1、打开本地安全策略
在“管理工具”中打开“本地安全策略”。
2、启用审核对象访问策略。
在“本地安全策略”中,单击“本地策略”,然后单击“审核策略”。所有本地安全策略的列表将显示在右窗格中。
在策略列表中,双击“审核对象访问”以打开“属性”窗口。
选中“成功”和“失败”复选框。单击“应用”和“确定”。
3、跟踪权限更改
接下来,找到需要跟踪其权限更改的文件夹。右键单击它,选择“属性”。在“属性”窗口中,切换到“安全选项卡”。
单击“高级”以访问高级设置
4、添加新的审核项目
在“高级安全设置”中,转到“审核”选项卡。
单击“添加”以添加新的“审核项目”。
在此对话框中输入以下信息:
主体:单击“选择主体”链接以选择要审核的用户。您也可以选择“所有人”,在文本框中键入“everyone”,然后单击“检查”
点击“确定”。它将带您回到“审核项目”窗口。
类型:在“类型”下拉菜单中,根据需要选择“成功”、“失败”或“全部”。建议审核“所有”更改。
应用于:选择“此文件夹、子文件夹和文件”以将此审核应用于所选文件夹中的所有文件和文件夹。
基本权限:选择要审核的权限。
添加条件:单击“添加条件”以缩小审核范围,这可确保要搜索的事件日志有限。如果需要,可以添加多个条件。
单击“确定”关闭窗口。
单击“应用”和“确定”以关闭“高级安全设置...”窗。单击“确定”关闭文件夹的“属性”。
5、在事件查看器中查看更改
启用审核后,只要检测到该文件夹的权限更改,事件就会记录在系统中。要查看日志,请转到“控制面板”→“管理工具”→“事件查看器”。现在打开事件日志并转到“Windows日志”,然后选择“安全”。此类别中的所有事件都显示在中间窗格中。
6、搜索事件 ID 4670
在右侧,选择“筛选当前日志...”选择。通过此选项,您可以轻松添加筛选器,以从文件服务器上的所有日志中查找特定事件日志。搜索与对象权限更改对应的事件 ID 4670。
找到事件后,双击任何事件以在“事件属性”窗口中查看其属性。在这里,您可以找到与事件相关的所有详细信息。
如图所示,test.txt被explorer.exe修改了权限。
