文件夾審計

① 如何查看 區域網內，誰在訪問我的共享文件夾

方法一：通過操作系統自帶的功能

第一步：依次打開控制面板、管理工具、計算機管理(本地)、系統工具，然後選擇共享文件夾。在這個窗口中，有一個「會話」選項。雙擊打開這個選項，在右面的窗口中，就會顯示出哪些電腦在訪問你的計算機。但是，在這個窗口中，還只能夠看到有哪些電腦連接到你的電腦，還不知道到底他們在訪問哪些共享文件。

第二步：依次選擇「系統工具」、共享文件夾、打開文件，此時，在窗口中就會顯示本機上的一些共享資源，被哪些電腦在訪問。同時，在這個窗口中還會顯示一些有用的信息，如其打開了哪一個共享文件;是什麼時候開始訪問的;已經閑置了多少時間。也就是所，只要其打開了某個共享文件夾，即使其沒有打開共享文件，也會在這里顯示。

另外，有時候出於某些原因，可能需要禁止某些用戶訪問這個文件。此時，我們就可以直接右鍵點擊這個會話，然後從快捷菜單中選擇關閉會話，我們就可以阻止這個用戶訪問這個共享文件，而不會影響其他用戶的正常訪問。

這個功能，有時候非常有用。我們都知道，XP系統訪問連接有一個最高數的限制。有時候員工會反映不能訪問共享文件。這有可能是連接數到了上限。此時，就可以通過這種方式查詢現在有多少用戶連接在我的電腦上，然後就可以把一些不需要訪問的用戶斷開，讓需要訪問的用戶連接上去。

方法二：通過大勢至共享文件審計系統

大勢至共享文件審計系統是大勢至(北京)軟體工程有限公司(官網：www.grabsun.com )
推出的一款專門監控伺服器共享文件、記錄區域網用戶對共享文件的各種操作的專業安全防護軟體。通過此系統可以詳細審計區域網電腦訪問伺服器共享文件的行為，包括新建、拷貝、修改、刪除、剪切、重命名等操作，從而便於對員工訪問共享文件的行為進行全程的記錄和查證，便於網管員進行事後審計和調查取證。同時，通過對共享文件進行保護設置，還可以防止區域網用戶有意或不小心刪除共享文件的情況，從而有力地保護了單位伺服器共享文件的安全，保護了單位商業機密和無形資產。

功能介紹：

1、記錄伺服器共享文件夾或共享文件的訪問情況，包括讀取、拷貝、修改、刪除、重命名、列印等情況，可以記錄訪問者採用的登錄賬戶、IP地址、MAC地址、時間、訪問時長、具體操作情況等。

2、根據共享文件夾或共享文件來查詢區域網電腦訪問共享文件的具體操作情況。

3、根據IP或MAC地址來查詢區域網主機對那些共享文件做了那些具體操作。

4、根據訪問許可權來顯示對應的共享文件，沒有訪問許可權的共享文件將予以隱藏。

5、對重要共享文件進行實時備份功能，可以在一定條件下進行實時還原。

6、對重要共享文件進行防刪除操作，一旦蓄意或誤操作刪除共享文件可以恢復。

7、通過賬戶、IP和MAC地址三重綁定來限定客戶端的電腦訪問共享文件情況，一旦不符合綁定規則，禁止其訪問共享文件。

8、限制外來電腦或未經授權的電腦訪問共享文件，也即必須加入到許可訪問共享文件的白名單電腦才可以訪問共享文件。

9、支持在公司外部或外地訪問單位區域網共享文件伺服器並提供監控功能。

10、訪問共享文件的日誌情況可以導出為其他格式，如word、excel等，便於第三方審計。

② 如何監視程序對文件系統的訪問

在Windows伺服器上審計和監控文件的訪問情況是一種保護企業敏感數據的有效方式，並且符合行業規定。 PCMag認為「一個簡單且強大的Windows系統文件/文件夾審核工具,應該是無需專業IT人員的幫助就能運行審計報告,並且可以發送有關審計事件的警報」,FileAudit是第一個也是唯一一個符合Windows8和WindowsServer 2012要求的文件審計解決方案。 靈活、快速、創新的界面 一個靈活的、快速、創新的界面會使在Windows環境下保護文件變得更加容易。採用簡單的無代理部署方式就可以快速安裝FileAudit，無需入侵或部署在單個伺服器就能保護所有文件伺服器。 它擁有直觀的Win8風格界面,用戶可以很容易的選擇需要進行審核的文件和文件夾,並且輕松定製警報設置和進度報告。FileAudit目前已經被全球數以百計的安全組織所採用,是公認最為簡單、有效的文件審計保護軟體。 實時監控文件訪問 FileAudit可提供全面、分類和實時的文件訪問信息,大大降低監控問價訪問的工作量。它實時的對讀/寫/刪除訪問(或訪問嘗試)、文件所有權變更和修改等文件訪問行為進行監控和記錄，所以它可以立即解決和處理不恰當的訪問行為。 提醒潛在的安全漏洞 FileAudit具有實時警報功能，當文件刪除、訪問拒絕或監視一個可疑用戶等預定義事件發生時,就會自動觸發了預先設定的通知電子郵件,並在必要時啟用快速反應機制。 郵件通知的對象並沒有限制，可以按照企業需要設定接收警報郵件的部門或者是個人，並根據具體的信息標準定製報告。 FileAudit的操作和設置非常簡單和直觀,甚至非IT高管(和外部審計師)都可以在遵守國家法律的情況下安全和自主的使用FileAudit。 通過這種方式,文件訪問監控完全可以委託給非IT部門的同事，由於他們對於自身業務系統內的文件/文件夾有著更好的理解,所以可以基於FileAudit部署和設置簡單的特性建立更適自身業務系統的文件訪問審計機制，確保工作更加有效的進行。 可定製的文件伺服器智能 FileAudit具有可定製的統計圖表,可以為用戶直觀的呈現訪問事件的發生情況,並可跨多個Windows伺服器工作。 可記錄和長期存檔發生在一個或多個Windows系統中的文件訪問事件,所有的信息都可搜索，確保審計工作的安全進行。 FileAudit使用和配置十分簡單，不到三分鍾就能完成安裝,無需專業人員的部署和實施，只需要選擇你想保護和監控的文件/文件夾就能立即啟動和運行。

③ Windows 7是否具有安全審計的功能

Win7對審計功能做了很大的優化，簡化配置的同時，增加了對特定用戶和用戶組的管理措施，特殊人物可以特殊對待。

當將某個文件夾設置為共享後，可以通過操作系統的訪問審核功能，讓系統記錄下訪問這個共享文件 的相關信息。這個功能在Windows7以前的操作系統版本中就可以實現。此時的安全審核在共享級。共享 時一個文件伺服器的入口點，以便允許用戶訪問文件伺服器上的特定目錄。注意，共享級別的安全審核 ，無法做到審計文件訪問，即文件級別的安全審核訪問。也就是說，現在只是針對一個單獨的文件需要 設置審計文件訪問，在FAT32等比較老的文件系統中無法實現，他們只能夠針對整個文件加設置訪問審計 ，而無法針對特定的文件。

一、在文件級別還是在共享級別設置安全審計

共享級別安全性只能夠在文件夾上設置安全審計，所以其靈活性相對差一點。而文件級別的安全 審計，可以在特定的伺服器上、目錄或者文件上設置審計。故系統管理員的靈活性比較高，可以根據時 機需要，在合適的地方部署安全審計。如可以對NTFS分區進行審計允許告知系統管理員誰在訪問或者試 圖訪問特定的目錄。在Windows網路中， 對一些關鍵網路資源的訪問進行審計，是提高網路安全與企業 數據安全的比較通用的手法，可以通過安全審計來確定是否有人正試圖訪問受限制的信息。

在哪 個級別上設置安全審計比較有利呢?這主要看用戶的需要。如在一個文件夾中，有數以百計的文件。而其 實比較機密的可能就是五、六個文件。此時如果在文件夾級別上實現安全訪問審計的話，那麼在安全日 志中，其審核記錄會很多。此時查看起來反而會非常的不方便，有時候反而有用的記錄會被那些無用記 錄所遮擋掉。為此，如果一個文件夾中文件或者子文件夾比較多，而有審計要求的文件又在少數，此時 顯然在文件級別上(即對特定的幾個文件)設置「審計文件訪問」比較合適。如此可以減少系 統管理員後續維護的工作量。相反，在共享文件中，有一個特定的文件夾專門用來放置一些機密文件， 此時就是在文件夾級別上實現安全審計更加的合理。可見在哪個級別上來實現安全審計策略，並沒有一 個固定的標准。這主要看用戶需求來定的。如果一定要說出一個具體的參考標准，那麼可以根據如下這 個准則來選擇，即在哪個級別上所產生的審核記錄最少而且可以涵蓋用戶的安全需求，就在哪個級別上 設置安全訪問審計。簡單的說，就是同時滿足兩個條件。一是產生的審核記錄最少，便於閱讀;二是需要 滿足用戶安全方面的需求。往往則兩個條件是相互矛盾的，系統管理員需要在他們之間取得一個均衡。

二、該選用什麼樣的安全審計策略?

在審計文件訪問策略中，可以根據需要選擇多種安全 審計策略，即可以告訴操作系統，在發生哪些操作時將訪問的信息記入到安全日誌中，包括訪問人員、 訪問者的電腦、訪問時間、進行了什麼操作等等。如果將全部的訪問操作都記錄在日誌中，那麼日誌的 容量會變得很大，反而不易於後許的維護與管理。為此系統管理員在設置審計文件訪問策略時，往往需 要選擇一些特定的事件，以減少安全訪問日誌的容量。為了達到這個目的，下面的一些建議各位系統管 理員可以參考一下。

一是最少訪問操作原則。在Windows7種，將這個訪問操作分為很細，如修改 許可權、更改所有者等等十多種訪問操作。雖然系統管理員需要花一定的時間去考慮該選擇哪些操作或者 進行相關的設置，但是對於系統管理員來說這仍然是一個福音。許可權細分意味著管理員選擇特定的訪問 操作之後，就可以得到最少的審核記錄。簡單的說，「產生的審核記錄最少而且可以涵蓋用戶的安 全需求」這個目標更容易實現。因為在實際工作中，往往只需要對特定的操作進行審計即可。如只 對用戶更改文件內容或者訪問文件等少部分操作進行審計即可。而不需要對全部操作進行審計。如此產 生的審計記錄就會少的多，同時用戶的安全需求也得以實現。

二是失敗操作優先選擇。對於任何 的操作，系統都分為成功與失敗兩種情況。在大部分情況下，為了收集用戶非法訪問的信息，只需要讓 系統記入失敗事件即可。如某個用戶，其只能夠只讀訪問某個共享文件。此時管理員就可以給這個文件 設置一個安全訪問策略。當用戶嘗試更改這個文件時將這個信息記入下來。而對於其他的操作，如正常 訪問時則不會記錄相關的信息。這也可以大幅度的減少安全審計記錄。所以筆者建議，一般情況下只要 啟用失敗事件即可。在其不能夠滿足需求的情況下，才考慮同時啟用成功事件記錄。此時一些合法用戶 合法訪問文件的信息也會被記錄下來，此時需要注意的是，安全日誌中的內容可能會成倍的增加。在 Windows7操作系統中可以通過刷選的方式來過濾日誌的內容，如可以按「失敗事件」，讓系 統只列出那些失敗的記錄，以減少系統管理員的閱讀量。

三、如何利用蜜糖策略收集非法訪問者 的信息?

在實際工作中，系統管理員還可以採用一些「蜜糖策略」來收集非法訪問者 的信息。什麼叫做蜜糖策略呢?其實就是在網路上放點蜜糖，吸引一些想偷蜜的蜜蜂，並將他們的信息記 錄下來。如可以在網路的共享文件上，設置一些看似比較重要的文件。然後在這些文件上設置審計訪問 策略。如此，就可以成功地收集那些不懷好意的非法入侵者。不過這守紀起來的信息，往往不能夠作為 證據使用。而只能夠作為一種訪問的措施。即系統管理員可以通過這種手段來判斷企業網路中是否存在 著一些「不安分子」，老是試圖訪問一些未經授權的文件，或者對某些文件進行越權操作， 如惡意更改或者刪除文件等等。知己知彼，才能夠購百戰百勝。收集了這些信息之後，系統管理員才可 以採取對應的措施。如加強對這個用戶的監控，或者檢查一下這個用戶的主機是否已經成為了別人的肉 雞等等。總之系統管理員可以利用這種機制來成功識別內部或者外部的非法訪問者，以防止他們做出更 加嚴重的破壞。

四、注意：文件替換並不會影響原有的審計訪問策略。

如上圖中，有一 個叫做捕獲的圖片文件，筆者為其設置了文件級別的安全審計訪問，沒有在其文件夾「新建文件夾 」上設置任何的安全審計訪問策略。此時，筆者如果將某個相同的文件(文件名相同且沒有設置任 何的安全審計訪問策略)復制到這個文件夾中，把原先的文件覆蓋掉。注意此時將這個沒有設置任何的安 全審計訪問策略。文件復制過去之後，因為同名會將原先的文件覆蓋掉。但是，此時這個安全審計訪問 策略的話就轉移到新復制過去的那個文件上了。換句話說，現在新的文件有了原來覆蓋掉的那個文件的 安全審計訪問許可權。這是一個很奇怪的現象，筆者也是在無意之中發現。不知道這是Windows7 操作系統 的一個漏洞呢，還是其故意這么設置的?這有待微軟操作系統的開發者來解釋了。

除了伺服器系統之外，windows7系統的安全性也是非常值得信任的，也正因為它極高的安全防護受到了很多用戶的喜愛，擁有著一群廣泛的體驗用戶，究竟是怎樣的安全機制來保護著系統呢，讓我們去認識一下windows7系統下強大的安全功能吧。

1、Kernel Patch：系統級的安全平台的一個亮點就是kernel patch，它可以阻止對進程列表等核心信息的惡意修改，這種安全保護這只有在操作系統能實現，其他殺毒軟體是無法實現的。

2、進程許可權控制：低級別的進程不能修改高級別的進程。

3、用戶許可權控制UAC：將用戶從管理員許可權級別移開，在預設條件下用戶不再一直使用管理員許可權，雖然UAC一直被爭議，在使用中筆者也常常感到繁瑣，但用戶許可權控制確實是操作系統的發展趨勢，因為用戶一直使用管理員許可權是非常危險的。

當然，Win7還是有了很大的改善，在Vista下，UAC管理范圍很寬，很多應用都碰到UAC提示。而在Win7里，減少了需要UAC提示的操作，強調安全的同時更加註重用戶體驗

4、審計功能：Win7對審計功能做了很大的優化，簡化配置的同時，增加了對特定用戶和用戶組的管理措施，特殊人物可以特殊對待。

5、安全訪問：一台機器上多個防火牆的配置。Win7裡面可以同時配置存儲多個防火牆配置，隨著用戶位置的變換，自動切換到不同的防火牆配置里。

6、DNSSec支持：增強了域名解析協議標准，老的DNS是有風險的，因此增加了對DNS增強版DNSSec的支持。

7、NAP網路許可權保護：這個是在VISTA中就引入的功能，里繼續繼承了。可以對電腦進行健康檢驗。

8、DirectAccess安全無縫的同公司網路連接：遠程用戶通過VPN難以訪問公司資源，IT面臨對遠程機器管理的挑戰。win7系統的解決方案就是DirectAccess，提供了公司內外對公司資源的一致性訪問體驗。提高遠程用戶的效率。唯一的局限在於，只能在server2008系統中才能使用。

9、應用程序控制AppLocker：禁止非授權的應用程序在網路運行。對應用程序進行標准化管理，通過Group Policy進行管理。其中一個亮點是規則簡單，可以基於廠商的信任認證，比如你把AAA公司設為黑名單，以後所有這個公司的軟體產品和程序，都會被拒絕。

10、數據保護BitLocker：保護筆記本丟失後數據安全問題，同時也支持對U盤的加密和保護，優盤是病毒傳播的重要途徑之一，BitLocker可以對U盤進行加密處理，防止別人對你的優盤進行數據寫入。這就阻隔的病毒侵入的風險。

Windows7系統的安全性防護是用戶們有目共睹的，正因為有上述介紹的這些強大的安全功能做後盾，windows7系統的用戶才可以這么放鬆，這么沒煩惱地暢游網路，放心使用系統。

④ 如何查看共享文件夾操作記錄

具體操作步驟如下：

1、首先，右鍵單擊要監視的文件夾，單擊「屬性」，選擇安全選項卡，如下圖所示，然後進入下一步。