大约一个月前,我们遭受了 Cryptolocker 的攻击,并且从未设置文件审核,因此无法识别它来自哪个用户。
我已进入管理工具 > 本地安全策略 > 本地策略 > 审核策略 > 并启用对象访问的成功和失败。
然后,我转到共享驱动器根文件夹的审核设置,并选择监视“域用户”的写入属性、删除和删除子文件夹和文件。
但事件日志中充斥着“详细文件共享”事件 5145,“已检查网络共享对象以查看是否可以授予客户端所需的访问权限”
我真的不需要看到这些事件,只是想跟踪文件是否被修改,以防我们再次受到 cryptolocker 攻击。我还需要做其他什么才能只获取这些类型的事件吗?
有没有比 Windows 事件日志更好的工具?
答案1
使用位于以下位置的旧式审核设置时:
Windows 设置 > 安全设置 > 本地策略 > 审核策略 > 对象访问,这非常粗略并且可能会产生很多噪音,具体取决于对象可能启用了审核。
如果将旧式审核设置为“未配置”,并启用位于以下位置的高级审核:
Windows 设置 > 安全设置 > 本地策略 > 高级审核策略配置 > 对象访问
您可以仅启用您需要的子类别,在本例中为文件系统。
然后,在文件系统上,仅启用顶层文件夹所需的审计类型: