Windows数据安全（六）文件夹审核

上一篇讲到设置文件夹禁止删除，但是有部分仪器电脑比较娇气，不允许如此设置，一旦设置，它就罢工不干了。

对这种软件，我们只能曲线救国，既然不让设置禁止删除的权限，那就给他增加一个审计跟踪，我控制不了不让你删，但是你一旦删除，我让Windows全都记录下来。

Windows的功能非常强大，上次说到对权限的分配非常细致，本篇讲一下Windows的审计跟踪。主要分两步完成，一、开启文件夹的审核策略，二、开启Windows的审核策略。

一、开启文件夹的审核策略

还是以D:\TEST\hplc这个文件夹为例，在文件夹上点右键，或者进入文件夹后在空白处点右键，选择属性，打开属性窗口，切换到安全页面。

点高级进入文件夹的高级安全设置页面，选择审核页，点添加按钮。

选择主体

输入everyone，就是说这个设置是对所有人生效的。

回到审核页面，主体已经变成了everyone，类型默认为成功，就是说用户执行动作成功时，Windows才会做审计跟踪。

然后点显示所有权限，将两个删除权限勾选，其他权限全都取消勾选。

至此，对该文件夹的审核策略设置完成。

二、开启Windows审核策略

管理员身份，使用WIN+R打开运行窗口

输入gpedit.msc打开组策略编辑器

在组策略编辑器中依次点击计算机配置--Windows设置--安全设置--本地策略--审核策略，双击右侧的审核对象访问

在审核对象访问属性页面，选择“成功”，就是说对对象的访问成功后才进行审计跟踪。确定返回。

至此，设置完成。

测试一下，我们到D:\TEST\hplc中把新建文本文档删除，然后在计算机（我的电脑/此电脑）上点右键，选择管理，在打开的计算机管理中选择事件查看器。（或者直接WIN+R运行“eventvwr”命令打开事件查看器）

依次点击Windows日志--安全

查看最近的日志，任务类别为File System，事件ID找4656或4663，

点击该条信息后，查看下面的常规信息，发现帐户名：zhang，对象名为“D:\TEST\hplc\新建文本文档.text”，访问：DELETE，关键字：审核成功。

也可以在安全日志中直接筛选，点击右侧的“筛选当前日志”，

在弹出筛选框中的ID处填写4663

在筛选结果中选择任务类别为File System查看。

以上就是Windows文件夹审核策略的设置，希望能有所帮助。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。