Windows开启审核功能来记录文件删除操作

  • A+
所属分类:Windows

问题描述:

Windows机器上某些文件被异常删除,打包。怀疑入侵。如何排查。

 

问题解决:

1、 配置组策略

开始菜单选择“运行”打开“组策略编辑器”

Windows开启审核功能来记录文件删除操作

依次定位到【计算机配置】--【Windows设置】--【安全设置】--【高级审核策略配置】--【系统审核策略】--【对象访问】,双击右侧的【审核文件系统】,勾选【定义这些策略设置】及【成功】项,【失败】项不需要打勾。

Windows开启审核功能来记录文件删除操作

2、 添加审核目录

右键单击需要审核的文件夹,选择【属性】,然后切换到【安全】标签,单击【高级】按钮,在新对话框中切换到【审核】标签,添加要审核的用户、组,在【审核项目】中勾选和删除相关的项目。 需要审核everyone对于该文件夹和子文件夹的删除动作,

例如,在测试环境中的C:\tmp配置如下:

右键单击目录C:\tmp,选择【安全】->【高级】,选择【审核】,而后添加,针对主体【everyone】, 审核高级权限中的【删除子文件夹及文件】,【删除】2条

Windows开启审核功能来记录文件删除操作

此外,增加安全日志的大小,在事件查看器中,右键单击安全,将日志大小设置为120512KB

Windows开启审核功能来记录文件删除操作

3、 测试,删除C:\tmp\testfile.txt, 随后在安全日志找到事件ID为4646的记录如下,显示administrator用户通过explorer.exe进行了操作。

admin
阿里云短信服务个人企业验证码系统&营销短信企业营销通用套餐
网站建设/快速仿站/千套模板/配阿里云空间/云·速成美站
阿里云云服务器ECS-全民云计算/通用版/入门级/个人建站
安全 ssl证书https 网站可信 防劫 防篡改防监听快速签发GeoTrust

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: