Windows Server 2008 r2에서 파일 및 폴더 삭제를 감사하는 방법

Windows Server 2008 r2에서 파일 및 폴더 삭제를 감사하는 방법

Windows Server 2008 r2 시스템의 특정 네트워크 공유 폴더(및 모든 하위 폴더)에 대한 삭제 작업 감사를 활성화해야 합니다. 내가 찾을 수 있는 가장 가까운 것은 이 기사였습니다.http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/하지만 이는 2003년과 관련이 있다.

댓글에서 한 사람은 EventID의 560 및 564가 Win 2003과 관련이 없다고 지적했습니다. 그들은 Win 2008에서 삭제하면 EventID 4656이라고 제안했지만 보안 로그에서는 이러한 이벤트를 찾을 수 없습니다. 폴더를 마우스 오른쪽 버튼으로 클릭한 후 보안 탭 옵션을 통해 폴더에 대한 감사를 활성화했습니다. 인용된 링크의 또 다른 설명에는 로컬 파일 시스템과 서버 모두에서 감사를 활성화해야 하며 그룹 정책이 모든 로컬 정책을 덮어쓸 수 있다는 내용이 나와 있습니다.

로컬 정책\감사 정책\감사 개체 액세스 아래의 로컬 보안 정책에서 감사를 활성화하려고 했지만 정책 콘솔을 닫을 때마다 감사가 제거되는 것 같습니다. 저는 서버의 로컬 관리자이지만 도메인 관리자는 아니며 이 시점에서 약간의 문제가 있습니다. 모든 조언을 주시면 감사하겠습니다.

답변1

해당 공유에서 Active Directory 휴지통을 활성화하고 Active Directory에서 삭제 변경을 감사한 후에 활성화합니다. (Active Directory 휴지통 단계별 가이드)

감사 메커니즘 사용

Windows Server 2008 R2에서는 Windows Server 2008과 마찬가지로 디렉터리 서비스 변경 감사 정책과 함께 AD DS(Active Directory 도메인 서비스) 감사 메커니즘을 사용하여 Active Directory 개체 및 해당 특성이 변경될 때 이전 값과 새 값을 기록할 수 있습니다. . 모든 개체 삭제, 개체 삭제 시간 및 이러한 개체 삭제를 수행하는 계정 이름을 추적하려면 Active Directory 환경에서 감사를 구현하는 것이 좋습니다. 자세한 내용은 AD DS 감사 단계별 가이드(http://go.microsoft.com/fwlink/?LinkID=125458).

에서;부록 A: 추가 Active Directory 휴지통 작업

주의, 해당 솔루션에 대한 로컬 관리자 이상의 권한이 필요합니다.

답변2

먼저 AD 그룹 정책 또는 서버 로컬 GPO에서 감사 개체 액세스를 구성합니다. 설정은 컴퓨터 구성-->Windows 설정-->보안 설정-->로컬 정책-->감사 정책에 있습니다. "개체 액세스 감사"에 대한 성공/실패 감사를 활성화합니다.

그런 다음 감사하려는 특정 폴더에 감사 항목을 구성합니다. 폴더를 마우스 오른쪽 버튼으로 클릭 -> 속성 -> 고급을 클릭하세요. 감사 탭에서 추가를 클릭한 다음 감사할 사용자/그룹과 감사할 작업을 입력합니다. 모든 권한 감사는 누군가가 파일을 열거나/변경/닫거나/삭제할 때마다 감사 항목을 생성합니다. 삭제 작업만 감사할 수 있습니다.

이 단계를 수행하면 모든 파일 삭제 내용이 파일 서버의 보안 로그에 표시됩니다.https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx

답변3

나는 이것이 오래된 질문이라는 것을 알고 있지만 동일한 질문이 있었지만 답변을 찾지 못했으므로 이것이 다른 사람에게 도움이 되기를 바랍니다. 결국 이벤트 ID: 4663의 삭제 이벤트를 찾았습니다. 예는 다음과 같습니다.

An attempt was made to access an object.

Subject:
    Security ID:        xxx\administrator
    Account Name:       administrator
    Account Domain:     xxx
    Logon ID:       0x64ba61

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    D:\xxx\New folder
    Handle ID:  0xca8

Process Information:
    Process ID: 0xc80
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000

관련 정보