Maison > Article > Opération et maintenance > Explication détaillée de l'activation de la fonction d'audit dans Windows pour enregistrer les opérations de suppression de fichiers
Description du problème :
Certains fichiers sur la machine Windows ont été anormalement supprimés et empaquetés. Intrusion suspectée. Comment dépanner.
Solution du problème :
1. Configurer la stratégie de groupe
Sélectionnez « Exécuter » dans le menu Démarrer pour ouvrir l'éditeur « Politique de groupe . ”
Allez dans [Configuration de l'ordinateur]--[Paramètres Windows]--[SécuritéParamètres]--[Avancé AuditConfiguration de la stratégie]--[Politique d'audit système]--[ObjetAccess], double-cliquez sur [AuditSystème de fichiers] à droite, cochez [Définir ces politiques settings], les éléments [Succès] et les éléments [Échec] n'ont pas besoin d'être cochés.
2. Ajoutez le répertoire d'audit
Cliquez avec le bouton droit sur le dossier qui doit être audité, sélectionnez [Propriétés] et puis passez à l'onglet [ Sécurité], cliquez sur le bouton [Avancé] , passez à l'onglet [Audit] dans la nouvelle boîte de dialogue, ajoutez des utilisateurs et des groupes à auditer, puis vérifiez et supprimez les éléments associés dans [ Éléments d'audit] . Les actions de suppression du dossier et des sous-dossiers par chacun doivent être auditées.
Par exemple, la configuration C:tmp dans l'environnement de test est la suivante :
Cliquez avec le bouton droit sur le répertoire C:tmp et sélectionnez [Sécurité] 】->[Avancé], sélectionnez [Audit], puis ajoutez, pour le sujet [tout le monde], vérifiez [Supprimer les sous-dossiers et les fichiers] dans les autorisations avancées, [Supprimer] 2 éléments
De plus, augmentez la taille du journal de sécurité. Dans la visionneuse Événements, cliquez avec le bouton droit sur Sécurité et définissez la taille du journal sur 120 512 Ko
3. Testez, supprimez C:tmptestCe qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!