Windows開啟審核功能來記錄檔案刪除操作的詳解

問題描述：

Windows機器上某些檔案被異常刪除，打包。懷疑入侵。如何排查。

問題解決：

1、設定組策略 

開始功能表選擇「執行」開啟「群組原則編輯器 ”

依序定位到【電腦設定】--【Windows設定】--【安全性設定】--【進階稽核策略配置】--【系統審核策略】--【物件存取】，雙擊右側的【審核檔案系統】，勾選【定義這些策略設定】及【成功】項，【失敗】項不需要勾選。

 

 2、 新增稽核目錄 

#右鍵點選需要審核的資料夾，選擇【屬性】，然後切換到【安全性】標籤，點選【進階】按鈕，在新對話方塊中切換到【稽核】標籤，新增要審核的使用者、群組，在【審核項目】中勾選、刪除相關的項目。 需要審核everyone對於該資料夾和子資料夾的刪除動作，

例如，在測試環境中的C:\tmp配置如下： 

右鍵點選目錄C:\tmp,選擇【安全】->【高級】,選擇【審核】，而後添加，針對主體【everyone】, 審核高級權限中的【刪除子資料夾及檔案】，【刪除】2條 

#  此外，增加安全日誌的大小，在事件檢視器中，以滑鼠右鍵按一下安全，將日誌大小設為120512KB 

#  3、測試，刪除C:\tmp\testfile.txt， 隨後在安全日誌找到事件ID為4646的記錄如下，顯示administrator用戶透過explorer.exe進行了操作。 

以上是Windows開啟審核功能來記錄檔案刪除操作的詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章！