Windows文件系统审核是保留在网络安全取证工具箱中的重要工具。
继续阅读以了解有关Windows上的文件系统审核的更多信息,以及为什么需要替代解决方案来获取可用的文件审核数据的信息。
- 审核文件系统的原因
- 如何启用文件系统审核
- Windows文件系统审核方案
- Windows文件活动审核流程
- 解释文件系统访问
- Windows事件日志限制
- 考虑事项:可扩展性
- Varonis Windows文件系统审核
为什么Windows文件系统审核很重要?
当您遇到网络攻击时-不再是-,您必须能够准确指出攻击者查看,更改或偷走的内容。这种见解需要完整的文件系统审核系统。
文件系统审核是任何现代数据安全策略的要求,但是文件分析是更好的选择。文件分析处理并规范化原始文件审核数据,因此您可以更轻松地使用信息。全面的文件分析日志将向您显示攻击者或恶意内部人员尝试或成功访问和窃取的数据。
如何启用Windows文件系统审核
步骤1:启用审核策略
首先,转到域控制器(DC)并更新组策略(GPO)以启用文件审核。
右键单击要更新的组策略,或创建新的GPO进行文件审核。在右键单击菜单中,选择“编辑”以转到“ 组策略编辑器”。
*在本示例中,我创建了一个名为“文件审核”的新GPO。
在组策略编辑器中,依次单击“ 计算机配置”->“策略”->“ Windows设置”->“本地策略”。单击审核策略。
您可以在Windows事件日志中添加许多审核选项。文件审核的选项是“审核对象访问”选项。
双击“审核对象访问”,并将其设置为成功和失败。
要启用新的GPO,请转到命令行并运行'gpupdate / force'。
在要审核的计算机上,使用命令'gpresult / r'验证策略设置是否正确。
步骤2:将审核策略应用于文件和/或文件夹
接下来,准确告诉Windows您要审核的文件和/或文件夹。这是为文件夹设置审核的过程。
- 右键单击Windows资源管理器中的文件或文件夹。选择属性。
- 转到“安全性”选项卡,然后单击“高级”。
- 单击审核选项卡,然后继续。
- 添加您要审核的用户或组,然后选中所有适当的框。
第3步:打开事件查看器
启用审核GPO并设置文件/文件夹审核后,您将在Windows事件查看器的“安全事件日志”中看到审核事件。
但是,这些信息对试图弄清最近一次网络攻击发生了什么的IR团队意味着什么?让我们深入研究这些事件日志消息实际上告诉我们什么。
Windows文件系统审核方案
继续阅读以了解有关不同审核情况的更多信息,包括谁阅读,编辑或删除了给定文件。
如何 跟踪谁在Windows文件服务器上读取文件
在Windows审核中查找谁打开了文件很简单。只需查找事件ID4663。每个Windows事件日志条目都有一个事件ID,该事件ID描述了该事件期间发生的情况。ID 4663表示“尝试访问对象”。作为事件的一部分,您将看到成功或失败消息,文件或对象的名称以及进行访问尝试的用户和进程。
在上面的屏幕截图中,itadmin用户读取了文件“ test – Copy.txt”。
如何使用Windows文件审核跟踪谁更改了a
在Windows文件审核中,您不知道文件是否已更改。您可以知道打开文件的时间以及打开该文件的进程。
从事件ID 4663中可以看到,itadmin在记事本中打开了文件“ Editing this file.txt”,我们可以假定该文件已更改。
如何检测谁从Windows文件服务器中删除了文件
Windows事件日志中的删除事件是事件ID4660。您可以在此处查看删除操作的示例:
您的第一个问题可能是“删除了哪个文件?”要找出答案,我们必须深入事件日志中找到相应的事件ID 4663。
查看这两个事件的时间戳,可以推断出删除的文件是“ test- Copy.txt”。
Windows文件活动审核流程
Windows不会以我们期望的最高水平记录文件活动,并且需要进行司法调查。而是记录 需要进一步处理的精细文件操作。
下图概述了Windows如何使用多个事件日志条目记录每个文件操作:
删除操作是唯一的情况,因为上面提到了第四个事件4660。该序列由“ Handle ID”事件属性标识,该属性对此序列是唯一的(至少在重新启动之前)。
提供最多信息的事件是4663,表明已尝试访问对象。但是,该名称具有误导性,因为Windows仅在操作完成后才发出事件。实际上,单个句柄可能有多个4663事件,记录了组成整体操作的较小操作。例如,重命名涉及读取,删除和写入操作。同样,单个4663事件可能在“ Accesses”属性中包含多个值,该值列出了为执行操作而行使的访问权限。这些“访问”是我们操作本身的准则。
下表提供了有关每个事件的更多信息:
| 活动编号 |
名称 |
描述 |
它提供的数据 |
| 请求了对象的句柄 |
记录每个文件活动的开始,但不保证成功 |
文件名 |
|
| 试图访问对象 |
记录作为活动一部分执行的特定微操作 |
到底做了什么 |
|
| 对象已删除 |
记录删除操作 |
验证活动的唯一方法实际上是删除 |
|
| 对象的句柄已关闭 |
记录文件活动的结束 |
花了多少时间 |
当我们问自己“谁触摸了我的文件?”这个问题时,Windows审核日志将为每个文件读取至少四个不同的事件日志条目,我们需要对其进行过滤和关联,然后才能做出任何质量的法证结论。
解释文件系统访问
要确定 实际 操作,请对“访问”事件属性中报告的已行使权限进行解码。不幸的是,这不是一对一的映射。每个文件操作都包括Windows执行的许多较小的操作,这些较小的操作就是记录的操作。
更重要的“访问”属性值是:
- “ WriteData” 表示除非删除,否则文件已创建或修改
- 几乎所有操作都会记录“ ReadData” 。如果在同一时间未为相同的句柄和相同的文件名记录“ Delete”或“ WriteData”,则表示“访问”。
- “删除” 可能意味着很多事情:删除,重命名(相同的文件夹),移动(移至其他文件夹)或回收,这实际上是向回收站的转移。具有相同句柄的事件4660会针对发出4660事件的删除或回收和不针对事件发出的重命名或移动进行区分。
仅将此作为起点。上面的分析已大大简化,在现实世界中的实施将需要更多的研究。一些需要进一步研究的领域是:
- 区分删除从发送到回收站,然后从重命名移动。
- 分析属性访问(带有或不带有其他访问操作)。
- 处理事件4659,与4660类似,但记录了下一次重新引导时删除锁定文件的请求,而不是立即删除它们。
- 研究报告 指出事件不正常,“请求处理事件”(4656)可能不是序列中的第一个事件。
您可能需要查看 此PowerShell脚本 ,该脚本可读取Windows事件并从中生成有意义的文件活动报告,从而获得稍微简化一些的分析。
专业提示: 瓦罗尼斯(Varonis)十 多年来一直在以PB规模审核Windows文件服务器,并拥有与规范化和分析相关的众多专利。尝试一下以节省您自己的时间来弄清楚如何解析原始日志。
Windows事件日志文件系统审核的限制
尽管Windows文件活动事件看起来很全面,但是有些事情无法仅使用事件日志来确定。一些示例是:
- 创建与修改:知道这是一个新文件还是修改后的文件的唯一方法是知道先前的状态,即该文件之前是否存在。
- 缺少有关失败的信息:对于网络安全,重要的是要知道某人何时无法访问文件。Windows文件审核仅写入单个事件ID 4656,以指示由于权限导致访问失败。
- 剪切和粘贴:虽然假定“剪切和粘贴”将类似于移动操作,但实际上,其行为似乎类似于删除操作,随后是创建操作,而这两个操作之间没有任何关系。
收集Windows文件活动时考虑可伸缩性
如果要使用本机Windows文件审核,则需要知道要收集多少数据。收集Windows文件活动是一个庞大的事件流,Microsoft事件结构为单个文件操作生成许多事件并没有帮助。这样的收集将需要更多的网络带宽来传输事件,并需要更多的存储空间来保留事件。此外,所需的复杂逻辑可能需要功能强大的处理单元和大量内存。
为了减少开销,您可能需要:
- 根据计划实施的方案,仔细选择要监视的文件。例如,您可能只想跟踪包含敏感数据的系统文件或共享。
- 在源头上限制不必要事件的收集。如果您的收集基础结构使用Microsoft事件转发,则可以基于事件ID和事件属性构建复杂的筛选器。在我们的情况下,仅过滤事件4656、4660、4663和可选的4658,并且仅过滤所需的“访问”值。
- 限制事件存储和事件大小,因为原始Windows事件相当大。
Windows文件系统审核与Varonis
Varonis以最少的服务器和网络开销记录了文件活动,从而实现了更好的数据保护,威胁检测和取证。实现此重要安全性和合规性措施的另一种方法是在每个受监视的Windows系统上都使用轻量级代理,重点是文件服务器。
Varonis处理Windows文件活动并将这些事件转换为您可以实际使用和理解的审核数据,并且可以在最大的文件服务器上每小时处理数百万个事件。
请记住,每一个在本地Windows审核这些事件将是至少四个条目,并与所有安全事件日志中的其他登录和购票授权事件的所有混合。使用Varonis,您可以轻松地在Event Viewer中按用户,文件服务器或文件夹路径过滤搜索。
从数据保护的角度来看,Windows文件审核还不够快,无法审核诸如勒索软件攻击的重大事件。您无法立即打开Windows事件日志并查看勒索软件攻击的每个文件或文件夹。每次您浪费时间尝试查找哪个帐户触发了勒索软件时,可能会加密更多文件。
