我需要在 Windows Server 2008 r2 计算机上启用对特定网络共享文件夹(及其所有子文件夹)的删除操作的审核。我能找到的最接近的是这篇文章 -http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/但它与 2003 年有关。
在评论中,有人指出 EventID 560 和 564 与 Win 2003 无关。他们认为 Win 2008 上的删除是 EventID 4656,但我在安全日志中找不到任何这些事件。右键单击文件夹后,我通过“安全”选项卡选项启用了文件夹审核。引用链接中的另一条评论建议必须在本地文件系统和服务器上启用审核,并且组策略可以覆盖任何本地策略。
我尝试在“本地安全策略”下的“本地策略\审核策略\审核对象访问”中启用审核,但每次关闭策略控制台时,审核似乎都会被删除。我是服务器上的本地管理员,但不是域管理员,目前有点卡住了。任何指示都将不胜感激。
答案1
在该共享上启用 Active Directory 回收站,然后在审核后删除 Active Directory 中的更改。(Active Directory 回收站分步指南)
使用审计机制
在 Windows Server 2008 R2 中,与在 Windows Server 2008 中一样,你可以使用 Active Directory 域服务 (AD DS) 审核机制和目录服务更改审核策略来记录对 Active Directory 对象及其属性进行更改时的旧值和新值。我们建议你在 Active Directory 环境中实施审核,以跟踪所有对象删除、对象删除时间以及执行这些对象删除的帐户名称。有关详细信息,请参阅 AD DS 审核分步指南 (http://go.microsoft.com/fwlink/?LinkID=125458)。
从;附录 A:其他 Active Directory 回收站任务
注意,您需要成为该解决方案的本地管理员以上级别。
答案2
首先在 AD 组策略或服务器本地 GPO 中配置审核对象访问。设置位于计算机配置-->Windows 设置-->安全设置-->本地策略-->审核策略下。为“审核对象访问”启用成功/失败审核。
之后,在您想要审核的特定文件夹上配置审核条目。右键单击文件夹-->属性-->高级。从审核选项卡中,单击添加,然后输入您想要审核的用户/组以及您想要审核的操作 - 审核完全控制将在每次有人打开/更改/关闭/删除文件时创建一个审核条目,或者您可以只审核删除操作。
完成这些步骤后,任何文件删除都会显示在文件服务器的安全日志中:https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx
答案3
我知道这是一个老问题,但我也有同样的问题,但一直找不到答案,所以希望这能帮助别人。我最终找到了事件 ID 为 4663 的删除事件。以下是一个例子:
An attempt was made to access an object.
Subject:
Security ID: xxx\administrator
Account Name: administrator
Account Domain: xxx
Logon ID: 0x64ba61
Object:
Object Server: Security
Object Type: File
Object Name: D:\xxx\New folder
Handle ID: 0xca8
Process Information:
Process ID: 0xc80
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000