紀錄網路芳鄰共享的檔案被誰刪除

又遇到檔案被刪除怪東怪西，行為模式明明就是手動刪除，找出以前的舊文章，重做

2010年09月03日 星期五

[資訊] 共享目錄的行為監控

遇到某個完全控制的共享目錄裡面資料被刪除，好加在我每六小時同步到另外的hd才能救回
一直在想如何保護自己，原本用的 ShareWatch、ShareWatcher 只能監控誰開啟檔案而已
網路上查到這篇：server文件的管理 - iT邦幫忙::IT知識分享社群
可以靠著稽核物件存取來處理

再事件檢視簿->安全性->出現了物件存取
詳細的物件存取存取內容
--------------------------------------- 分隔線 ---------------------------------------
事件類型: 稽核成功
事件來源: Security
事件類別目錄: 物件存取
事件識別碼: 560
日期: 2010/9/3
時間: 下午 03:20:01
使用者: FILE\smalla
電腦: FILE
描述:
物件開啟:
　物件伺服器: Security
　物件類型: File
　物件名稱: D:\DFSRoots\share\測試文件.txt
　處理識別碼: 3900
　操作識別碼: {0,16162768}
　程序識別碼: 4
　影像檔案名稱:
　主要使用者名稱: FILE$
　主網域: WORKGROUP
　主要登入識別碼: (0x0,0x3E7)
　用戶端使用者名稱: smalla
　用戶端網域: FILE
　用戶端登入識別碼: (0x0,0xF66BCD)
　存取: DELETE
　　　ReadAttributes

　特權: -
　限制的 Sid 數目: 0
　存取遮罩: 0x10080
--------------------------------------- 分隔線 ---------------------------------------
很明顯看到使用者DELETE

設定方式

群組原則物件編輯器->本機電腦->電腦原則->Windows 設定->安全性設定->本機原則->稽核原則->稽核物件存取->成功

安全性->進階->稽核->需要稽核的人(群組)跟行為

這兩個步驟就好了，但是物件存取實在太多了，要看也挺麻煩的

由 smalla 於 2010年09月03日 下午03時31分 所發表 | O