审核文件服务器的5个核心要素

文件服务器审核是一个必不可少的过程，而疏忽会给您的企业造成巨大的业务影响和政府罚款。

想象一下这种情况：某大学教授不道德地访问了几个重要文件，这些文件包含了微电子领域突破性研究。教授使用这些窃取的数据，创立了自己的公司，利用这些商业秘密去进行欺骗性盈利。而文件服务器审核解决方案可以使该大学免受这种知识产权被盗窃的严重影响。

以下是文件服务器审核解决方案始终监视的5个核心要素，以帮助保护最敏感的数据。

1.访问权限的实时状态

在管理特权访问时，必须遵循最低特权策略和零信任安全模型。共享文件和文件夹的访问权限应仅授予要求他们执行其工作的用户。在任何时候，您都应该能够验证用户是否具有额外的特权，并在必要时撤消访问权限。

2.更改访问权限

如果任何用户的访问权限发生更改，则需要立即向您发出警报。执行取证分析时，可能还需要分析过去的审计跟踪。如果发生了数据泄露，并且需要调查泄露的根本原因，这一点就变得尤为重要。

3.文件和文件夹活动

您需要监视几个文件和文件夹活动，这些可以包括但不限于：

4.审核设置更改

除了监视文件和文件夹访问以及权限更改之外，还应该监视对审核设置或系统访问控制列表（SACL）的更改。SACL指定生成审核记录的活动的类型，攻击者可能试图通过对SACL进行更改来隐藏其踪迹，如果成功，则后续的文件和文件夹活动可能不会记录下来。但是，通过有效的文件服务器审核，也可以跟踪此活动。

5.文件完整性监控（FIM）

文件服务器审核涉及监视网络共享上文件和文件夹的访问和更改，而FIM则涉及检查域控制器，成员服务器上可能存在的重要操作系统文件，实用程序和数据库，甚至工作站。FIM通过将最新版本与这些文件的受信任版本进行比较来验证文件。它会识别意外和未经授权的更改，以验证文件是否已被修改。

作为IT安全管理员，您需要确保阻止攻击者可以利用的每个漏洞。您可以花一点时间来研究这要素，这将节省大量时间。