微軟目錄同步、操作/訪問記錄監控功能 安裝筆記（上）

背景：
企業OA應用中文件共享的方案有很多種，主要有(s)FTP、SMB(雙斜槓)兩種，但一個好的(s)FTP軟件要麼有版權問題，要麼服務器管理端比較復雜，要麼有亂碼問題，相比之下，Windows 文件目錄共享(雙斜槓)贏了大多數人的喜愛，搭建和使用都很方便，當然，前提是滿足資訊安全的要求，總結有以下幾點：
1. 權限管理/使用者權限定期檢查
    解決方法：綁定AD權限，定期Review 每個目錄的權限名單，定期清理無效帳號
2. 使用者存取記錄追溯
    解決方法：本文重點介紹FSA文件操作記錄功能
3. 數據備份(或者冗餘備份)
   解決方法 ：目錄同步功能 (當然，容量較小的共享目錄使用單獨備份也是符合資安要求的)

FSA(File System Auditor)的功能是記錄磁盤目錄的詳細訪問記錄，可以實時查看，也可以保存在數據庫中

安裝架構：3個角色根据實際情況決定是否安裝在多台機器上
AD Server + File Server + SQL Server 2005
本文採用2台服務器
1台負責  AD Server
1台負責  File Server + SQL Server 2005

安裝文件操作記錄功能需要以下3個程序 (可自行在網上搜索 File System Auditor and keygen 獲得)，
其中 KeyGen1.02.exe 是破解程序(正式環境請使用正版)


先安裝 FSASetup_Console_1.5.2.msi  (安裝比較簡單，一路點下一步)
















執行破解程序 Keygen1.02.exe
把欄位填滿後點擊 Generate 銨鈕


Status 提示破解成功


執行 FSASetup_2.5.3.msi  (一路點擊下一步)










接下來卸裝 File System Auditor - Console Setup
（正版的安裝步驟相對要簡單，個人的理解是這只破解程序只能破解一個相對低的版本，破解以後再安裝高版本來跳過版權檢查，
最終使用高版本2.5.3）


點擊 移除按鈕進行卸載

打開FSA主程序


顯示有效期為10年


以下是配置的部分
在 D 盤新建 FileServer 目錄, 設置好 Windows 共享, 根据需要設置好訪問權限(建議採用專案名稱 + 群組的方式)

點擊 Add File Server 


點擊下一步


點擊 Add 銨鈕


點擊 Search Active Directory... 或者直接在文本框中輸入電腦名稱 (需要能解析的到)
點擊 OK 按鈕


點擊下一步


點擊 Create New DataBase (本文採用 Sql Server 2005, 事先已經安裝好SQLServer服務)


點擊下一步


點擊下一步


在實例一欄中輸入SQL Server 電腦名稱，也可以點擊 Browser 選擇SQL Server電腦名稱, 點擊下一步


點擊下一步


點擊完成


點擊確定


在實例和數據庫名稱欄位分別填入剛才創建的數據庫，再輸入本機擁有數據庫管理權限的帳號，
點擊下一步


此處的篩選功能可以在以後進行配置,點擊下一步


點擊下一步


點擊完成


點擊完成


至此，文件記錄功能FSA已經安裝完成，打開實時監控器 Real Time Viewer


使用測試帳號訪問共享目錄 \\IP地址\File_erver,新建目錄和文件，實際監視器上會顯示操作記錄，包含：
時間、帳號、目錄/文件名稱、操作類型(建立、刪除、重命名等)


打開主控台界面


Process Exclusion Filters 和 User Exclusion Filters 兩個功能可以設置例外進程和帳號過濾，來過濾掉不需要的信息，
比如：過濾掉管理員帳號或者測試帳號，過濾掉系統管理工具的進程名稱。

Path Filters 選項中添加需要監控的目錄。


Launch Reporting Console 可以生成指條件的監控記錄報表

共享目錄操作/訪問記錄FSA安裝完成, 下一篇開始安裝兩台服務器的共享目錄同步。