文件监控在现实环境中非常实用 , 比如管理员设置了一个共享文件夹 , 但被人改得面目全非 , 我们就可以通过文件夹监控来确定到底是哪些用户对文件夹进行了操作 , 然后进一步确定是哪个用户做的 。需要说明的是 , 文件或者文件夹的监控是基于NTFS文件系统 , 所以分区格式必须是这种格式 。
首先在“本地安全策略”中启用“审核对象访问”策略 , 为了准确定位 , 我们可以只对“成功”事件进行记录 。然后定位到需要监控的文件夹 , 右键点击选择“属性” , 在“安全”选项卡中单击“高级”按钮 , 接着选择“审核”选项卡单击“继续”按钮 , 在打开的窗口中单击“添加”按钮 , 输入要添加审核的用户帐户或用户组的名称 。然后在“审核项目”面板中勾选需要监控的操作 , 包括创建文件/写入数据、删除等 。如果要监控用户的所有操作可以选择“完全控制” 。最后单击“确定”按钮 , 即可完成审核的设置 。
这样系统会将指定的事件记录在系统日志中 , 我们可以通过“时间查看器”的“Windows 日志”→“安全”中查看到相关的记录 。当然 , 此时的事件记录是非常多的 , 我们可以通过“筛选器”进行筛选 。右键点击左侧的“安全”选择“筛选当前日志”打开筛选窗口 。在“筛选器”选项卡下进行筛选设置 , 因为我们要查看是拷贝的文件“事件来源选择”就选择“Security-Auditing” , “任务类别”选择“文件系统” , “事件ID”输入“4656”所示 , 然后“确定”退出 。这时候 , 在“事件查看器”右边列出的就是每一次读取数据的信息了 。双击每一项目可查看详细信息 , 注意带有 Object Type: File 的项目才是对文件的访问 。我们双击打开就可以看到hacker用户就fr文件夹进行的拷贝操作 。
推荐阅读
- Windows Vista文件也可以按“笔画”排序
- 彻底解决Windows Vista狂读硬盘 硬盘灯狂闪的问题
- Windows Vista SP2不能安装原因及解决方法
- Windows Vista系统EFS加密功能的妙用
- Windows Vista系统中的EFS加密解密及证书的备份
- 让32位Windows Vista系统完全利用4G内存
- 苹果12浮球开关在哪里
- Windows Vista常见问题及解决技巧
- Windows Vista操作系统安装常见的8个问题
- Vista与Server 2008 SP2 CPP 测试计划公布