为了方便局域网用户访问,不少单位往往会将重要的数据信息上传到类似Windows Server 2008系统的服务器中,并将这些数据信息设置成共享状态发布出去,任何上网用户都能凭借共享访问账户自由访问重要数据信息。然而,也有一些不安好心的访问用户,在共享访问重要数据信息的过程中,随意更改、删除单位发布的重要信息,容易造成其他人员无法获取准确的数据内容;那么我们能否找到一种合适的办法,来自动监控Windows Server 2008服务器系统中的共享内容变化情况,一旦发现共享内容被更改、删除时,我们就能自动收到报警提示呢?其实很简单,我们只要用好Windows Server 2008服务器系统中的审核功能,就能对其中的共享内容变化情况进行轻松自动监控了!
巧用Windows2008审核之自动监控思路
审核功能虽然不是Windows Server 2008服务器系统特有的功能,但是它配合该系统新推出的附加任务到事件功能,可以对账户状态的变化、登录状态的变化、文件夹的变化等若干事件进行监控,这自然也包括对共享文件夹中的内容变化进行监控了。
为了实现自动监控的目的,我们可以先用手工方法启用针对共享文件夹的审核对象访问策略,日后Windows Server 2008服务器系统中的目标共享资源一旦被他人访问或修改时,对应系统的日志功能就会将该操作记录记忆保存下来,此时我们可以针对这种类型的事件,附加一个自动报警任务,这样一来只要目标共享文件夹的状态发生变化,那么附加到对应操作记录上的自动报警任务就可以自动运行,我们收到报警提示后,就能立即监控到Windows Server 2008服务器系统的共享状态变化了。
巧用Windows2008审核之启用审核功能
大家知道,Windows Server 2008服务器系统在默认状态下不会对共享文件夹的访问操作进行跟踪记录,那么对应系统的日志功能自然也不会记录共享文件夹的操作痕迹了;为了能够观察到共享文件夹的状态变化,我们必须先要在Windows Server 2008服务器系统中启用针对共享文件夹的审核对象访问功能,只要该功能被成功启用了,那么对应系统的日志功能就会把任何访问共享文件夹的记录保存到系统日志文件中了,日后我们才能针对某类特定的事件附加一个自动报警的任务计划;下面是启用Windows Server 2008服务器系统审核对象访问功能的具体操作步骤:
首先依次单击Windows Server 2008服务器系统桌面上的“开始”、“设置”、“控制面板”选项,打开对应系统的控制面板窗口,用鼠标双击其中的“管理工具”图标,进入管理工具列表界面;
其次用鼠标双击该界面中的“本地安全策略”图标,弹出对应系统的本地安全策略编辑界面,将鼠标定位于该界面左侧位置处的“本地策略”分支项目上,再从目标分支下面依次选中“审核策略”、“审核对象访问”选项,之后用鼠标右键单击该选项,并执行快捷菜单中的“属性”命令,弹出如图1所示的审核对象访问属性设置对话框;
将该对话框中的“成功”复选项选中,同时单击“确定”按钮,这样一来针对共享文件夹访问操作的审核功能就被启用成功了,日后我们通过网络或在本地修改、删除Windows Server 2008服务器系统中的共享内容时,对应系统的事件查看器程序就会将这些操作记录自动记忆保存下来。
巧用Windows2008审核之记录共享操作
为了让共享状态变化的监控结果自动通知给用户,我们需要想办法创建一个自动报警任务,以便在Windows Server 2008服务器系统的共享状态发生变化的那一刻,该报警任务能够自动触发运行,实现通知、提示用户的目的。要做到这一点,我们必须先在本地服务器系统中生成一个共享访问记录,只有这样自动报警任务才能附加到这类操作事件上,下面是手工生成共享访问记录事件的操作步骤:
首先从局域网中任意选择一台普通工作站系统,通过网络远程登录进Windows Server 2008服务器系统,并尝试修改目标共享文件夹中的内容,修改完毕后,对应系统的日志功能就会将该操作记录记忆保存下来;
其次用鼠标右键单击Windows Server 2008服务器系统桌面上的“计算机”图标,从弹出的快捷菜单中执行“管理”命令,打开对应系统的计算机管理窗口,从该管理窗口的左侧列表中依次展开“系统工具”、“事件查看器”、“Windows日志”、“系统”分支选项(如图2所示),在对应“系统”分支选项的右侧列表区域中,我们就能找到刚才生成的共享访问操作记录了。
巧用Windows2008审核之实现监控报警
尽管Windows Server 2008服务器系统的日志功能可以自动记忆共享访问操作的痕迹,可是它无法将其监控、记录的结果自动通知给服务器系统的“主人”,为了实现自动监控报警的目的,我们可以按照下面的操作将自动报警任务附加到共享访问操作记录上,日后只要相同类型的事件再次生成时,那么该自动报警任务就能自动执行了,到时服务器系统的“主人”就能收到相应的报警提示了:
首先按照前面的操作打开Windows Server 2008服务器系统的计算机管理窗口,从该管理窗口的左侧列表中依次展开“系统工具”、“事件查看器”、“Windows日志”、“系统”分支选项,在对应“系统”分支选项的右侧列表区域中,选中刚才生成的共享访问操作记录选项;
其次用鼠标右键单击该记录选项,从弹出的快捷菜单中执行“将任务附加到此事件”命令,打开自动报警任务的创建向导对话框,依照向导屏幕的提示先将该任务名称取为“自动监控共享状态”,之后单击“下一步”按钮,向导屏幕会弹出一些提示信息,在确认这些内容正确无误后,再单击“下一步”按钮,弹出如图3所示的设置对话框;
在该对话框中,我们看到Windows Server 2008服务器系统为用户提供了三种报警提示方式:启动应用程序、发送电子邮件、显示报警信息等,在这里我们可以选用更为显眼的报警提示方式——“显示消息”选项,之后将报警消息的标题设置为“监控共享状态”,将报警提示的内容设置为“注意!服务器中共享内容的状态已经发生变化!”,最后点击“完成”按钮结束自动报警任务的创建操作。
到了这里,Windows Server 2008服务器系统就可以对其中的共享文件夹状态变化进行自动监控、报警了。日后,只要有恶意用户通过局域网网络偷偷更改、删除本地服务器系统中时,Windows Server 2008系统屏幕上就会自动出现报警提示,告诉我们“注意!服务器中共享内容的状态已经发生变化!”,见到这样的报警提示,我们就能在第一时间知道本地共享资源可能已经被他人修改或访问了,到时我们就能采取针对性措施进行安全防范了。
【编辑推荐】
