Мне нужно включить аудит действий по удалению в определенной сетевой общей папке (и всех ее дочерних) на машине с Windows Server 2008 R2. Самое близкое, что я смог найти, была эта статья - http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/ но это относится к 2003 году.
В комментариях один человек отмечает, что EventID 560 и 564 не имеют отношения к Win 2003. Они предполагают, что для удаления в Win 2008 будет EventID 4656, но я не нашел ни одного из этих событий в моем журнале безопасности. Я включил аудит папки с помощью параметра вкладки безопасности после щелчка правой кнопкой мыши по папке. Другой комментарий в цитируемой ссылке предполагает, что аудит должен быть включен как в локальной файловой системе, так и на сервере, а также что групповые политики могут перезаписывать любые локальные политики.
Я попытался включить аудит в локальных политиках безопасности в разделе Локальные политики \ Аудит политики \ Аудит доступа к объекту, но кажется, что он удаляется каждый раз, когда я закрываю консоль политики. Я локальный администратор на сервере, но не администратор домена и немного застрял на этом этапе. Любые указатели будут в основном оценены.
Я знаю, что это старый вопрос, но у меня был тот же вопрос, и я так и не нашел ответа, поэтому, надеюсь, это поможет кому-то другому. В итоге я нашел событие удаления с идентификатором события: 4663. Вот пример:
An attempt was made to access an object.
Subject:
Security ID: xxx\administrator
Account Name: administrator
Account Domain: xxx
Logon ID: 0x64ba61
Object:
Object Server: Security
Object Type: File
Object Name: D:\xxx\New folder
Handle ID: 0xca8
Process Information:
Process ID: 0xc80
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000
Сначала настройте доступ к объекту аудита в групповой политике AD или на локальном объекте групповой политики сервера. Настройка находится в разделе «Конфигурация компьютера» -> «Параметры Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Политики аудита». Включите аудит успехов / сбоев для «Аудит доступа к объекту».
После этого настройте запись аудита для конкретной папки, которую вы хотите проверить. Щелкните правой кнопкой мыши папку -> Свойства -> Дополнительно. На вкладке аудита нажмите Добавить, затем введите пользователей / группы, которых вы хотите проверять, и действия, которые вы хотите проверять - полный контроль аудита будет создавать запись аудита каждый раз, когда кто-либо открывает / изменяет / закрывает / удаляет файл, или вы можно просто выполнить аудит для операций удаления.
После выполнения этих шагов любые удаления файлов будут отображаться в журнале безопасности файлового сервера: https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx
Включите корзину Active Directory на этом общем ресурсе и после аудита удаления изменений в Active Directory. (Пошаговое руководство по корзине Active Directory)
Использование механизма аудита
В Windows Server 2008 R2, как и в Windows Server 2008, вы можете использовать механизм аудита доменных служб Active Directory (AD DS) с политикой аудита изменений службы каталогов для регистрации старых и новых значений при внесении изменений в объекты Active Directory и их атрибуты. . Мы рекомендуем вам реализовать аудит в своей среде Active Directory, чтобы отслеживать все удаления объектов, время удаления объектов и имена учетных записей, которые выполняют эти удаления объектов. Дополнительные сведения см. В пошаговом руководстве по аудиту AD DS (http://go.microsoft.com/fwlink/?LinkID=125458).
Из; Приложение A. Дополнительные задачи корзины Active Directory
nb, для этого решения вы должны быть не просто локальным администратором.