Maison  >  Article  >  Opération et maintenance  >  Explication détaillée de l'activation de la fonction d'audit dans Windows pour enregistrer les opérations de suppression de fichiers

Explication détaillée de l'activation de la fonction d'audit dans Windows pour enregistrer les opérations de suppression de fichiers

黄舟
黄舟original
2017-05-26 11:04:416272parcourir

Description du problème :

Certains fichiers sur la machine Windows ont été anormalement supprimés et empaquetés. Intrusion suspectée. Comment dépanner.

Solution du problème :

1. Configurer la stratégie de groupe

Sélectionnez « Exécuter » dans le menu Démarrer pour ouvrir l'éditeur « Politique de groupe .

Explication détaillée de lactivation de la fonction daudit dans Windows pour enregistrer les opérations de suppression de fichiers

Allez dans [Configuration de l'ordinateur]--[Paramètres Windows]--[SécuritéParamètres]--[Avancé AuditConfiguration de la stratégie]--[Politique d'audit système]--[ObjetAccess], double-cliquez sur [AuditSystème de fichiers] à droite, cochez [Définir ces politiques settings], les éléments [Succès] et les éléments [Échec] n'ont pas besoin d'être cochés.

Explication détaillée de lactivation de la fonction daudit dans Windows pour enregistrer les opérations de suppression de fichiers

2. Ajoutez le répertoire d'audit

Cliquez avec le bouton droit sur le dossier qui doit être audité, sélectionnez [Propriétés] et puis passez à l'onglet [ Sécurité], cliquez sur le bouton [Avancé] , passez à l'onglet [Audit] dans la nouvelle boîte de dialogue, ajoutez des utilisateurs et des groupes à auditer, puis vérifiez et supprimez les éléments associés dans [ Éléments d'audit] . Les actions de suppression du dossier et des sous-dossiers par chacun doivent être auditées.

Par exemple, la configuration C:tmp dans l'environnement de test est la suivante :

Cliquez avec le bouton droit sur le répertoire C:tmp et sélectionnez [Sécurité] 】->[Avancé], sélectionnez [Audit], puis ajoutez, pour le sujet [tout le monde], vérifiez [Supprimer les sous-dossiers et les fichiers] dans les autorisations avancées, [Supprimer] 2 éléments

Explication détaillée de lactivation de la fonction daudit dans Windows pour enregistrer les opérations de suppression de fichiers

De plus, augmentez la taille du journal de sécurité. Dans la visionneuse Événements, cliquez avec le bouton droit sur Sécurité et définissez la taille du journal sur 120 512 Ko

Explication détaillée de lactivation de la fonction daudit dans Windows pour enregistrer les opérations de suppression de fichiers

3. Testez, supprimez C:tmptest

file.txt, puis recherchez l'enregistrement avec l'ID d'événement 4646 dans le journal de sécurité comme suit, qui montre que l'utilisateur administrateur a effectué l'opération via explorer.exe.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn