首先在“本地安全策略中启用“审核对象访问策略,为了准确定位,我们可以只对“成功事件进行记录 。然后定位到需要监控的文件夹,右键点击选择“属性,在“安全选项卡中单击“高级按钮,接着选择“审核选项卡单击“继续按钮,在打开的窗口中单击“添加按钮,输入要添加审核的用户帐户或用户组的名称 。然后在“审核项目面板中勾选需要监控的操作,包括创建文件/写入数据、删除等 。如果要监控用户的所有操作可以选择“完全控制 。最后单击“确定按钮,即可完成审核的设置 。(图4)
这样系统会将指定的事件记录在系统日志中,我们可以通过“时间查看器的“Windows 日志→“安全中查看到相关的记录 。当然,此时的事件记录是非常多的,我们可以通过“筛选器进行筛选 。右键点击左侧的“安全选择“筛选当前日志打开筛选窗口 。在“筛选器选项卡下进行筛选设置,因为我们要查看是拷贝的文件“事件来源选择就选择“Security-Auditing,“任务类别选择“文件系统,“事件ID输入“4656所示,然后“确定退出 。这时候,在“事件查看器右边列出的就是每一次读取数据的信息了 。双击每一项目可查看详细信息,注意带有 Object Type: File 的项目才是对文件的访问 。我们双击打开就可以看到hacker用户就fr文件夹进行的拷贝操作 。(图5)
总结:本文只以文件监控为例演示了Vista“审核功能在系统安全方面的应用,其实它的应用是非常广泛的 。不过,其使用方法类似,一般是先启用想要的“审核策略,然后通过“事件查看器进行查看 。当然,灵活应用“筛选器可以帮助我们快速定位到我们需要查看的项目 。
推荐阅读
- 我写的试用手记,供大家参考:)
- win8系统 uac怎么关闭及不影响Metro应用的方法介绍
- 新机用后感暨纪念老机
- Win8.1当前用户是受限用户 请用管理员账号登陆 的解决办法
- 华为mate40怎么开启智慧识屏
- 如何轻松修复损坏U盘
- 如何修改U盘使用权限?
- 820试用三款蓝牙耳机的心得
- 饺子馅的肉用什么肉
- 让Vista中的文件也可以按“笔画”排序