問題描述:
windows機器上某些文件被異常刪除,打包。懷疑入侵。如何排查。?
問題解決:
1、 配置組策略?
開始菜單選擇“運行”打開“組策略刪除”
依次定位到【計算機配置】–【Windows設置】–【刪除設置】–【高級刪除策略配置】–【系統審核策略】–【刪除訪問】,雙擊右側的【審核刪除】,勾選【定義這些策略設置】及【成功】項,【失敗】項不需要打勾。
?
?2、 添加審核目錄?
右鍵單擊需要審核的文件夾,選擇【刪除】,然后切換到【安全】標簽,單擊【高級】刪除,在新對話框中切換到【審核】標簽,添加要審核的用戶、組,在【審核項目】中勾選和刪除相關的項目。 需要審核everyone對于該文件夾和子文件夾的刪除動作,
例如,在測試環境中的C:tmp配置如下:?
右鍵單擊目錄C:tmp,選擇【安全】->【高級】,選擇【審核】,而后添加,針對主體【everyone】, 審核高級權限中的【刪除子文件夾及文件】,【刪除】2條?
??此外,增加安全日志的大小,在刪除查看器中,右鍵單擊安全,將日志大小設置為120512KB?
??3、 測試,刪除C:tmptest刪除.txt, 隨后在安全日志找到事件ID為4646的記錄如下,顯示administrator用戶通過explorer.exe進行了操作。?
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
