Estou implementando a auditoria de arquivos em um diretório em um servidor IIS para receber notificações quando alguém tentar modificar ou excluir qualquer documento.
Eu defino Advanced Auditing Policy\Audit Policies\Object Access:File System para auditar o sucesso e a falha.
O próximo estágio de acordo com toda a documentação que li é definir a SACL em quaisquer arquivos / diretórios que eu precise monitorar.
No entanto, a verificação do log de eventos de segurança antes de definir as SACLs mostra muitas identificações de evento 4656 (um identificador para um objeto foi solicitado). A leitura desses eventos mostra que eles estão sendo criados para acessar vários arquivos do sistema.
Eu acessei o diálogo Propriedades para esses arquivos / diretórios e cliquei na guia Segurança . Em seguida, cliquei no botão Avançado e selecionei a guia Auditoria . Lá eu vejo que a auditoria foi configurada para o usuário Everyone para registrar todas as gravações.
Em seguida, executei um script do PowerShell:
Get-ChildItem -Path "C:\" -Recurse | ForEach-Object {
$file = $_.FullName
$(Get-Acl -Audit $file).GetAuditRules($true,$false, [System.Security.Principal.SecurityIdentifier]) | ForEach-Object { Write-Output $file }
}
para listar todos os arquivos / diretórios com auditoria ativada neles. Acontece que nessa caixa do IIS eu tenho mais de 32.000 arquivos com auditoria ativada.
Pensando que eu poderia ter habilitado isso de alguma forma no passado, em seguida, executei o mesmo script em um controlador de domínio e contei um número semelhante. Ambos estavam em um ambiente de teste, então, em seguida, executei os scripts em outro servidor IIS de produção (que eu não criei) e obtive resultados semelhantes.
Portanto, minhas perguntas são:
Isso é normal? São mais de 32K arquivos instalados com SACLs de auditoria neles, mas a política inicialmente desativada? A ativação da política faz com que os logs de eventos sejam preenchidos com eventos inúteis - no servidor IIS de teste, notei cerca de 100 eventos em uma hora.
Embora eu possa modificar facilmente o script acima para remover essas SACLs, adicione apenas as que eu preciso, isso é algo seguro de se fazer?
Ainda mais geral - perdi algo óbvio?
Tags audit windows-event-log