使用安全审计可以及时发现设备是否受到未经授权的访问,包括发现已经实施的访问,因此建议您使用此功能。
具体操作是:
打开工具面板 → 管理 → 本地安全策略 → 扩展审计策略配置 → 对象访问权限 → 文件系统审计。启用文件系统的对成功和拒绝的审计。
之后启用对相应文件夹的审计:
打开共享文件夹属性 → 安全标签 → 高级 → 审计标签 → 更改 → 添加;
选择需对其进行审计的用户。选择“全部”,应用等级为“针对此文件夹和气子文件夹及文件;
指定需审计的操作:创建文件/补入数据、创建文件夹/补入数据、删除子文件夹和文件,或者只是删除。所有操作的审计都应启用对成功和拒绝的审计。
之后安全事件日志中就会出现对文件和文件夹的访问事件记录。
如果在已设置审计的系统中反病毒软件对文件系统发送的更改作出了反应,一定要记录下作出反应的时间,并与安全日志记录的事件进行比对。
可在Microsoft官网查看安全事件代码。
