用“审核对象”功能记录文件删除记录
一、打开“审核对象访问”
运行gpmc.msc打开组策略管理,右键单击域控制器,新建一个“GPO并链接”,命名为“文件访问记录”(名字可随便自己取)。
在右侧“安全筛选”中添加要记录的组、用户。
![用“审核对象”功能记录文件删除记录_文件删除记录](https://img-blog.csdnimg.cn/478fd641e79b4bba9b3c7ffc843efbe2.png)
右击刚添加的“文件访问记录”,选择“编辑”打开“组策略编辑器”,依次定位到“计算机配置→Windows设置→安全设置→本地策略→审核策略”,双击右侧的“审核对象访问”,勾选“定义这些策略设置”及“成功”项,“失败”项不需要打勾。
![用“审核对象”功能记录文件删除记录_Server_02](https://img-blog.csdnimg.cn/5dc5b05105ad4c668fbdc72f9dbb4fb4.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAenp6enp6Lg==,size_15,color_FFFFFF,t_70,g_se,x_16)
二、添加审核用户
右键单击需要审核的共享文件夹,选择“属性”,然后切换到“安全”标签,单击“高级”按钮,在新对话框中切换到“审核”标签,添加要审核的用户、组,在“审核项目”中勾选和删除相关的项目。
![用“审核对象”功能记录文件删除记录_休闲_03](https://img-blog.csdnimg.cn/e9d05864b5054f1e81ff53e202f4a882.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAenp6enp6Lg==,size_20,color_FFFFFF,t_70,g_se,x_16)
到指定共享目录中,使用受审核记录的用户删除一个文件,这时在系统的安全日志中就会有ID为560的事件了。
![用“审核对象”功能记录文件删除记录_职场_04](https://img-blog.csdnimg.cn/5b021eeee90d4b62923d6f987127482e.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAenp6enp6Lg==,size_14,color_FFFFFF,t_70,g_se,x_16)
在“描述”中向下滚动可以看到特权是“DELETE”,也就是删除了。
![用“审核对象”功能记录文件删除记录_职场_05](https://img-blog.csdnimg.cn/18daf9108b574a0ba9685ff5af023da4.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAenp6enp6Lg==,size_14,color_FFFFFF,t_70,g_se,x_16)
至此我们的目的就已经达到了,可以记录文件被删除的事件。虽然通过审核功能还可以审核文件被复制、打开等众多事件,但不建议审核所有事件,否则事件日志将会增长飞快,而只记录“删除”相关的记录则会好得多,但缺点就是不能得到详细的访问记录了。
如果内部管制很严的话,就不建议采用这种共享映射的方式来访问、存储文件,可以采用FTP的方式,当然如果预算允许的话,采购专用的NAS存储设备也是个不错的选择,因为专门针对网络存储而设计,一般在权限以及访问日志的记录方面非常详细。