SE(しがないエンジニア)のブログ

IT技術ネタ(クラウド・セキュリティ周り)が中心です!他雑記(お馬さん 他いろいろ)もあり。

ファイルサーバの監査について(Windows & Linux)

ファイル消したの誰じゃぁぁぁぁぁ!

[良くあるシステムあるある]

ある日、ぼく君の勤めている会社で社長がかなり怒っていたようです。。

ぼく君「どうしたんですか、社長?」

社長「ファイルサーバにあったワシの秘蔵コレクションの xxxx.mp4 が削除されていたのじゃ!」

ぼく君「あれ、社長ってこんな喋り方する人だったのか、変な人だな。笑」

社長「誰が削除したのか至急調べてくれあsdfびうhg」(錯乱)

という事でぼく君は社内のWindowsのサーバにて削除証跡を追ってみました。

Windowsの場合(Active Directory運用)

折角なので「ファイル サービス」と記憶域サービス」を利用したファイルサーバ構築法方法から実施します。まずは「サーバー マネージャー」を起点に下記の画面にします。

f:id:btsn:20190518231739p:plain

f:id:btsn:20190518232129p:plain

今回はテスト的なフォルダという事で。

f:id:btsn:20190518232206p:plain

次画面は割愛しますが、そのまま「次へ」を押下で問題ありません。その次も今回は「次へ」で大丈夫です。(しっかりしたファイルサーバを構築する場合は「アクセス許可設定に基づいた~~」をチェックして下さい)

f:id:btsn:20190518233144p:plain

f:id:btsn:20190518233255p:plain

f:id:btsn:20190518233409p:plain

f:id:btsn:20190518233643p:plain

とりあえず、フルコントロールにしておきましょう。後、「OK」を押下。

f:id:btsn:20190518233820p:plain

戻った画面の「監査」タブにて下記画像のような形でひとまず「Everyone」を追加してみましょう。

f:id:btsn:20190518234511p:plain

戻った画面で「次へ」を押下し「作成」を押下し「閉じる」を押下で完了です。

f:id:btsn:20190518235010p:plain

今度は「ローカル セキュリティ ポリシー」を起動して下記のような設定にします。

f:id:btsn:20190519000208p:plain

そして、「D:\秘蔵」フォルダでもにょもにょしてみると。

f:id:btsn:20190519001527p:plain

「お前が消したんやないんかーい!」(と心で叫ぶ)

社長「ぼく君、そろそろ調査が終わったかの?」

ぼく君「はい、間違って上司さんが消したみたいです!」(嘘をつく)

社長「なんと、あいつか!減給10分の1じゃな。。」

ぼく君「そんなビデオ観てて慌てて消した自分が悪いのに・・・・上司さん可哀想。ま、ぼくじゃないからいっか!」

ぼく君「調査が完了したんで帰らせて頂きます!」

Linuxの場合(Samba運用)

細かな手順は割愛してしまいますが、Samba 3 または 4 が導入されている前提で下記のサイトをご参考頂けると対応完了出来ます。(「/etc/samba/smb.conf」のlog levelが2だと削除したことが分からず、3にしてしまうと甚大な量に。。)

hakoniwahaniwa.hatenablog.com

結論として・・・・。

WindowsであれLinuxであれ、監査証跡はセキュリティにうるさいこのご時世なので最優先で実施しましょう!アディオス!