大約一個月前,我們受到了 Cryptolocker 的攻擊,並且從未設定過檔案審核,因此無法識別它來自哪個使用者。
我已進入「管理工具」>「本機安全性原則」>「本機原則」>「審核原則」>,並啟用了「物件存取成功」和「失敗」。
然後,我轉到共用磁碟機根資料夾的審核設置,並選擇監視「網域使用者」的寫入屬性、刪除以及刪除子資料夾和檔案。
但事件日誌中充斥著“詳細文件共享”事件 5145,“已檢查網絡共享對像以查看是否可以授予客戶端所需的訪問權限”
我真的不需要查看這些事件,只想追蹤文件是否被修改,以防我們再次受到加密鎖的攻擊。我還需要做些什麼才能獲得此類事件嗎?
有沒有比 Windows 事件日誌做得更好的工具?
答案1
使用位於下列位置的舊審核設定時:
Windows 設定 > 安全性設定 > 本機原則 > 審核策略 > 物件訪問,這非常粗略,可能會產生大量噪音,具體取決於可能啟用審核的物件。
如果您將舊版審核設為“未配置”,並啟用位於下列位置的進階審核:
Windows 設定 > 安全性設定 > 本機原則 > 進階審核原則設定 > 物件訪問
您可以僅啟用所需的子類別,在本例中為檔案系統。
然後,在檔案系統上,僅啟用頂級資料夾所需的審核類型:
