Heim >Betrieb und Instandhaltung >Windows-Betrieb und -Wartung >Ausführliche Erklärung zum Aktivieren der Audit-Funktion in Windows zum Aufzeichnen von Dateilöschvorgängen

Ausführliche Erklärung zum Aktivieren der Audit-Funktion in Windows zum Aufzeichnen von Dateilöschvorgängen

黄舟
黄舟Original
2017-05-26 11:04:416297Durchsuche

Problembeschreibung:

Einige Dateien auf dem Windows-Computer wurden ungewöhnlicherweise gelöscht und verpackt. Einbruch vermutet. Fehlerbehebung.

Problemlösung:

1. Gruppenrichtlinie konfigurieren

Wählen Sie „Ausführen“ aus dem Startmenü, um den „Gruppenrichtlinien-Editor“ zu öffnen

Ausführliche Erklärung zum Aktivieren der Audit-Funktion in Windows zum Aufzeichnen von Dateilöschvorgängen

Gehen Sie zu [Computerkonfiguration]--[Windows-Einstellungen]--[

SicherheitEinstellungen]--[Erweitert AuditPolicy Configuration]--[System Audit Policy]--[ObjectAccess], doppelklicken Sie rechts auf [AuditFile System] und aktivieren Sie [Define this Policy Einstellungen] und [Erfolg] sowie [Fehler] müssen nicht überprüft werden.

Ausführliche Erklärung zum Aktivieren der Audit-Funktion in Windows zum Aufzeichnen von Dateilöschvorgängen

2. Fügen Sie das Prüfverzeichnis hinzu

Klicken Sie mit der rechten Maustaste auf den Ordner, der geprüft werden muss, wählen Sie [

Eigenschaften] und Wechseln Sie dann zur Registerkarte [Sicherheit], klicken Sie auf die Schaltfläche [Erweitert] , wechseln Sie im neuen Dialogfeld zur Registerkarte [Überwachung], fügen Sie zu überwachende Benutzer und Gruppen hinzu und überprüfen und löschen Sie zugehörige Elemente in [ Prüfungselemente] . Die Löschaktionen aller Ordner und Unterordner müssen überwacht werden.

Die C:tmp-Konfiguration in der Testumgebung sieht beispielsweise wie folgt aus:

Rechtsklick auf das Verzeichnis C:tmp und Wählen Sie [Sicherheit] 】->[Erweitert], wählen Sie [Überwachen] und fügen Sie dann für den Betreff [jeder] die Option [Unterordner und Dateien löschen] in den erweiterten Berechtigungen hinzu, [Löschen] 2 Elemente

Ausführliche Erklärung zum Aktivieren der Audit-Funktion in Windows zum Aufzeichnen von Dateilöschvorgängen

Erhöhen Sie außerdem die Größe des Sicherheitsprotokolls. Klicken Sie im Viewer

Ereignisse mit der rechten Maustaste auf „Sicherheit“ und legen Sie die Protokollgröße auf 120512 KB fest

Ausführliche Erklärung zum Aktivieren der Audit-Funktion in Windows zum Aufzeichnen von Dateilöschvorgängen

3. Testen Sie, löschen Sie C:tmptest

file.txt und suchen Sie dann wie folgt den Datensatz mit der Ereignis-ID 4646 im Sicherheitsprotokoll, der zeigt, dass der Administrator den Vorgang ausgeführt hat über explorer.exe.

Das obige ist der detaillierte Inhalt vonAusführliche Erklärung zum Aktivieren der Audit-Funktion in Windows zum Aufzeichnen von Dateilöschvorgängen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn