Windows 文件审核指南

最新推荐文章于 2023-07-06 17:44:00 发布
最新推荐文章于 2023-07-06 17:44:00 发布
阅读量1.2k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tdburongke/article/details/115010663
版权

目录

为什么需要审核文件

该如何启用Windows文件审核

该如何查看文件操作记录

Windows事件日志的限制

为什么需要审核文件

现今,无论是小型还是大型企业,都会有自己的文件服务器。对于如今的信息化时代,信息就是数据,而数据是存储在文件服务器中。因此对于文件服务器的管理以及审核对于企业是十分重要的。首先企业要对文件服务器进行精密的授权,才不会导致文件管理混乱。再就是有效对文件实施审核,进一步确保信息数据的安全。

这里我们来谈一下文件审核

想象一下这种情况:某大学教授不道德地访问了几个重要文件,这些文件包含了微电子领域突破性研究。教授使用这些窃取的数据,创立了自己的公司,利用这些商业秘密去进行欺骗性盈利。而文件服务器审核解决方案可以使该大学免受这种知识产权被盗窃的严重影响。

由此可见文件审核对于企业是十分有必要的。

该如何启用Windows文件审核

要想对文件服务器的文件进行审核,我们就必须要启用Windows的审核策略,并且对审核的文件夹设置必要的SACL。

Windows审核策略启用方法:创建一条新的组策略,编辑组策略,点击计算机配置->Windows设置->安全设置->高级审核策略->对象访问,启用审核策略:对象访问 -> 审核文件系统(成功),审核句柄操作(成功,失败),审核文件共享(成功)

此外,还需要对审核的文件夹设置必要的SACL-

设置SACL的对象审核适用对象类型访问(动作)应用于
需要审核的共享文件夹Everyone成功 / 失败
  • 创建文件/写入数据
  • 创建文件夹/附加数据
  • 写入属性
  • 写入扩展属性
  • 删除子文件夹及文件
  • 删除
该文件夹、子文件夹及文件
需要审核的共享文件夹Everyone成功 / 失败
  • 取得所有权
  • 更改权限
该文件夹及子文件夹
需要审核的共享文件夹Everyone成功 / 失败
  • 列出文件夹/读取数据
只有文件
需要审核的共享文件夹Everyone失败
  • 列出文件夹/读取数据
该文件夹及子文件夹

该如何查看文件操作记录

启用以上设置之后,我们在对审核的文件进行操作时,在Windows的事件查看器(eventvwr)中就会产生相应的事件。

比如事件ID 4663,此类事件表示已尝试访问了对象。更多的事件ID代表的意义可以参考https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/audit-file-system

在事件查看器中查看这些事件也是比较麻烦的,而且根据Windows的设置,一般事件日志的保存方式会选择按需覆盖,以此来节省Windows磁盘空间。如果需要日志按照我们的需要长时间保留以及系统的分析和报表查看,就需要借助第三方的工具了,比如ADAudit PlusEventLog Analyzer等工具。

另外,需要提的一点是,既然我们都可以用第三方的工具了,那么审核策略以及SACL这些繁琐的配置我们是不是也可以借助工具进行配置或者不需要配置。答案是可以的,也有很多工具是不需要配置这些审核策略的,但是可能需要设置其他的东西,比如DataSecurity Plus是借助代理来审核文件的等等。

Windows事件日志的限制

虽然Windows文件活动事件看起来很全面,但有些事情不能仅使用事件日志来确定。以下是几个例子:

剪切和粘贴:表面上来看,这个动作像是文件的移动操作。实际上,此行为倒像是删除文件,然后再新建文件。

复制粘贴:如果此类动作是在我的计算机(非文件服务器)上以共享的方式进行操作并粘贴到我的计算机上,那么但单独查看文件服务器的事件日志是查询不到此操作具体信息的。

 

 

Tdburongke
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
高质量C++-C编程指南
10-15
高质量C++-C编程指南 目 录 前 言... 6 第1章 文件结构... 11 1.1 版权和版本的声明... 11 1.2 头文件的结构... 12 1.3 定义文件的结构... 13 1.4 头文件的作用... 13 1.5 目录结构... 14 第2章 程序的版式... 15 2.1 空行... 15 2.2 代码行... 16 2.3 代码行内的空格... 17 file:///D|/My Documents/学习/高质量C++-C编程指南.txt[2008-11-11 21:48:26] 2.4 对齐... 18 2.5 长行拆分... 19 2.6 修饰符的位置... 19 2.7 注释... 20 2.8 类的版式... 21 第3章 命名规则... 22 3.1 共性规则... 22 3.2 简单的Windows应用程序命名规则... 23 3.3 简单的Unix应用程序命名规则... 25 第4章 表达式和基本语句... 26 4.1 运算符的优先级... 26 4.2 复合表达式... 27 4.3 if 语句... 27 4.4 循环语句的效率... 29 4.5 for 语句的循环控制变量... 30 4.6 switch语句... 30 4.7 goto语句... 31 第5章 常量... 33 5.1 为什么需要常量... 33 5.2 const 与 #define的比较... 33 5.3 常量定义规则... 33 5.4 类中的常量... 34 第6章 函数设计... 36 6.1 参数的规则... 36 6.2 返回值的规则... 37 6.3 函数内部实现的规则... 39 6.4 其它建议... 40 6.5 使用断言... 41 6.6 引用与指针的比较... 42 file:///D|/My Documents/学习/高质量C++-C编程指南.txt[2008-11-11 21:48:26] 第7章 内存管理... 44 7.1内存分配方式... 44 7.2常见的内存错误及其对策... 44 7.3指针与数组的对比... 45 7.4指针参数是如何传递内存的?... 47 7.5 free和delete把指针怎么啦?... 50 7.6 动态内存会被自动释放吗?... 50 7.7 杜绝“野指针”... 51 7.8 有了malloc/free为什么还要new/delete ?... 52 7.9 内存耗尽怎么办?... 53 7.10 malloc/free 的使用要点... 54 7.11 new/delete 的使用要点... 55 7.12 一些心得体会... 56 第8章 C++函数的高级特性... 57 8.1 函数重载的概念... 57 8.2 成员函数的重载、覆盖与隐藏... 60 8.3 参数的缺省值... 63 8.4 运算符重载... 64 8.5 函数内联... 65 8.6 一些心得体会... 68 第9章 类的构造函数、析构函数与赋值函数... 69 9.1 构造函数与析构函数的起源... 69 9.2 构造函数的初始化表... 70 9.3 构造和析构的次序... 72 9.4 示例:类String的构造函数与析构函数... 72 9.5 不要轻视拷贝构造函数与赋值函数... 73 9.6 示例:类String的拷贝构造函数与赋值函数... 73 9.7 偷懒的办法处理拷贝构造函数与赋值函数... 75 9.8 如何在派生类中实现类的基本函数... 75 file:///D|/My Documents/学习/高质量C++-C编程指南.txt[2008-11-11 21:48:26] 9.9 一些心得体会... 77 第10章 类的继承与组合... 78 10.1 继承... 78 10.2 组合... 80 第11章 其它编程经验... 82 11.1 使用const提高函数的健壮性... 82 11.2 提高程序的效率... 84 11.3 一些有益的建议... 85 参考文献... 87 附录A :C++/C代码审查表... 88 附录B :C++/C试题... 93 附录C :C++/C试题的答案与评分标准... 97 前 言
Windows服务器文件审核设置
wxq1985129的博客
07-23 1469
问题描述: 在维护客户服务器的过程中,突然收到客户的反馈,系统中***.文件在某天下午被修改了,麻烦查下修改原因。 由于没有添加审核设置,无法查看是谁操作的,故在服务器上进行了以下设置,以方便下次出现文件被修改定位到问题原因,具体配置如下: 1、 配置组策略 开始菜单选择“运行”打开“组策略编辑器” 依次定位到【计算机配置】--【Windows设置】--【安全设置】--【高级审核策略配置】--【系统审核策略】--【对象访问】,双击右侧的【审核文件系统】,勾选【定义这些策略设置】及【成功】项,【
Windows Server 系统中根据用户对文件夹设置访问权限设置的方法
QBing --无论如何,都不应放弃对能力的追求
07-18 1万+
场景:在系统中有两个用户,1)Administrator,2)userA 现在需要设置硬盘中的文件夹的访问权限,userA只能访问指定的文件夹。需要怎么办? 使用windows 原生命令:Xcacls 即可。 ----------------------------------------------------------------------------------------
Windows文件服务器监控和审核
ITmoster的博客
03-23 1040
ADAudit Plus审核文件文件夹和共享的Windows文件服务器权限更改。持续记录机密文件/文件夹并获得有关授权/未授权访问的即时告警。
Windows Server上启用文件文件夹访问审核
allway2的博客
09-26 2894
Windows Server一直是全球部署最广泛的服务器之一,用于支持协作工作环境。由于这些环境的固有性质,其中多个用户可以访问相同的资源,因此确定用户操作的责任变得非常重要。 因此,重要的是审核文件文件夹访问有关的所有用户操作。在本文中,已经说明了在Windows Server 2012上启用文件文件审核的过程。 在Windows Server 2012上,审核文件文件夹访问包括两部分: 启用文件文件审核,可以通过两种方式完成: 通过组策略(对于域,站点和组织单位) 本地安全策
开启Windows共享文件审核,让用户查看谁删除了文件
茶馆
07-06 4975
我的共享文件夹内的文件被谁删除了,查不到,只能查看谁创建,谁修改的,但查不到谁删除的.以上只能找到责任人,找不到丢掉的文件, 平时要设置好权限,同时要做到文件常备份, 只有备份了才能保谁万无一失!
审核策略
weixin_33895604的博客
08-26 1900
菜鸟的入门知识      1.审核策略是什么      审核策略是Windows 2000及以后版本组策略中引入的一个安全机制。它可以用日志形式记录系统中已经被审核的事件,而系统管理员通过生成的日志文件,能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经访问过哪个文件、哪些非法程序***了你的电脑等。      2.如何开启“审核对象访问”策略    ...
windows日志和审核
热门推荐
7Riven's blog
12-05 1万+
windows事件日志简介 Windows事件日志记录着 Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查提供很多关键信息。 Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件1D...
文件服务器如何启动日志功能知道删除移动是谁干的?
weixin_34228662的博客
11-08 436
文件服务器如何启动日志功能知道删除移动是谁干的? 文件服务器如何启动日志功能知道删除移动是谁干的?文件服务器如何启动日志功能,可以详细记录每个用户和连接的读取\运行\写入的各类记录。用户通过映射盘访问服务器上的文件夹,每层文件夹都有不同的权限控制,因为服务器上经常有文件夹被删除或移动,现在我想知道是谁干的,还有时间,有没有什么方案可以实现,环境:win2003serve...
共享文件夹的审核权限_使用审核来保护网络上的文件
culiyuan8310的博客
09-24 721
共享文件夹的审核权限It is inevitable as the tide … someone on your network is going to delete a valuable folder or file and deny they did it, even though you know they were the last to make changes. Here is an...
starteam用户指南
03-13
控制配置文件中的 EOL 字符和路径区分大小写 . . 29 查看视图属性 . . . . . . . . . . . . . . . . . . . . . 30 刷新视图 . . . . . . . . . . . . . . . . . . . . . . . 30 查看连接属性 . . . . . . . . . . . ...
高质量C++编程指南.zip
09-26
3.2 简单的WINDOWS应用程序命名规则 23 3.3 简单的UNIX应用程序命名规则 25 第4章 表达式和基本语句 26 4.1 运算符的优先级 26 4.2 复合表达式 27 4.3 IF 语句 27 4.4 循环语句的效率 29 4.5 FOR 语句的循环控制变量...
高质量C++C 编程指南
04-19
3.2 简单的 WINDOWS 应用程序命名规则..................................................................... 23 3.3 简单的 UNIX 应用程序命名规则...............................................................
高质量C++编程指南
03-08
《高质量C++编程指南》 软件质量是被大多数程序员挂在嘴上而不是放在心上的东西! 除了完全外行和真正的编程高手外,初读本书,你最先的感受将是惊慌:“哇!我以前捏造的C++/C程序怎么会有那么多的毛病?” 别...
2016服务器文件夹权限设置,Server 2016特定用户权限划分,只显示有权限的文件夹,无法权限文件夹无法看到...
weixin_35748610的博客
08-11 4305
Server 2016特定用户权限划分,只显示有权限的文件夹,无法权限文件夹无法看到第一步,需要将最外面的文件,总文件夹权限划分一个共享用户,可以是administrator用户或者其它管理员用户。、1,共享文件设置。最外总文件是gxwj文件夹。里面有3个文件夹。工程部中,有3个文件夹。总文件夹权限共享设置。这一步需要注意的是,如果所有者是admin,那么需要再添加一个用户进来。给administ...
查看文件服务器修改写删除文件的记录设置方法------通过设置文件审核策略...
weixin_34218890的博客
02-18 714
查看文件服务器修改写删除文件的记录设置方法------通过设置文件审核策略 windows可以使用审核策略跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件文件夹的安全。为文件文件夹设置审核的步骤如下: 第一步,在组策略窗中(文件服务器在DC上此时打开域控...
windiws本地安全策略及组策略配置实验
qq_50905066的博客
03-18 4888
一、需求描述 在Windows Server系统环境中配置本地安全策略及组策略 二、实验要求 1、实验环境: 1)主机2台:Windows服务器1台、Windows7客户机1台 2)网卡连接模式:NAT 3)IP地址:自动获取 2、本地安全策略—审核策略—登录事件 1)注销Administrator,以test用户身份登录 2)注销test,以Administrator用户身份登录,查看日志记录 打开事件查看器”---Windows日志---安全---查找test登录记录 3、本
「运维有小邓」审核并分析文件文件夹访问权限
运维有小邓
06-28 131
Windows文件服务器包含需要保护的关键信息。这就是为什么文件服务器审核对于任何组织都必不可少的原因。通过审核所有与文件文件夹相关的事件,您可以确保文件服务器的安全性,同时满足合规性要求。......
windows日志总结
ordar123的博客
06-09 8033
运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件,比如登录事件,进程创建事件等等。我们可以挨个手动修改审核策略的属性,将审核操作选上成功和失败。当然有简单方法:将下面脚本另存为bat,然后管理员运行就可以打开全部策略了。 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的
windowspe权威指南
最新发布
10-03
Windows PE权威指南》是一本权威的指导手册,专门介绍Windows PE(Preinstallation Environment,预安装环境)的使用和配置。Windows PE是微软公司提供的轻量级操作系统,用于部署、安装和维护Windows操作系统。 《Windows PE权威指南》从基础知识入手,详细介绍了Windows PE的发展历程、组件结构和特点。读者可以了解Windows PE的用途和优势,并掌握各个版本的区别和更新内容。 在配置方面,《Windows PE权威指南》提供了丰富的教程和步骤,帮助读者理解和掌握如何创建和定制自己的Windows PE环境。这包括了Windows PE的启动方式、网络配置、硬件驱动的添加和更新,以及应用程序的集成等。 此外,《Windows PE权威指南》还介绍了Windows PE的应用场景和扩展性。读者可以了解如何利用Windows PE进行故障排除和修复、数据备份和恢复,以及安装和升级Windows操作系统等相关操作。 《Windows PE权威指南》不仅适用于系统管理员和IT专业人员,还适合对Windows系统有一定了解的个人用户。读者通过学习和实践,可以快速掌握Windows PE的用法,并在实际工作中提高工作效率和解决问题的能力。 总的来说,《Windows PE权威指南》是一本非常实用的技术指南,为读者提供了全面的Windows PE知识体系和实用的配置方法,帮助他们更好地使用和管理Windows PE环境。无论是初学者还是资深专家,都能从中获得丰富的经验和技巧,提升自己在Windows操作系统领域的专业水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值