Windows开启审核功能来记录文件删除操作的详解

问题描述：

Windows机器上某些文件被异常删除，打包。怀疑入侵。如何排查。 

问题解决：

1、 配置组策略 

开始菜单选择“运行”打开“组策略编辑器”

依次定位到【计算机配置】--【Windows设置】--【安全设置】--【高级审核策略配置】--【系统审核策略】--【对象访问】，双击右侧的【审核文件系统】，勾选【定义这些策略设置】及【成功】项，【失败】项不需要打勾。

 

 2、 添加审核目录 

右键单击需要审核的文件夹，选择【属性】，然后切换到【安全】标签，单击【高级】按钮，在新对话框中切换到【审核】标签，添加要审核的用户、组，在【审核项目】中勾选和删除相关的项目。 需要审核everyone对于该文件夹和子文件夹的删除动作，

例如，在测试环境中的C:\tmp配置如下： 

右键单击目录C:\tmp,选择【安全】->【高级】,选择【审核】，而后添加，针对主体【everyone】, 审核高级权限中的【删除子文件夹及文件】，【删除】2条 

  此外，增加安全日志的大小，在事件查看器中，右键单击安全，将日志大小设置为120512KB 

  3、 测试，删除C:\tmp\testfile.txt， 随后在安全日志找到事件ID为4646的记录如下，显示administrator用户通过explorer.exe进行了操作。 

Atas ialah kandungan terperinci Windows开启审核功能来记录文件删除操作的详解. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!