夹/读取数据)
- Read attributes(读取属性)
- Read extended attributes(读取扩展属性)
- Create files / write data(创建文件/写入数据)
- Create folders / append data(创建文件夹/附加数据)
- Write attributes(写入属性)
- Write extended attributes(写入扩展属性)
- Delete subfolders and files(删除子文件夹和文件)
- Delete(删除)
- Read permissions(读权限)
- Change permissions(更改权限)
- Take ownership(获得所有权)
- 如果不希望审核设置传播到原始容器的后续文件和文件夹,请选中“Apply these auditing entries to objects and/or containers within this container only(仅将这些审核条目应用于此容器内的对象和/或容器)”框。
- 单击 Apply(应用)。
- 添加、删除或编辑审核条目完毕后,单击 OK(确定)。
“Auditing Entry for <object>(<对象> 的审核条目)”框将关闭。
- 在“Auditing(审核)”框中,选择该文件夹的继承设置。
仅选择为审核事件提供可满足安全要求的最低级别。可选择以下选项之一:
- 选中“Include inheritable auditing entries from this object's parent(包括可从此对象的父代继承的审核条目)”框。
- 选中“Replace all existing inheritable auditing entries on all descendants with inheritable auditing entries from this object(将所有子代的所有现有可继承审核条目替换为可从此对象继承的审核条目)”框。
- 同时选中这两个框。
- 两个框都不选中。
如果要为单个文件设置 SACL,则“Auditing(审核)”框中不显示“Replace all existing inheritable auditing entries on all descendants with inheritable auditing entries from this object(将所有子代的所有现有可继承审核条目替换为可从此对象继承的审核条目)”框。
- 单击 OK(确定)。
“Auditing(审核)”框将关闭。