Chinaunix首页 | 论坛 | 博客
  • 博客访问: 5489247
  • 博文数量: 890
  • 博客积分: 12876
  • 博客等级: 上将
  • 技术积分: 10760
  • 用 户 组: 普通用户
  • 注册时间: 2004-10-04 14:18
个人简介

猝然临之而不惊,无故加之而不怒。

文章分类

全部博文(890)

文章存档

2016年(1)

2014年(18)

2013年(41)

2012年(48)

2011年(65)

2010年(84)

2009年(121)

2008年(101)

2007年(129)

2006年(95)

2005年(118)

2004年(69)

分类:

2007-07-06 10:09:12

所能达到的目的:
在系统日件查看器的安全性中记录所有删除过文件的用户的记录。
NTFS卷中审核了文件删除记录。
1 开启登陆审核
   用administrators组的用户身份登陆到桌面,点击开始菜单中的运行命令,输入gpedit.msc,打开组策略编辑器,在计算机配置-安全设置-本地策略-审核策略中的审核帐户登陆事件,双击出现的对话框中钩选成功和失败,即打开了审核用户登陆成功和失败的事件。
2记录NTFS分区中删除文件的记录
同1打开组策略中的算机配置-安全设置-本地策略-审核策略的审核对对像防问, 双击出现的对话框中钩选成功和失败,经过上面的设置,现在就可以设置文件和文件夹的审核了。(注须在NTFS的分区上,xp系统中去掉简单文件共享,否则NTFS分区中安全标签是隐藏了的)
比如说现在我们须对d:\客户资料的文件夹做审核。选取文件夹,打开属性,选择安性标签,再点高级,然后选审核,默认是没有审核项目的,点击添加,添加我们所要监视审核对像的用户及组,确定后打开的对话框中钩选取“删除”成功。然后再选取“将这些审核项目只应用到这个容器中的对像和/容器上”复选框。确定即可。查看记录时打开事件查看器安全性即可看到事件。
阅读(3200) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~