Ausführliche Erklärung zum Aktivieren der Audit-Funktion in Windows zum Aufzeichnen von Dateilöschvorgängen

Problembeschreibung:

Einige Dateien auf dem Windows-Computer wurden ungewöhnlicherweise gelöscht und verpackt. Einbruch vermutet. Fehlerbehebung.

Problemlösung:

1. Gruppenrichtlinie konfigurieren

Wählen Sie „Ausführen“ aus dem Startmenü, um den „Gruppenrichtlinien-Editor“ zu öffnen ”

Gehen Sie zu [Computerkonfiguration]--[Windows-Einstellungen]--[

SicherheitEinstellungen]--[Erweitert AuditPolicy Configuration]--[System Audit Policy]--[ObjectAccess], doppelklicken Sie rechts auf [AuditFile System] und aktivieren Sie [Define this Policy Einstellungen] und [Erfolg] sowie [Fehler] müssen nicht überprüft werden.

2. Fügen Sie das Prüfverzeichnis hinzu

Klicken Sie mit der rechten Maustaste auf den Ordner, der geprüft werden muss, wählen Sie [

Eigenschaften] und Wechseln Sie dann zur Registerkarte [Sicherheit], klicken Sie auf die Schaltfläche [Erweitert] , wechseln Sie im neuen Dialogfeld zur Registerkarte [Überwachung], fügen Sie zu überwachende Benutzer und Gruppen hinzu und überprüfen und löschen Sie zugehörige Elemente in [ Prüfungselemente] . Die Löschaktionen aller Ordner und Unterordner müssen überwacht werden.

Die C:tmp-Konfiguration in der Testumgebung sieht beispielsweise wie folgt aus:

Rechtsklick auf das Verzeichnis C:tmp und Wählen Sie [Sicherheit] 】->[Erweitert], wählen Sie [Überwachen] und fügen Sie dann für den Betreff [jeder] die Option [Unterordner und Dateien löschen] in den erweiterten Berechtigungen hinzu, [Löschen] 2 Elemente

Erhöhen Sie außerdem die Größe des Sicherheitsprotokolls. Klicken Sie im Viewer

Ereignisse mit der rechten Maustaste auf „Sicherheit“ und legen Sie die Protokollgröße auf 120512 KB fest

3. Testen Sie, löschen Sie C:tmptest

file.txt und suchen Sie dann wie folgt den Datensatz mit der Ereignis-ID 4646 im Sicherheitsprotokoll, der zeigt, dass der Administrator den Vorgang ausgeführt hat über explorer.exe.

Das obige ist der detaillierte Inhalt vonAusführliche Erklärung zum Aktivieren der Audit-Funktion in Windows zum Aufzeichnen von Dateilöschvorgängen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!