Доброго времени суток коллеги. Сегодня пойдет разговор о “граблях” при настройке Advanced Audit Policy для аудита файловой системы. Для того чтобы вести аудит файловой системы в Windows 2008/2008 R2/Vista/Seven нам достаточно включить ведение аудита объектов (Computer Configuration –> Policies –> Windows Settings –> Local Policies –> Audit Policies –> Audit object access), но как вы знаете нам будет падать много чего не нужного, ну или в данный момент не нужно. Для детальной настройки ведения лога аудита и существует, Advanced Audit Policy. Также их называют гранулярными политиками аудита. Не стоит забывать что политики аудита не просто лог событий системы, а неотъемлемая часть безопасности IT структуры.

Гранулярные политики аудита весьма просты в настройке, так как их настройка может проводиться с помочью графической оснастки. Впрочем, через оснастку Advanced Audit Policy настраивается только в Windows 2008 R2 и Seven. Для настройки Advanced Audit Policy в Windows 2008/Vista существует команда auditpol

Давайте перейдем таки к нашим “граблях”. Если мы хотим включить только аудит файловой системы в Advanced Audit Policy мы должны выключить аудит других объектов, но на этом моменте появляется проблема. Наша проблема заключается в том что, в Security Log будут писаться только события успеха, а нам необходимо, чтобы писались все события связанные с нашей файловой системой. Для того чтобы в наш лог писались также события неудачи необходимо включить Audit Handle Manipulation и после этого в наш лог будут писаться все события связанные с нашей аудитом файловой системы. И самое главное не забыть указать какой именно объект файловой системы мы хотим аудитить.