開啟稽核,監視檔案的刪除動作

鈴鈴鈴鈴鈴~~~

員工:資訊部嗎?

我:是!!

員工:ㄟ~為甚麼我暫存區的檔案又被人家刪除了?

我:…………..(OS.暫存區不是就是給人家砍檔用的地方嗎XD)

我想很多的網管人員應該都有這樣的體驗吧,儘管已經努力將權限設到最小,但還是常常有使用者來抱怨,暫存區的檔案被別人刪除了!但是「暫存」的意思就是暫時存一下下,放了N天,本來就很容易不見!

為了找出幫我們省硬碟空間的好人,只好決定要來稽核公用資料夾中的檔案刪除動作。

首先,我們要開始稽核原則:

  1. 由左下角的「開始」→「程式集」→「系統管理工具」,開啟「本機安全性原則」或「預設網域控制站安全性設定」。
  2. 雙擊「Windows 設定」,依序展開「安全性設定」→「本機原則」→「稽核原則」。
  3. 於右側欄雙擊「稽核物件存取」。
  4. 勾選「安全性原則設定」標籤中的「成功」。

經過以上的設定,這台電腦 (伺服器) 就已經有了基本的物件存取稽核的能力,接下來,我們再替需要監視的資料夾開啟稽核功能!

  1. 於計劃監視的資料夾上按右鍵,選擇「內容」。
  2. 切換至「安全性」標籤,點按「進階」按鈕。
  3. 切換至「」標籤,點按「新增」按鈕。
  4. 選擇欲稽核的使用者或群組,勾選「刪除子資料夾及檔案」和「刪除」,及「成功」或「失敗」時記錄。

由這一刻起,這個資料夾就會受到稽核監視,被稽核的使用者 (群組) 若刪除資料夾或檔案時,就會被記錄在「事件」中:

  1. 開啟「電腦管理」,切換至「系統工具」→「事件檢視器」→「安全性」。
  2. 點選相關的事件,就可以看到以下內容。

下回再有使用者亂刪除別人的檔案時,我們就可以由事件中去查看,到底是誰幹的好事了!

附帶一提的!可以想像公用存取的資料夾若是位在伺服器上,每天就可能有上百筆關于于檔案存取的安全性事件記錄!所以,記得一定要去設定「記錄檔大小」的限制!不然,可能會一路澎脹到佔滿一整個磁碟!

  1. 開啟「電腦管理」,切換至「系統工具」→「事件檢視器」。
  2. 於左側的「安全性」上,按滑鼠右鍵,選擇「內容」。
鈴鈴鈴鈴鈴
標籤: , , , ,

0 Comments



快來搶頭香留言吧!! XD

發表您的評論

You must be logged in to post a comment.

Weboy
WordPress Themes