Что мне здесь не хватает? Я пытаюсь включить аудит файлов, чтобы видеть, кто удалил файл, через журналы безопасности в средстве просмотра событий. Я создал приведенную ниже групповую политику Конфигурация компьютера> Параметры Windows> Локальные политики / Политика аудита> Доступ к объекту аудита. Включено для успеха и неудачи. Флажок включен для политики. На вкладке делегирования учетная запись компьютера, для которой я пытаюсь настроить это, прочитала и применила выбранную политику. а также аутентифицированные пользователи.
В самой папке я включил аудит для «Все» для «Удалить подпапки и файлы», а также «Удалить». Для них установлены успехи и неудачи. gpresult показывает, что политика применяется, но не уверен, что это важно, но gpedit показывает, что политика не применяется.
Где еще это следует установить?
Сначала вам нужно будет включить аудит из локальных политик или политик домена и применить его к машине, которую вы хотите проверить. После того, как политика установлена, вам необходимо настроить аудит всего, что вы хотите проверять, и это начнет добавлять события в журнал событий.
GPEDIT:
Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Политика аудита -> Доступ к объекту аудита
Вы можете включить успех, потому что, если у них нет доступа для удаления, это приведет к сбою, поэтому вы не хотите отслеживать эти события.
Как только это будет на месте, перейдите в папку, которую вы хотите отслеживать, щелкните правой кнопкой мыши и перейдите в свойства
Щелкните вкладку «Безопасность» -> «Дополнительно» -> «Вкладка аудита» -> «Изменить» -> «Добавить» -> затем добавьте группу, имеющую доступ к этой папке -> выберите события, которые вы хотите проверить, и нажмите «ОК» -> Выберите Заменить все существующие наследуемые записи аудита, чтобы применить аудит ко всем подпапкам и файлам, и нажмите ОК.
Теперь вы проводите аудит этой папки. Вам нужно будет отслеживать журналы событий для определенных событий. Также получите помощь по ссылкам ниже:
Отслеживайте удаление файлов и изменение разрешений на файловом сервере Windows: https://community.spiceworks.com/how_to/123983-track-file-deletions-and-permission-changes-on-windows-file-server
Как включить аудит доступа к файлам и папкам в Windows Server 2008 и 2008 R2: https://community.spiceworks.com/how_to/122828-how-to-enable-file-and-folder-access-auditing-on-windows-server-2008-and-2008-r2
Надеюсь это поможет!
Когда используются устаревшие политики аудита, параметр групповой политики
«Параметры Windows> Параметры безопасности> Локальные политики> Параметры безопасности: Аудит: принудительно установить параметры подкатегории политики аудита»
должен быть отключен. По умолчанию, если не настроено, включено.
Также рекомендуется не смешивать устаревшие и расширенные параметры политики аудита.