共享网络驱动器的文件审计

共享网络驱动器的文件审计

大约一个月前,我们遭受了 Cryptolocker 的攻击,并且从未设置文件审核,因此无法识别它来自哪个用户。

我已进入管理工具 > 本地安全策略 > 本地策略 > 审核策略 > 并启用对象访问的成功和失败。

然后,我转到共享驱动器根文件夹的审核设置,并选择监视“域用户”的写入属性、删除和删除子文件夹和文件。

但事件日志中充斥着“详细文件共享”事件 5145,“已检查网络共享对象以查看是否可以授予客户端所需的访问权限”

我真的不需要看到这些事件,只是想跟踪文件是否被修改,以防我们再次受到 cryptolocker 攻击。我还需要做其他什么才能只获取这些类型的事件吗?

有没有比 Windows 事件日志更好的工具?

答案1

使用位于以下位置的旧式审核设置时:

Windows 设置 > 安全设置 > 本地策略 > 审核策略 > 对象访问,这非常粗略并且可能会产生很多噪音,具体取决于对象可能启用了审核。

如果将旧式审核设置为“未配置”,并启用位于以下位置的高级审核:

Windows 设置 > 安全设置 > 本地策略 > 高级审核策略配置 > 对象访问

您可以仅启用您需要的子类别,在本例中为文件系统。

然后,在文件系统上,仅启用顶层文件夹所需的审计类型:
在此处输入图片描述

相关内容