如何審核 Windows Server 2008 r2 上的檔案和資料夾刪除

如何審核 Windows Server 2008 r2 上的檔案和資料夾刪除

我需要在 Windows Server 2008 r2 電腦上的特定網路共用資料夾(及其所有子資料夾)上啟用對刪除操作的審核。我能找到的最接近的是這篇文章 -http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/但這與2003年有關。

在評論中,有人指出 EventID 560 和 564 與 Win 2003 無關。右鍵單擊資料夾後,我透過安全性標籤選項啟用了對該資料夾的審核。引用的連結中的另一條評論表明,必須在本機檔案系統和伺服器上啟用審核,並且群組原則可以覆蓋任何本機原則。

我嘗試在本機原則\審核原則\審核物件存取下的本機安全性原則中啟用審核,但每次關閉策略控制台時它似乎都會被刪除。我是伺服器上的本機管理員,但不是網域管理員,此時有點卡住了。任何指示將不勝感激。

答案1

在審核 Active Directory 中的刪除變更後,在該共用上啟用 Active Directory 回收站。 (Active Directory 回收站逐步指南

使用審核機制

在Windows Server 2008 R2 中,與Windows Server 2008 中一樣,您可以將Active Directory 網域服務(AD DS) 審核機制與目錄服務變更審核原則結合使用,以便在對Active Directory 物件及其屬性進行變更時記錄舊值和新值。我們建議您在 Active Directory 環境中實施審核,以追蹤所有物件刪除、物件刪除時間以及執行這些物件刪除的帳戶名稱。有關詳細信息,請參閱 AD DS 審核逐步指南 (http://go.microsoft.com/fwlink/?LinkID=125458)。

從;附錄 A:其他 Active Directory 回收站任務

注意,您需要的不僅僅是該解決方案的本機管理員。

答案2

首先在 AD 群組原則或伺服器本機 GPO 中設定審核對象存取。設定位於電腦設定-->Windows 設定-->安全性設定-->本機原則-->審核原則。啟用「審核對象存取」的成功/失敗審核。

之後,在您要審核的特定資料夾上配置審核條目。右鍵點選該資料夾-->屬性-->進階。在審核選項卡中,按一下新增,然後輸入您想要審核的使用者/群組以及您想要審核的操作- 審核「完全控制」將在每次有人開啟/更改/關閉/刪除檔案時建立審核條目,或者您只能審核刪除操作。

執行這些步驟後,任何檔案刪除都會顯示在檔案伺服器的安全性日誌中:https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx

答案3

我知道這是一個老問題,但我也有同樣的問題,但從未找到答案,所以希望這對其他人有幫助。我最終找到了事件 ID 為 4663 的刪除事件。

An attempt was made to access an object.

Subject:
    Security ID:        xxx\administrator
    Account Name:       administrator
    Account Domain:     xxx
    Logon ID:       0x64ba61

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    D:\xxx\New folder
    Handle ID:  0xca8

Process Information:
    Process ID: 0xc80
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000

相關內容