文件完整性监控
文件完整性监控是一项功能,帮助您监控 Windows 中对文件和文件夹所做的所有更改(添加/删除/修改)。
- 配置文件完整性监控
- 管理文件完整性监控(FIM)模板
- 配置批量完整性监控
- FIM 自动配置的前提条件
- FIM 手动配置步骤
配置文件完整性监控
通过持续监控谁访问和修改文件,FIM 配置帮助组织更好地保护敏感信息免遭盗窃、丢失和网络攻击。
要配置文件完整性监控,
- 导航到 设置 > 配置 > 文件完整性监控
- 点击 添加 FIM 按钮。
- 选择包含想启用 FIM 监控的文件/文件夹的设备。
- 要从特定域添加设备,先在 选择类别 字段中选择域,然后选择所需的日志源。
- 要手动添加设备,点击 手动配置 ,位置在“选择 FIM 日志源”弹窗的右上角。
- 选择用于获取设备日志的代理。可关联多个设备,并通过单个代理收集日志。
- 浏览并选择您希望用 FIM 监控的文件和文件夹。也可以直接输入文件/文件夹位置。
- 若只审计特定文件/文件夹集,点击所选位置右侧的过滤图标,可包含或排除特定文件类型进行 FIM。
- “排除子文件夹”允许您排除
- 点击 配置
注意:
- 配置 FIM 可能导致日志流量增加,从而引起存储激增。请仅对需要监控的文件进行配置。
- 若要监控可移动存储,请在设备本地安装代理并配置 FIM。
管理文件完整性监控(FIM)模板
若同一文件或文件夹需在多个设备中监控,可创建模板并分配给这些设备,方便用户无需重复选择即可审计相同文件/文件夹集。
创建 FIM 模板,请按照以下步骤操作:
配置批量完整性监控
若需将多个设备上相同的文件和文件夹添加监控,可使用批量文件监控功能。
- 导航到 设置 > 配置 > 文件完整性监控
- 点击 添加 FIM 按钮位于右上角。
- 选择 配置多设备
- 选取包含文件/文件夹的设备,输入正确凭据,选择代理,也可从现有模板列表中选择模板。
- 点击 配置.
FIM 自动配置的前提条件
使用代理自动配置 FIM 所需前提条件如下:
- 配置 FIM 的用户需为工作组设备的本地管理员组成员,或域设备具备管理权限以配置 SACL 和本地安全策略。
- "应启用“强制审核策略子类别设置(Windows Vista 或更高版本)以覆盖审核策略类别设置”。“应启用。
可通过导航:策略 → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项 启用此项。
- 关于策略“从网络访问此计算机”,应添加相应的用户或其所属组。
可通过导航:策略 → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 用户权限分配 完成。
- 必须启用以下服务和防火墙规则以访问远程机器:
- Windows 6.0 版本及以上
- 服务
- 防火墙入站规则
- 文件和打印机共享(SMB-In)(本地端口 445)
- 文件和打印机共享(NB-Session-In)(本地端口 139)
- 应启用 Microsoft 网络的局域网文件和打印机共享属性。
- Auditpol.exe 必须存在于运行 Windows 6.0 版本及以上的机器上。
- 启用 SMB v2/v3 协议。
注意:Windows Server 2003 请遵循手动配置步骤。
使用以下命令验证代理可访问管理员共享路径,
$ net use * \\<机器名>\<管理员共享路径> /user:<用户名> <密码>
示例:net use * \\FileServer\c$\FIM /user:administrator ******
net use 错误排查:
FIM 手动配置步骤
手动收集 FIM 日志所需的前提条件如下:
请按照以下步骤手动启用指定的策略
对于 Windows 版本 6.0 或更高版本:
- 以管理员权限在本地计算机上执行以下命令。
命令: auditpol.exe /set /subcategory:"File System,Handle Manipulation,File Share,Detailed File Share" /success:enable /failure:enable
- 使用 GPO:
[策略] → 计算机配置 → Windows 设置 → 安全设置 → 高级审核策略配置 → 系统审核策略 - 本地组策略对象 → 对象访问
启用以下策略,成功和失败均需启用。
- 审核文件共享
- 审核文件系统
- 审核句柄操作
- 审核详细文件共享
对于 Windows Server 2003:
[策略] → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略 → 审核对象访问(成功和失败)
为文件/文件夹启用带有以下权限的 SACL:
