用“稽核物件”功能記錄檔案刪除記錄

weixin_33766168發表於2017-11-07
物件
 中小企業用Windows Server作為伺服器系統應該還是佔絕大多數的,而共享資料夾對映為網路驅動器供員工訪問、儲存資料也是最普遍的應用之一。
        凡事有利有弊,這個對立面是永遠存在的,檔案共享訪問同樣也存在這樣的問題。雖然可以通過NTFS的許可權以及在域裡面為使用者分組進行許可權的管控,但很難做到對每一個獨立使用者的許可權管控,因此在實際應用中就總有這樣那樣的問題,比如某個檔案又被某個不知名的人刪除了。到最後大家都推脫責任,因為某個資料夾是某些人共同擁有許可權的,所以即便知道是哪些人中的某人刪除了檔案,但你無法知道是具體的人。
        雖然刪除的檔案可以通過Shadow Copy或其他備份手段找回,但畢竟麻煩,如果能讓系統記錄這一事件就比較好了,有系統記錄就推脫不了了,按以下幾步操作即可實現對共享目錄中的檔案刪除事件的記錄。
        一、開啟“稽核物件訪問”
       執行gpmc.msc開啟組策略管理,右鍵單擊域控制器,新建一個“GPO並連結”,命名為“檔案訪問記錄”(名字可隨便自己取)。
       在右側“安全篩選”中新增要記錄的組、使用者。
        右擊剛新增的“檔案訪問記錄”,選擇“編輯”開啟“組策略編輯器”,依次定位到“計算機配置→Windows設定→安全設定→本地策略→稽核策略”,雙擊右側的“稽核物件訪問”,勾選“定義這些策略設定”及“成功”項,“失敗”項不需要打勾。
        二、新增稽核使用者
        右鍵單擊需要稽核的共享資料夾,選擇“屬性”,然後切換到“安全”標籤,單擊“高階”按鈕,在新對話方塊中切換到“稽核”標籤,新增要稽核的使用者、組,在“稽核專案”中勾選和刪除相關的專案。
        到指定共享目錄中,使用受稽核記錄的使用者刪除一個檔案,這時在系統的安全日誌中就會有ID為560的事件了。
        在“描述”中向下滾動可以看到特權是“DELETE”,也就是刪除了。
        至此我們的目的就已經達到了,可以記錄檔案被刪除的事件。雖然通過稽核功能還可以稽核檔案被複制、開啟等眾多事件,但不建議稽核所有事件,否則事件日誌將會增長飛快,而只記錄“刪除”相關的記錄則會好得多,但缺點就是不能得到詳細的訪問記錄了。
        如果內部管制很嚴的話,就不建議採用這種共享對映的方式來訪問、儲存檔案,可以採用FTP的方式,當然如果預算允許的話,採購專用的NAS儲存裝置也是個不錯的選擇,因為專門針對網路儲存而設計,一般在許可權以及訪問日誌的記錄方面非常詳細。





     本文轉自windyli 51CTO部落格,原文連結:http://blog.51cto.com/windyli/292287,如需轉載請自行聯絡原作者




相關文章