Windows Server 2008 r2에서 파일 및 폴더 삭제를 감사하는 방법

Question 1

해당 공유에서 Active Directory 휴지통을 활성화하고 Active Directory에서 삭제 변경을 감사한 후에 활성화합니다. (Active Directory 휴지통 단계별 가이드)

감사 메커니즘 사용

Windows Server 2008 R2에서는 Windows Server 2008과 마찬가지로 디렉터리 서비스 변경 감사 정책과 함께 AD DS(Active Directory 도메인 서비스) 감사 메커니즘을 사용하여 Active Directory 개체 및 해당 특성이 변경될 때 이전 값과 새 값을 기록할 수 있습니다. . 모든 개체 삭제, 개체 삭제 시간 및 이러한 개체 삭제를 수행하는 계정 이름을 추적하려면 Active Directory 환경에서 감사를 구현하는 것이 좋습니다. 자세한 내용은 AD DS 감사 단계별 가이드(http://go.microsoft.com/fwlink/?LinkID=125458).

에서;부록 A: 추가 Active Directory 휴지통 작업

주의, 해당 솔루션에 대한 로컬 관리자 이상의 권한이 필요합니다.

Answer

해당 공유에서 Active Directory 휴지통을 활성화하고 Active Directory에서 삭제 변경을 감사한 후에 활성화합니다. (Active Directory 휴지통 단계별 가이드)

감사 메커니즘 사용

Windows Server 2008 R2에서는 Windows Server 2008과 마찬가지로 디렉터리 서비스 변경 감사 정책과 함께 AD DS(Active Directory 도메인 서비스) 감사 메커니즘을 사용하여 Active Directory 개체 및 해당 특성이 변경될 때 이전 값과 새 값을 기록할 수 있습니다. . 모든 개체 삭제, 개체 삭제 시간 및 이러한 개체 삭제를 수행하는 계정 이름을 추적하려면 Active Directory 환경에서 감사를 구현하는 것이 좋습니다. 자세한 내용은 AD DS 감사 단계별 가이드(http://go.microsoft.com/fwlink/?LinkID=125458).

에서;부록 A: 추가 Active Directory 휴지통 작업

주의, 해당 솔루션에 대한 로컬 관리자 이상의 권한이 필요합니다.

Question 2

먼저 AD 그룹 정책 또는 서버 로컬 GPO에서 감사 개체 액세스를 구성합니다. 설정은 컴퓨터 구성-->Windows 설정-->보안 설정-->로컬 정책-->감사 정책에 있습니다. "개체 액세스 감사"에 대한 성공/실패 감사를 활성화합니다.

그런 다음 감사하려는 특정 폴더에 감사 항목을 구성합니다. 폴더를 마우스 오른쪽 버튼으로 클릭 -> 속성 -> 고급을 클릭하세요. 감사 탭에서 추가를 클릭한 다음 감사할 사용자/그룹과 감사할 작업을 입력합니다. 모든 권한 감사는 누군가가 파일을 열거나/변경/닫거나/삭제할 때마다 감사 항목을 생성합니다. 삭제 작업만 감사할 수 있습니다.

이 단계를 수행하면 모든 파일 삭제 내용이 파일 서버의 보안 로그에 표시됩니다.https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx

Answer

먼저 AD 그룹 정책 또는 서버 로컬 GPO에서 감사 개체 액세스를 구성합니다. 설정은 컴퓨터 구성-->Windows 설정-->보안 설정-->로컬 정책-->감사 정책에 있습니다. "개체 액세스 감사"에 대한 성공/실패 감사를 활성화합니다.

그런 다음 감사하려는 특정 폴더에 감사 항목을 구성합니다. 폴더를 마우스 오른쪽 버튼으로 클릭 -> 속성 -> 고급을 클릭하세요. 감사 탭에서 추가를 클릭한 다음 감사할 사용자/그룹과 감사할 작업을 입력합니다. 모든 권한 감사는 누군가가 파일을 열거나/변경/닫거나/삭제할 때마다 감사 항목을 생성합니다. 삭제 작업만 감사할 수 있습니다.

이 단계를 수행하면 모든 파일 삭제 내용이 파일 서버의 보안 로그에 표시됩니다.https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx

Question 3

나는 이것이 오래된 질문이라는 것을 알고 있지만 동일한 질문이 있었지만 답변을 찾지 못했으므로 이것이 다른 사람에게 도움이 되기를 바랍니다. 결국 이벤트 ID: 4663의 삭제 이벤트를 찾았습니다. 예는 다음과 같습니다.

An attempt was made to access an object.

Subject:
    Security ID:        xxx\administrator
    Account Name:       administrator
    Account Domain:     xxx
    Logon ID:       0x64ba61

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    D:\xxx\New folder
    Handle ID:  0xca8

Process Information:
    Process ID: 0xc80
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000

Answer

나는 이것이 오래된 질문이라는 것을 알고 있지만 동일한 질문이 있었지만 답변을 찾지 못했으므로 이것이 다른 사람에게 도움이 되기를 바랍니다. 결국 이벤트 ID: 4663의 삭제 이벤트를 찾았습니다. 예는 다음과 같습니다.

An attempt was made to access an object.

Subject:
    Security ID:        xxx\administrator
    Account Name:       administrator
    Account Domain:     xxx
    Logon ID:       0x64ba61

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    D:\xxx\New folder
    Handle ID:  0xca8

Process Information:
    Process ID: 0xc80
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000

Windows Server 2008 r2에서 파일 및 폴더 삭제를 감사하는 방법

답변1

답변2

답변3

관련 정보