Denne opplæringen vil vise deg hvordan du overvåker hvem som slettet en fil på en datamaskin som kjører Windows.

Vår opplæring vil lære deg alle trinnene som kreves for å aktivere objektrevisjonsfunksjonen på en datamaskin som kjører Windows 2012.

• Domenekontrolleren kjører Windows 2012 R2.

• Domenedatamaskinene kjører Windows 7 og Windows 10.

Maskinvareliste:

Følgende del viser listen over utstyr som brukes til å opprette denne Windows-opplæringen.

Hver del av maskinvaren som er nevnt ovenfor, finner du på Amazons nettside.

Windows-spilleliste:

På denne siden tilbyr vi rask tilgang til en liste over videoer relatert til Windows.

Ikke glem å abonnere på vår youtube kanal som heter FKIT.

Windows Relatert Tutorial:

På denne siden tilbyr vi rask tilgang til en liste over tutorials knyttet til Windows.

Opplæring – Konfigurere gruppepolicyobjektet for objektrevisjon

Først må vi aktivere objektrevisjonsfunksjonen for hele domenet.

Følgende oppgaver ble utført på en domenekontroller som kjører Windows 2012 R2 med Active Directory.

Klikk på Start-menyen, finn og åpne verktøyet Gruppepolicybehandling.

Windows 2012 - Group Policy Management

Finn mappen med navnet Gruppepolicyobjekter i skjermbildet Gruppepolicybehandling.

Høyreklikk gruppepolicyobjektet med navnet Standard domenepolicy, og velg alternativet Rediger.

Default Domain Policy

På skjermbildet redigeringsprogram for gruppepolicy vil du bli presentert for brukerkonfigurasjoner og datamaskinkonfigurasjoner.

Vi vil bare endre datamaskinkonfigurasjonene.

Vi trenger ikke å endre noen brukerkonfigurasjon.

Utvid datamaskinkonfigurasjonsmappen på skjermbildet redigeringsprogram for gruppepolicy, og finn følgende element.

• Policyer for > > datamaskinkonfigurasjon > Windows-innstillinger Sikkerhetsinnstillinger > Lokale policyer > Overvåkingspolicy

GPO Audit Policy

Til høyre vises listen over tilgjengelige konfigurasjonsalternativer.

Windows 2012 audit deleted objects

Dobbeltklikk konfigurasjonselementet med navnet: Auditer objekttilgang.

Aktiver følgende sikkerhetsinnstillinger:

• Definere disse policyinnstillingene
• Suksess
• Feil

Audit Object Access Properties

For å fullføre opprettingen av gruppepolicy må du lukke vinduet Redigeringsprogram for gruppepolicy.

Først når du lukker gruppepolicyvinduet, lagrer systemet konfigurasjonen.

Opplæring – Aktiver gruppepolicyobjektet for objektrevisjon

Nå må vi aktivere objektrevisjonsfunksjonen på de ønskede filene og mappene.

I vårt eksempel skal vi aktivere objektrevisjonen på en mappe som heter TECHEXPERT.

Først oppretter du en mappe med navnet TECHEXPERT.

For det andre høyreklikker du på mappen og velger Egenskaper-alternativet.

Windows Object Audit folder

Åpne kategorien Sikkerhet i kategorien Egenskaper, og klikk på Avansert-knappen.

Windows audit deleted files- Security advanced

I skjermbildet Avanserte sikkerhetsinnstillinger åpner du kategorien Sporing av endringer og klikker på Legg til-knappen.

Windows object add auditing

Klikk på alternativet Velg en hovedstol på den nye skjermen.

Auditing entry file object

Skriv inn gruppen som heter Alle og klikk på Ok knapp.

Add group everyone

Utfør følgende konfigurasjon:

• Type – Alle

• Gjelder for – Denne mappen, undermapper og filer

Audit deleted files windows

Klikk alternativet Vis avanserte tillatelser i området Avanserte tillatelser.

Aktiver bare følgende alternativer i området Avansert tillatelse:

• Slett undermapper og filer.
• Slett.

Windows audit deleted file and folders

Klikk på Ok-knappen for å lukke Windows.

Klikk på Ok-knappen.

Klikk på Ok-knappen.

Start datamaskinen på nytt for å aktivere gruppepolicyen objektrevisjon.

I vårt eksempel aktiverte vi objektrevisjonen til en mappe med navnet TECHEXPERT.

Du har fullført den nødvendige objektrevisjonskonfigurasjonen.

Tutorial – Hvem slettet filen min?

Du er ferdig med opprettelsen av Gruppepolicyobjektet.

Men du må fortsatt lære hvordan du oppdager hvem som slettet filene dine.

I vårt eksempel skal vi vise deg alle trinnene som kreves for å finne ut hvem som har slettet filene dine.

La oss først opprette en tekstfil med navnet TEST. TXT i TECHEXPERT-mappen.

Windows audit deleted file

Nå sletter du TESTEN. TXT-fil.

Åpne Windows Event Viewer-programmet.

Utvid Windows-loggene på hendelseslisteskjermen, og velg alternativet Sikkerhet.

Event Viewer

Høyreklikk på sikkerhetsloggen og velg Finn alternativet.

Skriv inn navnet på den slettede filen og klikk på Søk-knappen.

Windows log find deleted files

Du finner en hendelsesviser-ID 4663 med detaljene for den slettede filen.

Windows who deleted my file

I vårt eksempel oppdaget vi at TESTEN. TXT-filen ble slettet av administratoren.