首頁 > 運維 > windows維 > Windows開啟審核功能來記錄檔案刪除操作的詳解

Windows開啟審核功能來記錄檔案刪除操作的詳解

黄舟
發布: 2017-05-26 11:04:41
原創
6295 人瀏覽過

問題描述:

Windows機器上某些檔案被異常刪除,打包。懷疑入侵。如何排查。

問題解決:

1、設定組策略 

開始功能表選擇「執行」開啟「群組原則編輯器

Windows開啟審核功能來記錄檔案刪除操作的詳解

依序定位到【電腦設定】--【Windows設定】--【安全性設定】--【進階稽核策略配置】--【系統審核策略】--【物件存取】,雙擊右側的【審核檔案系統】,勾選【定義這些策略設定】及【成功】項,【失敗】項不需要勾選。

Windows開啟審核功能來記錄檔案刪除操作的詳解 

 2、 新增稽核目錄 

#右鍵點選需要審核的資料夾,選擇【屬性】,然後切換到【安全性】標籤,點選【進階】按鈕,在新對話方塊中切換到【稽核】標籤,新增要審核的使用者、群組,在【審核項目】中勾選、刪除相關的項目。 需要審核everyone對於該資料夾和子資料夾的刪除動作,

例如,在測試環境中的C:\tmp配置如下: 

右鍵點選目錄C:\tmp,選擇【安全】->【高級】,選擇【審核】,而後添加,針對主體【everyone】, 審核高級權限中的【刪除子資料夾及檔案】,【刪除】2條 

Windows開啟審核功能來記錄檔案刪除操作的詳解

#  此外,增加安全日誌的大小,在事件檢視器中,以滑鼠右鍵按一下安全,將日誌大小設為120512KB 

Windows開啟審核功能來記錄檔案刪除操作的詳解

#  3、測試,刪除C:\tmp\testfile.txt, 隨後在安全日誌找到事件ID為4646的記錄如下,顯示administrator用戶透過explorer.exe進行了操作。 

以上是Windows開啟審核功能來記錄檔案刪除操作的詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章!

來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板