用“审核对象”功能记录文件删除记录
一、打开“审核对象访问”
运行gpmc.msc打开组策略管理,右键单击域控制器,新建一个“GPO并链接”,命名为“文件访问记录”(名字可随便自己取)。
在右侧“安全筛选”中添加要记录的组、用户。
右击刚添加的“文件访问记录”,选择“编辑”打开“组策略编辑器”,依次定位到“计算机配置→Windows设置→安全设置→本地策略→审核策略”,双击右侧的“审核对象访问”,勾选“定义这些策略设置”及“成功”项,“失败”项不需要打勾。
二、添加审核用户
右键单击需要审核的共享文件夹,选择“属性”,然后切换到“安全”标签,单击“高级”按钮,在新对话框中切换到“审核”标签,添加要审核的用户、组,在“审核项目”中勾选和删除相关的项目。
到指定共享目录中,使用受审核记录的用户删除一个文件,这时在系统的安全日志中就会有ID为560的事件了。
在“描述”中向下滚动可以看到特权是“DELETE”,也就是删除了。
至此我们的目的就已经达到了,可以记录文件被删除的事件。虽然通过审核功能还可以审核文件被复制、打开等众多事件,但不建议审核所有事件,否则事件日志将会增长飞快,而只记录“删除”相关的记录则会好得多,但缺点就是不能得到详细的访问记录了。
如果内部管制很严的话,就不建议采用这种共享映射的方式来访问、存储文件,可以采用FTP的方式,当然如果预算允许的话,采购专用的NAS存储设备也是个不错的选择,因为专门针对网络存储而设计,一般在权限以及访问日志的记录方面非常详细。
1096
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
