文件读写操作审计策略操作指引V2.0

操作指引产品名称（归档人员填写）产品版本（归档人员填写）文档编号（归档人员填写）密级文件读写操作审计操作指引V2.0版本编写人： 日期：2013年03月22日部门审核： 日期：年月日文档审核： 日期：年月日目录文档变更信息 3注意事项 3策略配置以及效果 41. 指定进程 42.非指定进程 53.读写操作 64.复制剪切 85.删除 106.导入导出 117.同步上传 138.异步上传 15公司信息 16文档变更信息文档版本文档操作日期修改人V1.0版本初建2013-03-22V2.0版本修改2013-04-26注意事项 *请仔细阅读新版本文件读写操作审计策略只支持V2951版本（含）以上版本助手。由于文件读写操作审计运用的是ACL匹配规则，因此使用此策略前先熟读。了解清楚每个动作的含义。配置策略前请仔细阅读每个帮助信息。配置策略时尽量配置清楚所要审计的文件格式，切忌全部使用*，这可能会产生大量的审计信息以及可能会导致系统运行所需要文件的读写失败。审计文件的读写操作时，可以例外explorer.exe进程，这样将减少不必要的审计信息。复制的动作指的是对源文件右键鼠标复制或者Ctrl+C然后粘贴、Ctrl+V到目标文件位置，注：同一磁盘间拖拉文件属于剪切动作，非同一磁盘拖拉文件属于复制动作。当源文件位置与目标文件位置是同一位置时，复制剪切等动作将不会有审计信息也不会上传操作的文件。文件导入动作指的是从把文件导入到另一个进程，如把rar文件导入到到WINWORD.EXE，这功能主要给特定用户使用，没必要尽量不要使用此动作。文件导出动作指的是所有的另存为动作，文件导出只有目标文件位置的概念而没有源文件位置的概念。文件操作动作的审计是有顺序的，即只有从源文件位置到目标文件位置的操作操作才会产生审计信息以及禁止、上传等动作，相反则不会产生审计信息、禁止、上传等动作。对文件的操作行为审计只审计配置策略相应的动作，即配置的策略是审计复制剪切，在对文件复制剪切前肯定会对文件有读的动作，但最终效果只审计复制剪切的动作而不会审计读的动作。文件上传配置文件大小的最小配置最好配置为0KB，否则一次性对多个文件操作时，当有小于1KB的文件则可能导致其他文件操作失败。文件读写行为审计策略固名思义针对的是文件而不是文件内容，切勿理解有误。灵活运用“不等于”。新版本文件读写策略虽然在功能上更加细化，但由于系统的对文件操作方式的复杂性，因此要更加完善的控制必须配置多条甚至几十条ACL。当实际场景运用此策略出问题时，再细细体会以上16条。

策略配置以及效果指定进程审计指定进程对文件的操作审计并禁止winword.exe进程写e:\test里的文件2.非指定进程审计指定进程以外的进程对文件操作（即例外某一进程）使用windows照片查看器可以打开JPG图片使用ACDSEE无法打开JPG图片3.读写操作读：指对文件的读的操作，比如打开文件但不编辑保存文件。一般对文件有读操作有二个进程，一个是explorer.exe进程，另一个是打开文件的指定进程。如打开文件所在的文件夹或把鼠标移动到文件上，explorer.exe都会对文件产生读的操作；双击打开word文档，WINWORD.EXE进程会对文件有读的操作。写：指对文件的写的操作，对文件进行编辑保存等操作。与读一样，对文件有写操作的进程也有二个，一个是explorer.exe进程，另一个是打开文件的指定进程。注：另存为是导出动作。如图打开e:\test文件夹中的JPG格式文件后会产生2条审计信息。注：为了减少审计信息的数据量，读写操作审计可例外explorer.exe进程的读写操作。4.复制剪切当文件从\\192.168.3.44\dong复制或者剪切到e:\test以外的地方时，将会产生审计信息以及复制或剪切的文件会上传到文件服务器.如果选择不上传文件，则无法复制或剪切文件。后台页面有相关的审计信息注：审计复制剪切操作时，不能例外explorer.exe进程对文件的复制剪切操作。5.删除删除\\192.168.3.44\dong上的WORD文档时，会弹出提示信息。注：配置删除动作时，切记配置精确的文件路径。切勿全配置*，否则会导致系统无法删除临时文件 6.导入导出文件导入：指的是文件从一个进程导入到另一个进程。如从一个rar文件拉入到一个WORD文档。（此功能一般给有特定需求的用户使用）文件导出：指的是所有的另存为动作。注：由于导出动作无法确定源文件，因此文件路径指的是目标路径。文件导入文件导入的审计信息文件导出注：文件导入导出主要给有特定需求的用户使用，使用此功能前必须理解导入导出动作的含义。7.同步上传同步：先把文件上传到指定的文件服务器，再放行指定操作。如果上传失败，会拒绝该操作。选择否时或者选择是的时候文件却无