우리는 한 달쯤 전에 Cryptolocker의 공격을 받았고 파일 감사를 설정한 적이 없었기 때문에 그것이 어떤 사용자에게서 왔는지 식별할 방법이 없었습니다.
관리 도구 > 로컬 보안 정책 > 로컬 정책 > 감사 정책 >으로 이동하여 개체 액세스에 대한 성공 및 실패를 활성화했습니다.
그런 다음 공유 드라이브의 루트 폴더에 대한 감사 설정으로 이동하여 쓰기 속성, 삭제 및 하위 폴더 및 파일 삭제에 대해 모니터링되는 "도메인 사용자"를 선택했습니다.
그러나 이벤트 로그에는 "세부 파일 공유" 이벤트 5145, "클라이언트에 원하는 액세스 권한이 부여될 수 있는지 확인하기 위해 네트워크 공유 개체가 확인되었습니다"로 가득 차 있습니다.
실제로 이러한 이벤트를 볼 필요는 없으며 암호화 잠금 장치에 다시 걸릴 경우를 대비하여 파일이 수정되었는지 추적하고 싶습니다. 그런 종류의 이벤트만 받으려면 다른 작업을 수행해야 합니까?
Windows 이벤트 로그보다 더 나은 작업을 수행하는 도구가 있습니까?
답변1
다음 위치에 있는 레거시 감사 설정을 사용하는 경우:
Windows 설정 > 보안 설정 > 로컬 정책 > 감사 정책 > 개체 액세스는 매우 대략적이고 많은 소음을 생성할 수 있으며 개체에 따라 감사가 활성화되어 있을 수 있습니다.
레거시 감사를 구성되지 않음으로 설정하고 다음 위치에서 고급 감사를 활성화하는 경우:
Windows 설정 > 보안 설정 > 로컬 정책 > 고급 감사 정책 구성 > 개체 액세스
필요한 하위 범주(이 경우 파일 시스템)만 활성화할 수 있습니다.
그런 다음 파일 시스템에서 최상위 폴더에 필요한 감사 유형만 활성화합니다.
