Из этого туториала Вы узнаете, как проверять, кто удалил файл на компьютере под управлением Windows.

Наш учебник научит вас всем шагам, необходимым для включения функции аудита объектов на компьютере под управлением Windows 2012.

• Контроллер домена работает под управлением Windows 2012 R2.

• Доменные компьютеры работают под управлением Windows 7 и Windows 10.

Список оборудования:

В следующем разделе представлен список оборудования, использованного для создания этого учебника по Windows.

Все вышеперечисленное оборудование можно найти на сайте Amazon.

Windows Playlist:

На этой странице мы предлагаем быстрый доступ к списку видео, связанных с Windows.

Не забудьте подписаться на наш канал на YouTube FKIT.

Учебник по Windows:

На этой странице мы предлагаем быстрый доступ к списку учебных пособий, связанных с Windows.

Учебное пособие - настройка объекта аудита объектов групповой политики

Во-первых, нам нужно включить функцию аудита объектов для всего домена.

Следующие задачи были выполнены на контроллере домена под управлением Windows 2012 R2 с Active Directory.

Нажмите на меню Пуск, найдите и откройте инструмент управления групповой политикой.

На экране управления групповой политикой найдите папку с именем «Объекты групповой политики».

Щелкните правой кнопкой мыши объект групповой политики с именем Default Domain Policy и выберите опцию Edit.

Default Domain Policy

На экране редактора групповой политики вам будут представлены Конфигурации пользователя и Конфигурации компьютера.

Мы будем изменять только конфигурации компьютера.

Нам не нужно менять конфигурацию пользователя.

На экране редактора групповой политики разверните папку «Конфигурация компьютера» и найдите следующий элемент.

• Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита

GPO Audit Policy

Справа будет представлен список доступных опций конфигурации.

Windows 2012 audit deleted objects

Дважды щелкните элемент конфигурации с именем: Audit Object Access.

Включите следующие параметры безопасности:

• Определите эти параметры политики
• успех
• отказ

Audit Object Access Properties

Для завершения создания групповой политики необходимо закрыть окно редактора групповой политики.

Только когда вы закроете окно групповой политики, система сохранит вашу конфигурацию.

Учебник - Включение объекта аудита объектов групповой политики

Теперь нам нужно включить функцию аудита объектов для нужных файлов и папок.

В нашем примере мы собираемся включить аудит объекта в папке с именем TECHEXPERT.

Сначала создайте папку с именем TECHEXPERT.

Во-вторых, щелкните правой кнопкой мыши папку и выберите опцию «Свойства».

Windows Object Audit folder

На экране «Свойства» откройте вкладку «Безопасность» и нажмите кнопку «Дополнительно».

Windows audit deleted files- Security advanced

На экране «Дополнительные параметры безопасности» перейдите на вкладку «Аудит» и нажмите кнопку «Добавить».

Windows object add auditing

На новом экране нажмите на опцию Выбрать принципала.

Auditing entry file object

Введите группу с именем «Все» и нажмите кнопку «ОК».

Add group everyone

Выполните следующую конфигурацию:

• Тип - Все

• Относится к - эта папка, подпапки и файлы

Audit deleted files windows

В области «Дополнительные разрешения» выберите параметр «Показать дополнительные разрешения».

Windows Audit object basic permissions

В области «Расширенные права» включите только следующие параметры:

• Удалить подпапки и файлы.
• Удалять.

Windows audit deleted file and folders

Нажмите на кнопку ОК, чтобы закрыть Windows.

Нажмите на кнопку ОК.

Нажмите на кнопку ОК.

Перезагрузите компьютер, чтобы включить групповую политику аудита объектов.

В нашем примере мы включили аудит объекта в папку с именем TECHEXPERT.

Вы завершили необходимую настройку аудита объекта.

Учебник - Кто удалил мой файл?

Вы закончили создание объекта групповой политики.

Но вам все равно нужно узнать, как узнать, кто удалил ваши файлы.

В нашем примере мы покажем вам все шаги, необходимые для определения, кто удалил ваши файлы.

Сначала давайте создадим текстовый файл с именем TEST.TXT внутри папки TECHEXPERT.

Windows audit deleted file

Теперь удалите файл TEST.TXT.

Откройте приложение Windows Event Viewer.

На экране просмотра событий разверните Журналы Windows и выберите параметр Безопасность.

Event Viewer

Щелкните правой кнопкой мыши журнал безопасности и выберите параметр «Найти».

Введите имя удаленного файла и нажмите кнопку «Найти».

Windows log find deleted files

Вы найдете ID 4663 средства просмотра событий с подробной информацией об удаленном файле.

Windows who deleted my file

В нашем примере мы обнаружили, что файл TEST.TXT был удален администратором.