파일 삭제 작업을 기록하기 위해 Windows에서 감사 기능을 켜는 방법에 대한 자세한 설명

문제 설명:

Windows 시스템의 일부 파일이 비정상적으로 삭제되어 패키징되었습니다. 침입이 의심됩니다. 문제 해결 방법

문제 해결 방법:

1. 그룹 정책 구성

시작 메뉴에서 "실행"을 선택하여 "그룹 정책 편집기를 엽니다. ”

[컴퓨터 구성]--[Windows 설정]--[보안설정]--[고급으로 이동합니다. 감사정책 구성]--[시스템 감사 정책]--[객체액세스], 오른쪽의 [감사파일 시스템]을 두 번 클릭하고 [이 정책 정의]를 선택합니다. 설정], [성공] 항목, [실패] 항목은 체크할 필요가 없습니다.

2. 감사 디렉터리 추가

감사할 폴더를 마우스 오른쪽 버튼으로 클릭하고 [속성]을 선택한 다음 그런 다음 [ 보안] 탭으로 전환하여 [고급] 버튼을 클릭하고 새 대화 상자에서 [감사] 탭으로 전환한 후 감사할 사용자 및 그룹을 추가하고 [ 감사항목] . 폴더 및 하위 폴더에 대한 모든 사람의 삭제 작업을 감사해야 합니다.

예를 들어 테스트 환경의 C:tmp 구성은 다음과 같습니다.

C:tmp 디렉터리를 마우스 오른쪽 버튼으로 클릭하고 [보안]->[고급]을 선택하고 [감사]를 선택한 후, 제목 [모두]에 대해 고급 권한에서 [하위 폴더 및 파일 삭제]를 검토하고, [삭제] 2개 항목

또한 이벤트 뷰어에서 보안을 마우스 오른쪽 버튼으로 클릭하고 로그 크기를 120512KB로 설정하세요.

3. C:tmptest파일.txt를 테스트하고 삭제한 후 다음과 같이 보안 로그에서 이벤트 ID 4646의 기록을 찾으면 관리자가 작업을 수행했음을 알 수 있습니다. Explorer.exe를 통해

위 내용은 파일 삭제 작업을 기록하기 위해 Windows에서 감사 기능을 켜는 방법에 대한 자세한 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!