我需要为 Windows 7-10 工作站实施文件/文件夹审核,以便记录域管理员成员的所有访问(读取、写入/修改、创建、删除)。
我已在组策略中启用“审核对象访问”,并且它已生效(rsop.msc):
然后我设置测试文件夹的审核属性:
右键单击文件夹 > 属性 > 安全 > 高级 > 审核选项卡 > 单击继续 > 添加 > 域管理员 > 选中所有成功和失败:
我在安全事件日志中看到一些有关上述审核属性设置的条目(例如“对象的审核设置已更改。”),但当我修改或删除该文件夹中的文件时,安全日志中不会生成任何事件。我还尝试在审核设置中使用“所有人”而不是“域管理员”,但这并没有什么不同。
上述测试针对 Windows 7 Pro x64 SP1(含所有更新)进行。
我遗漏了什么?如何才能使审计按预期进行?
-- 更新 1 ---
我刚刚使用不属于 AD 域成员的 Windows 7 和 Windows 10 计算机进行了测试,并且它非常有效!
这几乎就像“审计对象访问”没有生效(即使它在 rsop.msc 和“gpresult /z”中都显示为“成功,失败”)。
我需要在 GPO 中执行其他操作吗,或者什么原因导致其无法生效?
答案1
我终于找到了这篇文章中发生的事情:
一旦您开始应用高级审计配置策略,旧策略将被完全忽略。
我在 GPO 中使用高级审计配置,这使得旧的“审计对象访问”被忽略。
我改用高级审计配置进行对象访问审计,现在运行良好。
答案2
您首先需要打开审核,无论是本地策略还是域策略,并将其应用于要审核的机器。设置策略后,您需要对要审核的所有内容配置审核,然后开始将事件添加到事件日志中。
一旦完成,转到要监视的文件夹,右键单击并转到属性
单击安全选项卡 --> 高级 --> 审核选项卡 --> 编辑 --> 添加 --> 然后添加有权访问该文件夹的组 --> 选择要审核的事件并单击确定 --> 选择替换所有现有的可继承审核条目,以将审核应用于所有子文件夹和文件并单击确定
在 Windows 7 和 Windows Server 2008 R2 中,可以跟踪成功和失败的审核设置数量已增加到 53 个。本分步指南演示了在测试环境中设置高级 Windows 7 和 Windows Server 2008 R2 安全审核策略基础结构的过程。它还指导您完成配置一些代表性高级安全审核策略设置的过程:https://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx
此外,在预定的访问事件(如文件删除、访问被拒绝、读/写、特定用户或文件访问等)上获取自动电子邮件警报,然后您将从中获得帮助审计解决方案。
谢谢,