Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在NTFS安全型檔案和目錄上設定稽核原則

貢獻者
PDF

在稽核檔案和目錄作業之前、您必須先在要收集稽核資訊的檔案和目錄上設定稽核原則。這是設定及啟用稽核組態的附加功能。您可以使用Windows安全性索引標籤或ONTAP 使用CLI來設定NTFS稽核原則。

使用Windows安全性索引標籤設定NTFS稽核原則

您可以使用「Windows內容」視窗中的「* Windows安全性*」索引標籤、在檔案和目錄上設定NTFS稽核原則。這是在Windows用戶端上設定資料稽核原則時所使用的相同方法、讓您能夠使用慣用的GUI介面。

開始之前

稽核必須在儲存虛擬機器(SVM)上設定、其中包含您要套用系統存取控制清單(SACL)的資料。

關於這項工作

若要設定NTFS稽核原則、請將項目新增至與NTFS安全性描述元相關聯的NTFS SACL。然後將安全性描述元套用至NTFS檔案和目錄。這些工作會由Windows GUI自動處理。安全性描述元可包含用於套用檔案和資料夾存取權限的判別存取控制清單(DACL)、用於檔案和資料夾稽核的SACL、或同時套用SACL和DACL。

若要使用Windows安全性索引標籤設定NTFS稽核原則、請在Windows主機上完成下列步驟:

步驟

  1. 從Windows檔案總管的*工具*功能表中、選取*對應網路磁碟機*。

  2. 填寫*對應網路磁碟機*方塊:

    1. 選取*磁碟機*字母。

    2. 在「資料夾」方塊中、輸入包含共用區的SMB伺服器名稱、其中包含您要稽核的資料及共用區名稱。

      您可以指定 SMB 伺服器的資料介面 IP 位址、而非 SMB 伺服器名稱。

      如果您的 SMB 伺服器名稱為「 ShMB_Server 」、而您的共用名稱為「 shahre1 」、則您應該輸入 \\SMB_SERVER\share1

    3. 單擊*完成*。

    您選取的磁碟機會掛載、並在Windows檔案總管視窗中顯示共用區中包含的檔案和資料夾、做好準備。

  3. 選取您要啟用稽核存取的檔案或目錄。

  4. 以滑鼠右鍵按一下檔案或目錄、然後選取*內容*。

  5. 選取*安全性*索引標籤。

  6. 按一下*進階*。

  7. 選取*稽核*索引標籤。

  8. 執行所需的動作:

    如果你想…

    請執行下列動作

    設定新使用者或群組的稽核

    1. 按一下「 * 新增 * 」。

    2. 在「輸入要選取的物件名稱」方塊中、輸入您要新增的使用者或群組名稱。

    3. 按一下「確定」。

    移除使用者或群組的稽核

    1. 在「輸入要選取的物件名稱」方塊中、選取您要移除的使用者或群組。

    2. 按一下「移除」。

    3. 按一下「確定」。

    4. 跳過此程序的其餘部分。

    變更使用者或群組的稽核

    1. 在「輸入要選取的物件名稱」方塊中、選取您要變更的使用者或群組。

    2. 按一下 * 編輯 * 。

    3. 按一下「確定」。

    如果您要在使用者或群組上設定稽核、或是變更現有使用者或群組的稽核、就會開啟「<object>的稽核項目」方塊。

  9. 在「套用至」方塊中、選取您要套用此稽核項目的方式。

    您可以選擇下列其中一項:

    • 此資料夾、子資料夾及檔案

    • 此資料夾及子資料夾

    • 僅此資料夾

    • 此資料夾與檔案

    • 僅限子資料夾與檔案

    • 僅子資料夾

    • * 僅檔案 * 如果您要在單一檔案上設定稽核、則「 * 套用至 * 」方塊不會啟用。「套用至」方塊設定預設為*僅此物件*。

    註

    由於稽核需要SVM資源、因此請僅選取提供稽核事件的最低層級、以符合您的安全需求。

  10. 在「存取」方塊中、選取您要稽核的項目、以及是否要稽核成功的事件、失敗事件或兩者。

    • 若要稽核成功的事件、請選取「成功」方塊。

    • 若要稽核失敗事件、請選取「失敗」方塊。

      只選取您需要監控的動作、以符合安全性需求。如需這些可稽核事件的詳細資訊、請參閱Windows文件。您可以稽核下列事件:

    • 完全控制

    • 周遊資料夾/執行檔案

    • 列出資料夾/讀取資料

    • 讀取屬性

    • 讀取延伸屬性

    • 建立檔案/寫入資料

    • 建立資料夾/附加資料

    • 寫入屬性

    • 寫入延伸屬性

    • 刪除子資料夾與檔案

    • 刪除

    • 讀取權限

    • 變更權限

    • 取得所有權

  11. 如果不希望稽核設定傳播到原始容器的後續檔案和資料夾、請選取「僅將這些稽核項目套用至此容器內的物件和(或)容器*」方塊。

  12. 按一下「 * 套用 * 」。

  13. 完成新增、移除或編輯稽核項目之後、請按一下*確定*。

    「<object>的稽核項目」方塊隨即關閉。

  14. 在「稽核」方塊中、選取此資料夾的繼承設定。

    只選取提供稽核事件的最低層級、以符合您的安全需求。您可以選擇下列其中一項:

    • 選取[包含來自此物件父物件的可繼承稽核項目]方塊。

    • 選取「使用此物件的可繼承稽核項目來取代所有子系上所有現有的可繼承稽核項目」方塊。

    • 選取兩個方塊。

    • 請選取兩個方塊。 如果您要在單一檔案上設定SACL,則[稽核]方塊中不會出現[以這個物件的可繼承稽核項目取代所有子系上所有現有的可繼承稽核項目]方塊。

  15. 按一下「確定」。

    稽核方塊隨即關閉。

使用ONTAP CLI設定NTFS稽核原則

您可以使用ONTAP CLI在檔案和資料夾上設定稽核原則。這可讓您設定NTFS稽核原則、而不需要使用Windows用戶端上的SMB共用區連線至資料。

您可以使用設定 NTFS 稽核原則 vserver security file-directory 命令系列。

您只能使用CLI設定NTFS SACL。此支援的不支援NFSv4 SACL系列。ONTAP如需使用這些命令來設定及新增NTFS SACL至檔案與資料夾的詳細資訊、請參閱手冊頁。