Windowsの監査機能をオンにしてファイル削除操作を記録する方法の詳細説明

問題の説明:

Windows マシン上の一部のファイルが異常に 削除され、パッケージ化されました。侵入の疑いあり。トラブルシューティングの方法。

問題の解決策:

1. グループポリシーを設定します

スタートメニューから「ファイル名を指定して実行」を選択し、「グループポリシーエディタ」を開きます

[コンピュータの構成] - [Windows 設定] - に移動します。 - [セキュリティ設定]--[詳細監査ポリシー構成]--[システム監査ポリシー]--[オブジェクトアクセス]、右側の[監査ファイルシステム]をダブルクリックし、[定義]にチェックを入れます[ポリシー設定]および[成功]項目については、[失敗]項目にチェックを入れる必要はありません。

2. 監査ディレクトリを追加します

監査する必要があるフォルダーを右クリックし、[プロパティ]を選択し、[セキュリティ]タブに切り替えて、[詳細設定]ボタンをクリックします。新規ダイアログ [監査]タブに切り替え、監査対象のユーザーとグループを追加し、[監査項目]で該当する項目を確認、削除します。 フォルダーとサブフォルダーの全員の削除操作を確認する必要があります

たとえば、テスト環境の C:tmp 構成は次のとおりです。

ディレクトリ C:tmp を右クリックし、[セキュリティ]->[ [詳細]、[監査]を選択して追加し、件名[全員]について、詳細権限の[サブフォルダーとファイルの削除]を確認し、2つの項目を[削除]します

さらに、セキュリティのサイズを増やしますイベント のログ ビューアで [セキュリティ] を右クリックし、ログ サイズを 120512KB に設定します

3. テストし、C:tmptestfile.txt を削除し、イベント ID 4646 のレコードを検索します。セキュリティログには次のように管理者ユーザーが表示されます。操作はexplorer.exeを通じて実行されました。

以上がWindowsの監査機能をオンにしてファイル削除操作を記録する方法の詳細説明の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。