本教程将向您展示如何审核谁在运行Windows的计算机上删除了文件。
我们的教程将教您在运行Windows 2012的计算机上启用对象审核功能所需的所有步骤。
•域控制器正在运行Windows 2012 R2。
•域计算机正在运行Windows 7和Windows 10。
硬件清单:
以下部分介绍了用于创建此Windows教程的设备列表。
上面列出的每一件硬件都可以在亚马逊网站上找到。
Windows相关教程:
在此页面上,我们提供了与Windows相关的教程列表的快速访问。
教程 – 配置对象审核GPO
首先,我们需要为整个域启用对象审核功能。
在运行带有Active Directory的Windows 2012 R2的域控制器上执行了以下任务。
单击“开始”菜单,找到并打开“组策略管理”工具。
在“组策略管理”屏幕上,找到名为“组策略对象”的文件夹。
右键单击名为“默认域策略”的组策略对象,然后选择“编辑”选项。
在组策略编辑器屏幕上,您将看到用户配置和计算机配置。
我们只会更改计算机配置。
我们不需要更改任何用户配置。
在组策略编辑器屏幕上,展开“计算机配置”文件夹,然后找到以下项目。
•计算机配置>策略> Windows设置>安全设置>本地策略>审核策略
在右侧,将显示可用配置选项列表。
双击名为“Audit Object Access”的配置项。
启用以下安全设置:
•定义这些策略设置
•成功
•失败
要完成组策略创建,您需要关闭“组策略编辑器”窗口。
仅当您关闭组策略窗口时,系统才会保存您的配置。
教程 – 启用对象审核GPO
现在,我们需要在所需的文件和文件夹上启用对象审核功能。
在我们的示例中,我们将在名为TECHEXPERT的文件夹上启用对象审计。
首先,创建一个名为TECHEXPERT的文件夹。
其次,右键单击该文件夹,然后选择“属性”选项。
在“属性”屏幕上,访问“安全”选项卡,然后单击“高级”按钮。
在“高级安全性设置”屏幕上,访问“审核”选项卡,然后单击“添加”按钮。
在新屏幕上,单击“选择主体”选项。
输入名为Everyone的组,然后单击“确定”按钮。
执行以下配置:
•类型 – 全部
•适用于 – 此文件夹,子文件夹和文件
在“高级权限”区域中,单击“显示高级权限”选项。
在“高级权限”区域中,仅启用以下选项:
•删除子文件夹和文件。
•删除。
单击“确定”按钮关闭Windows。
单击“确定”按钮。
单击“确定”按钮。
重新启动计算机以启用对象审核组策略。
在我们的示例中,我们将对象审计启用到名为TECHEXPERT的文件夹。
您已完成所需的对象审核配置。
教程 – 谁删除了我的文件?
您已完成GPO的创建。
但是,您仍然需要了解如何发现谁删除了您的文件。
在我们的示例中,我们将向您展示检测谁删除文件所需的所有步骤。
首先,让我们在TECHEXPERT文件夹中创建一个名为TEST.TXT的文本文件。
现在,删除TEST.TXT文件。
打开Windows事件查看器应用程序。
在“事件查看器”屏幕上,展开“Windows日志”,然后选择“安全性”选项。
右键单击“安全日志”,然后选择“查找”选项。
输入已删除文件的名称,然后单击“查找”按钮。
您将找到一个事件查看器ID 4663,其中包含已删除文件的详细信息。
在我们的示例中,我们检测到管理员删除了TEST.TXT文件。
