使用 Windows 安全选项卡配置 NTFS 审核策略

您可以使用窗口中的选项卡在文件和目录上配置 NTFS 审核策略。 “Windows SecurityWindows Properties window.这与在驻留在 Windows 客户端上的数据上配置审核策略时所使用的方法相同,这样您就可以使用习惯使用的相同 GUI 界面。

开始之前

必须在Storage Virtual Machine (SVM)存储虚拟机( SVM )上配置审核、该虚拟机包含您要应用系统访问控制列表( SACL )的数据。

关于本任务

通过向与 NTFS 安全描述符关联的 NTFS SACL 添加条目来配置 NTFS 审核策略。然后将此安全描述符应用于 NTFS 文件和目录。这些任务可通过 Windows 图形用户界面自动处理。安全描述符可以包含任意访问控制列表 (DACL) 、用于应用文件和文件夹访问权限、用于文件和文件夹审核的 SACL 或 SACL 和 DACL 。

要使用Windows Security选项卡设置 NTFS 审核策略,请在 Windows 主机上完成以下步骤:

步骤

  1. 从 “Tools” Windows 资源管理器中的菜单中选择 “Map network drive” 。
  2. 填写 “Map Network Drive” 此框:
    1. 选择 “Drive” 一个字母。
    2. Folder” 在框中,键入包含共享的 CIFS 服务器名称、包含要审核的数据和共享名称。
      您可以指定 CIFS 服务器的数据接口 IP 地址,而不是 CIFS 服务器名称。
      示例
      如果您的 CIFS 服务器名称是“ cifs_server” 、并且您的共享名为“ share1” 、则应输入\\CIFS_SERVER\share1
    3. 单击 “Finish” 。
    选定驱动器已挂载并准备就绪,“Windows 资源管理器”窗口将显示共享中包含的文件和文件夹。
  3. 选择要为其启用审核访问的文件或目录。
  4. 右键单击文件或目录,然后选择 “Properties” 。
  5. 选择 “Security” 选项卡。
  6. 单击 “Advanced” 。
  7. 选择 “Auditing” 选项卡。
  8. 执行所需的操作:
    目的 操作
    为新用户或组设置审核
    1. 单击 “Add” 。
    2. Enter the object name to select在框中,键入要添加的用户或组的名称。
    3. 单击 “OK” 。
    从用户或组中删除审核
    1. Enter the object name to select在框中,选择要删除的用户或组。
    2. 单击 “Remove” 。
    3. 单击 “OK” 。
    4. 跳过此过程的其余部分。
    更改用户或组的审核
    1. Enter the object name to select在框中,选择要更改的用户或组。
    2. 单击 “Edit” 。
    3. 单击 “OK” 。
    如果要对用户或组设置审核或更改现有用户或组的审核,Auditing Entry for <object>则会打开该框。
  9. Apply to” 在框中,选择应用此审核条目的方式。
    可以选择以下项之一:
    • This folder, subfolders and files
    • This folder and subfolders
    • This folder only
    • This folder and files
    • Subfolders and files only
    • Subfolders only
    • Files only

    如果要对单个文件设置审核、Apply to则该框不处于活动状态。Apply to默认情况下,框设置为 “This object only” 。

    注:由于审核会占用SVM 资源,因此请仅选择提供符合安全要求的审核事件的最低级别。
  10. Access” 在框中,选择要审核的内容以及是否要审核成功事件、失败事件或同时审核两者。
    • 要审核成功的事件,请选择Success该框。
    • 要审核失败事件、请选择Failure该框。

    仅选择满足安全要求所需监控的操作。有关这些可审计事件的更多信息、请参见 Windows 文档。您可以审核以下事件:

    • Full control
    • Traverse folder / execute file
    • List folder / read data
    • Read attributes
    • Read extended attributes
    • Create files / write data
    • Create folders / append data
    • Write attributes
    • Write extended attributes
    • Delete subfolders and files
    • Delete
    • Read permissions
    • Change permissions
    • Take ownership
  11. 如果不希望审核设置传播到原始容器的后续文件和文件夹,请选择 “Apply these auditing entries to objects and/or containers within this container only” 该框。
  12. 单击 “Apply” 。
  13. 完成添加、删除或编辑审计条目后,单击 “OK” 。
    Auditing Entry for <object>框关闭。
  14. Auditing” 在框中,选择此文件夹的继承设置。
    仅选择提供符合安全要求的审核事件的最低级别。您可以选择以下选项之一:
    • 选择Include inheritable auditing entries from this object's parent该框。
    • 选择Replace all existing inheritable auditing entries on all descendants with inheritable auditing entries from this object该框。
    • 选择两个框。
    • 不选择任何一个框。

    如果在单个文件上设置 SACL ,Replace all existing inheritable auditing entries on all descendants with inheritable auditing entries from this objectAuditing则框中不会显示该框。

  15. 单击 “OK” 。
    Auditing框关闭。