Windows文件共享审核–最佳实践

Windows文件共享审核 帮助组织保护最敏感的文件,文件夹和文件共享,并简化对合规性标准的遵守。成功进行文件审核后,它既可以帮助您识别数据泄漏,也可以帮助阻止泄漏。

文件共享安全最佳做法

在几乎所有行业中,文件服务器仍然是进行攻击的首选资产(Verizon,2017年数据泄露调查报告)。在基于Windows的网络上,受保护的数据很可能托管在基于服务器的文件系统上,从而使这些服务器成为攻击的主要目标。

组织希望保护这些文件的安全,只允许需要的人访问。为了既知道又证明是这种情况(认为合规),需要了解谁有权访问,谁正在使用访问以及对文件采取什么操作。

“ Windows文件共享审核-最佳做法”重点介绍了Windows系统管理员如何通过以下方式做到最好 FileAudit.

1.文件共享审核不仅仅是信息

Windows文件共享审核

首先,为什么要使用第三方文件审核解决方案?答案就在于功能,性能和细节方面的差距。 本机工具.

请记住,Microsoft并非将Event Viewer设计为审核解决方案,这一点很重要。它旨在仅向IT专业人员提供集中式应用程序,以便在其中查看事件数据。因此,在需要审核给定文件服务器的情况下,存在一些缺点。

要找出“今天谁访问了您的受保护文件,它们做了什么?”这样简单的事情。除了浏览事件日志数据外,还需要做更多的工作;它需要对多个日志条目中的特定字段值进行细致的研究,所有这些都会使您“摸索”到可能的答案。这既耗时又不堪重负。 文件审核不仅仅涉及信息。寻找智慧和洞察力。

进一步了解 Windows Event Viewer用于审核文件服务器的缺点.

2.获取文件活动异常的警报并做出响应

 接收警报以访问事件

当受保护的数据驻留在文件服务器上时,将存在明显的破坏先兆。通过观察文件服务器上受保护数据的访问和使用情况,可以根据异常活动检测数据泄露。示例包括:

  • 频率 –正常用户访问可能围绕平均每日使用量进行。大量复制或批量删除或数据移动的存在值得研究。
  • –文件被访问的次数比平时多吗?不确定内部人员是否有窃取数据的想法,可能会在最终获取数据之前进行几次访问尝试。
  • 白天 –在星期五晚上10点访问数据的用户通常只在星期一访问文件–在工作时间星期五似乎令人怀疑。
  • 端点/ IP地址 –从公司网络外部的计算机或通常无法访问给定文件集的计算机进行访问,可以清楚地表明使用不当。
  • 工艺流程 –攻击者可能会使用自己的工具来窃取数据,因此,如果查看的不是Explorer,Word等程序,访问文件可能表明存在问题。

FileAudit允许您适当注意可能构成数据泄露的内容,并允许您立即采取措施。

响应文件共享警报执行脚本

每当触发特定警报时,都可以创建并运行脚本(例如,关闭计算机或注销用户)。

有关如何识别异常文件活动并阻止数据泄露的更多信息,请阅读白皮书。 文件审核在发现和阻止数据泄露中的作用.

3.使用强大的过滤功能来改善审核

文件审核文件访问过滤

寻找有关文件访问活动的答案可能既耗时又充满挑战。 排除无关数据 并且仅关注有洞察力和可行的信息。

4.准确识别文件或文件夹的访问来源

文件访问查看器

仅通过识别 机器的名称和IP地址 从中可以执行文件/文件夹访问 指明用户访问文件的确切位置。点亮可疑活动,例如用户从与通常不同的工作站访问敏感文件。

5.审核NTFS权限

NTFS权限

FileAudit允许您拥有一个 NTFS权限的集中式视图 (简单和高级)文件和文件夹。为此,它将扫描您定义的所有审核路径,并将信息保存在快照中。

您可以设置 在权限更改时发出警报。 该警报为您提供用户名以及受更改影响的文件/文件夹的名称。通过安排常规快照,然后可以比较两个快照(一个在警报之前,一个在警报之后),以查看进行了哪些更改。

6.保护整个组织,而不仅仅是单个服务器

集中式文件审核

FileAudit提供了 集中监视和分析必要的文件活动数据 快速智能地识别和报告潜在的违规行为。的能力 监控整个组织的活动 (而不仅仅是一台服务器)意味着可以快速准确地回答谁在何时何地做了什么。

7.排除无关数据&专注于有见地的信息

 通过排除不相关的数据来关注有洞察力的信息

过滤掉程序访问事件(例如备份工具,防病毒或搜索引擎)或具有特定扩展名的文件(例如具有.tmp扩展名的临时文件)可以防止数据受到污染。

也是一种审计工具,可丢弃无意义的事件并仅保留相关的访问事件(对于FileAudit而言约为30%)进行监视,从而提高了性能和可伸缩性。

8.确保文件审核直观且易于使用

文件系统审核教程

与仅用于解决合并和呈现事件数据任务的本机工具不同,FileAudit是专门构建的,通过关注合规性审核的特定需求,IT和审核员对解决方案的使用以及必要的详细信息来改善审核体验确保合规。

安装简便,易于使用无论IT在PC,笔记本电脑还是平板电脑上工作,它都可以使文件审核更快,更智能,更高效。

观看如何在不到3分钟的时间内安装FileAudit.

9.使用一个秘密来提高文件安全性– user delegation

用户特定权限管理

现实情况是,最接近文件的用户可以更好地了解某人的访问(或使用权限)是否适当。 IT部门与用户需要什么访问权限,文件使用方式是否合适以及随着时间的推移所有情况如何变化都有些脱节。

对于Windows系统域,IT外部的公司高管或外部审核员可以利用FileAudit功能和易用性来自动执行审核和控制,而不会违反安全协议。

进一步了解 FileAudit通过委派实现安全.

10.包括对云中文件的审核

监视本地和云存储

如果您的文件还没有存储在云中,那么它们很快就会发布。组织必须实现相同级别的可见性,并控制对云中文件数据的访问和使用。对所有文件活动(包括在云中和本地)的统一视图将减少与允许用户随时随地通过任何设备访问基于云的文件数据相关的风险。

有关如何的更多信息 FileAudit可以使用基于云的服务来扩展文件审核.

 

Windows文件共享审核不必耗时或繁琐。 如果精心和正确地管理您选择的文件审核工具,则应该为您完成工作,因此您可以专注于更具战略意义的IT问题和计划。

 

免费的功能齐全的20天FileAudit试用版

不要相信我们, 立即下载功能齐全的免费试用版
亲眼看看FileAudit可以多么轻松地为您提供帮助
Windows文件共享审核。

分享这个帖子 :

头像

克里斯(Chris)是IS Decisions的DirecteurGénéral助理。 IS Decisions软件为组织提供了行之有效的解决方案,可帮助保护Windows Active Directory网络免受外部攻击和内部威胁。

由miniOrange保护