文件夹审计

① 如何查看 局域网内，谁在访问我的共享文件夹

方法一：通过操作系统自带的功能

第一步：依次打开控制面板、管理工具、计算机管理(本地)、系统工具，然后选择共享文件夹。在这个窗口中，有一个“会话”选项。双击打开这个选项，在右面的窗口中，就会显示出哪些电脑在访问你的计算机。但是，在这个窗口中，还只能够看到有哪些电脑连接到你的电脑，还不知道到底他们在访问哪些共享文件。

第二步：依次选择“系统工具”、共享文件夹、打开文件，此时，在窗口中就会显示本机上的一些共享资源，被哪些电脑在访问。同时，在这个窗口中还会显示一些有用的信息，如其打开了哪一个共享文件;是什么时候开始访问的;已经闲置了多少时间。也就是所，只要其打开了某个共享文件夹，即使其没有打开共享文件，也会在这里显示。

另外，有时候出于某些原因，可能需要禁止某些用户访问这个文件。此时，我们就可以直接右键点击这个会话，然后从快捷菜单中选择关闭会话，我们就可以阻止这个用户访问这个共享文件，而不会影响其他用户的正常访问。

这个功能，有时候非常有用。我们都知道，XP系统访问连接有一个最高数的限制。有时候员工会反映不能访问共享文件。这有可能是连接数到了上限。此时，就可以通过这种方式查询现在有多少用户连接在我的电脑上，然后就可以把一些不需要访问的用户断开，让需要访问的用户连接上去。

方法二：通过大势至共享文件审计系统

大势至共享文件审计系统是大势至(北京)软件工程有限公司(官网：www.grabsun.com )
推出的一款专门监控服务器共享文件、记录局域网用户对共享文件的各种操作的专业安全防护软件。通过此系统可以详细审计局域网电脑访问服务器共享文件的行为，包括新建、拷贝、修改、删除、剪切、重命名等操作，从而便于对员工访问共享文件的行为进行全程的记录和查证，便于网管员进行事后审计和调查取证。同时，通过对共享文件进行保护设置，还可以防止局域网用户有意或不小心删除共享文件的情况，从而有力地保护了单位服务器共享文件的安全，保护了单位商业机密和无形资产。

功能介绍：

1、记录服务器共享文件夹或共享文件的访问情况，包括读取、拷贝、修改、删除、重命名、打印等情况，可以记录访问者采用的登录账户、IP地址、MAC地址、时间、访问时长、具体操作情况等。

2、根据共享文件夹或共享文件来查询局域网电脑访问共享文件的具体操作情况。

3、根据IP或MAC地址来查询局域网主机对那些共享文件做了那些具体操作。

4、根据访问权限来显示对应的共享文件，没有访问权限的共享文件将予以隐藏。

5、对重要共享文件进行实时备份功能，可以在一定条件下进行实时还原。

6、对重要共享文件进行防删除操作，一旦蓄意或误操作删除共享文件可以恢复。

7、通过账户、IP和MAC地址三重绑定来限定客户端的电脑访问共享文件情况，一旦不符合绑定规则，禁止其访问共享文件。

8、限制外来电脑或未经授权的电脑访问共享文件，也即必须加入到许可访问共享文件的白名单电脑才可以访问共享文件。

9、支持在公司外部或外地访问单位局域网共享文件服务器并提供监控功能。

10、访问共享文件的日志情况可以导出为其他格式，如word、excel等，便于第三方审计。

② 如何监视程序对文件系统的访问

在Windows服务器上审计和监控文件的访问情况是一种保护企业敏感数据的有效方式，并且符合行业规定。 PCMag认为“一个简单且强大的Windows系统文件/文件夹审核工具,应该是无需专业IT人员的帮助就能运行审计报告,并且可以发送有关审计事件的警报”,FileAudit是第一个也是唯一一个符合Windows8和WindowsServer 2012要求的文件审计解决方案。 灵活、快速、创新的界面 一个灵活的、快速、创新的界面会使在Windows环境下保护文件变得更加容易。采用简单的无代理部署方式就可以快速安装FileAudit，无需入侵或部署在单个服务器就能保护所有文件服务器。 它拥有直观的Win8风格界面,用户可以很容易的选择需要进行审核的文件和文件夹,并且轻松定制警报设置和进度报告。FileAudit目前已经被全球数以百计的安全组织所采用,是公认最为简单、有效的文件审计保护软件。 实时监控文件访问 FileAudit可提供全面、分类和实时的文件访问信息,大大降低监控问价访问的工作量。它实时的对读/写/删除访问(或访问尝试)、文件所有权变更和修改等文件访问行为进行监控和记录，所以它可以立即解决和处理不恰当的访问行为。 提醒潜在的安全漏洞 FileAudit具有实时警报功能，当文件删除、访问拒绝或监视一个可疑用户等预定义事件发生时,就会自动触发了预先设定的通知电子邮件,并在必要时启用快速反应机制。 邮件通知的对象并没有限制，可以按照企业需要设定接收警报邮件的部门或者是个人，并根据具体的信息标准定制报告。 FileAudit的操作和设置非常简单和直观,甚至非IT高管(和外部审计师)都可以在遵守国家法律的情况下安全和自主的使用FileAudit。 通过这种方式,文件访问监控完全可以委托给非IT部门的同事，由于他们对于自身业务系统内的文件/文件夹有着更好的理解,所以可以基于FileAudit部署和设置简单的特性建立更适自身业务系统的文件访问审计机制，确保工作更加有效的进行。 可定制的文件服务器智能 FileAudit具有可定制的统计图表,可以为用户直观的呈现访问事件的发生情况,并可跨多个Windows服务器工作。 可记录和长期存档发生在一个或多个Windows系统中的文件访问事件,所有的信息都可搜索，确保审计工作的安全进行。 FileAudit使用和配置十分简单，不到三分钟就能完成安装,无需专业人员的部署和实施，只需要选择你想保护和监控的文件/文件夹就能立即启动和运行。

③ Windows 7是否具有安全审计的功能

Win7对审计功能做了很大的优化，简化配置的同时，增加了对特定用户和用户组的管理措施，特殊人物可以特殊对待。

当将某个文件夹设置为共享后，可以通过操作系统的访问审核功能，让系统记录下访问这个共享文件 的相关信息。这个功能在Windows7以前的操作系统版本中就可以实现。此时的安全审核在共享级。共享 时一个文件服务器的入口点，以便允许用户访问文件服务器上的特定目录。注意，共享级别的安全审核 ，无法做到审计文件访问，即文件级别的安全审核访问。也就是说，现在只是针对一个单独的文件需要 设置审计文件访问，在FAT32等比较老的文件系统中无法实现，他们只能够针对整个文件加设置访问审计 ，而无法针对特定的文件。

一、在文件级别还是在共享级别设置安全审计

共享级别安全性只能够在文件夹上设置安全审计，所以其灵活性相对差一点。而文件级别的安全 审计，可以在特定的服务器上、目录或者文件上设置审计。故系统管理员的灵活性比较高，可以根据时 机需要，在合适的地方部署安全审计。如可以对NTFS分区进行审计允许告知系统管理员谁在访问或者试 图访问特定的目录。在Windows网络中， 对一些关键网络资源的访问进行审计，是提高网络安全与企业 数据安全的比较通用的手法，可以通过安全审计来确定是否有人正试图访问受限制的信息。

在哪 个级别上设置安全审计比较有利呢?这主要看用户的需要。如在一个文件夹中，有数以百计的文件。而其 实比较机密的可能就是五、六个文件。此时如果在文件夹级别上实现安全访问审计的话，那么在安全日 志中，其审核记录会很多。此时查看起来反而会非常的不方便，有时候反而有用的记录会被那些无用记 录所遮挡掉。为此，如果一个文件夹中文件或者子文件夹比较多，而有审计要求的文件又在少数，此时 显然在文件级别上(即对特定的几个文件)设置“审计文件访问”比较合适。如此可以减少系 统管理员后续维护的工作量。相反，在共享文件中，有一个特定的文件夹专门用来放置一些机密文件， 此时就是在文件夹级别上实现安全审计更加的合理。可见在哪个级别上来实现安全审计策略，并没有一 个固定的标准。这主要看用户需求来定的。如果一定要说出一个具体的参考标准，那么可以根据如下这 个准则来选择，即在哪个级别上所产生的审核记录最少而且可以涵盖用户的安全需求，就在哪个级别上 设置安全访问审计。简单的说，就是同时满足两个条件。一是产生的审核记录最少，便于阅读;二是需要 满足用户安全方面的需求。往往则两个条件是相互矛盾的，系统管理员需要在他们之间取得一个均衡。

二、该选用什么样的安全审计策略?

在审计文件访问策略中，可以根据需要选择多种安全 审计策略，即可以告诉操作系统，在发生哪些操作时将访问的信息记入到安全日志中，包括访问人员、 访问者的电脑、访问时间、进行了什么操作等等。如果将全部的访问操作都记录在日志中，那么日志的 容量会变得很大，反而不易于后许的维护与管理。为此系统管理员在设置审计文件访问策略时，往往需 要选择一些特定的事件，以减少安全访问日志的容量。为了达到这个目的，下面的一些建议各位系统管 理员可以参考一下。

一是最少访问操作原则。在Windows7种，将这个访问操作分为很细，如修改 权限、更改所有者等等十多种访问操作。虽然系统管理员需要花一定的时间去考虑该选择哪些操作或者 进行相关的设置，但是对于系统管理员来说这仍然是一个福音。权限细分意味着管理员选择特定的访问 操作之后，就可以得到最少的审核记录。简单的说，“产生的审核记录最少而且可以涵盖用户的安 全需求”这个目标更容易实现。因为在实际工作中，往往只需要对特定的操作进行审计即可。如只 对用户更改文件内容或者访问文件等少部分操作进行审计即可。而不需要对全部操作进行审计。如此产 生的审计记录就会少的多，同时用户的安全需求也得以实现。

二是失败操作优先选择。对于任何 的操作，系统都分为成功与失败两种情况。在大部分情况下，为了收集用户非法访问的信息，只需要让 系统记入失败事件即可。如某个用户，其只能够只读访问某个共享文件。此时管理员就可以给这个文件 设置一个安全访问策略。当用户尝试更改这个文件时将这个信息记入下来。而对于其他的操作，如正常 访问时则不会记录相关的信息。这也可以大幅度的减少安全审计记录。所以笔者建议，一般情况下只要 启用失败事件即可。在其不能够满足需求的情况下，才考虑同时启用成功事件记录。此时一些合法用户 合法访问文件的信息也会被记录下来，此时需要注意的是，安全日志中的内容可能会成倍的增加。在 Windows7操作系统中可以通过刷选的方式来过滤日志的内容，如可以按“失败事件”，让系 统只列出那些失败的记录，以减少系统管理员的阅读量。

三、如何利用蜜糖策略收集非法访问者 的信息?

在实际工作中，系统管理员还可以采用一些“蜜糖策略”来收集非法访问者 的信息。什么叫做蜜糖策略呢?其实就是在网络上放点蜜糖，吸引一些想偷蜜的蜜蜂，并将他们的信息记 录下来。如可以在网络的共享文件上，设置一些看似比较重要的文件。然后在这些文件上设置审计访问 策略。如此，就可以成功地收集那些不怀好意的非法入侵者。不过这守纪起来的信息，往往不能够作为 证据使用。而只能够作为一种访问的措施。即系统管理员可以通过这种手段来判断企业网络中是否存在 着一些“不安分子”，老是试图访问一些未经授权的文件，或者对某些文件进行越权操作， 如恶意更改或者删除文件等等。知己知彼，才能够购百战百胜。收集了这些信息之后，系统管理员才可 以采取对应的措施。如加强对这个用户的监控，或者检查一下这个用户的主机是否已经成为了别人的肉 鸡等等。总之系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者，以防止他们做出更 加严重的破坏。

四、注意：文件替换并不会影响原有的审计访问策略。

如上图中，有一 个叫做捕获的图片文件，笔者为其设置了文件级别的安全审计访问，没有在其文件夹“新建文件夹 ”上设置任何的安全审计访问策略。此时，笔者如果将某个相同的文件(文件名相同且没有设置任 何的安全审计访问策略)复制到这个文件夹中，把原先的文件覆盖掉。注意此时将这个没有设置任何的安 全审计访问策略。文件复制过去之后，因为同名会将原先的文件覆盖掉。但是，此时这个安全审计访问 策略的话就转移到新复制过去的那个文件上了。换句话说，现在新的文件有了原来覆盖掉的那个文件的 安全审计访问权限。这是一个很奇怪的现象，笔者也是在无意之中发现。不知道这是Windows7 操作系统 的一个漏洞呢，还是其故意这么设置的?这有待微软操作系统的开发者来解释了。

除了服务器系统之外，windows7系统的安全性也是非常值得信任的，也正因为它极高的安全防护受到了很多用户的喜爱，拥有着一群广泛的体验用户，究竟是怎样的安全机制来保护着系统呢，让我们去认识一下windows7系统下强大的安全功能吧。

1、Kernel Patch：系统级的安全平台的一个亮点就是kernel patch，它可以阻止对进程列表等核心信息的恶意修改，这种安全保护这只有在操作系统能实现，其他杀毒软件是无法实现的。

2、进程权限控制：低级别的进程不能修改高级别的进程。

3、用户权限控制UAC：将用户从管理员权限级别移开，在缺省条件下用户不再一直使用管理员权限，虽然UAC一直被争议，在使用中笔者也常常感到繁琐，但用户权限控制确实是操作系统的发展趋势，因为用户一直使用管理员权限是非常危险的。

当然，Win7还是有了很大的改善，在Vista下，UAC管理范围很宽，很多应用都碰到UAC提示。而在Win7里，减少了需要UAC提示的操作，强调安全的同时更加注重用户体验

4、审计功能：Win7对审计功能做了很大的优化，简化配置的同时，增加了对特定用户和用户组的管理措施，特殊人物可以特殊对待。

5、安全访问：一台机器上多个防火墙的配置。Win7里面可以同时配置存储多个防火墙配置，随着用户位置的变换，自动切换到不同的防火墙配置里。

6、DNSSec支持：增强了域名解析协议标准，老的DNS是有风险的，因此增加了对DNS增强版DNSSec的支持。

7、NAP网络权限保护：这个是在VISTA中就引入的功能，里继续继承了。可以对电脑进行健康检验。

8、DirectAccess安全无缝的同公司网络连接：远程用户通过VPN难以访问公司资源，IT面临对远程机器管理的挑战。win7系统的解决方案就是DirectAccess，提供了公司内外对公司资源的一致性访问体验。提高远程用户的效率。唯一的局限在于，只能在server2008系统中才能使用。

9、应用程序控制AppLocker：禁止非授权的应用程序在网络运行。对应用程序进行标准化管理，通过Group Policy进行管理。其中一个亮点是规则简单，可以基于厂商的信任认证，比如你把AAA公司设为黑名单，以后所有这个公司的软件产品和程序，都会被拒绝。

10、数据保护BitLocker：保护笔记本丢失后数据安全问题，同时也支持对U盘的加密和保护，优盘是病毒传播的重要途径之一，BitLocker可以对U盘进行加密处理，防止别人对你的优盘进行数据写入。这就阻隔的病毒侵入的风险。

Windows7系统的安全性防护是用户们有目共睹的，正因为有上述介绍的这些强大的安全功能做后盾，windows7系统的用户才可以这么放松，这么没烦恼地畅游网络，放心使用系统。

④ 如何查看共享文件夹操作记录

具体操作步骤如下：

1、首先，右键单击要监视的文件夹，单击“属性”，选择安全选项卡，如下图所示，然后进入下一步。