文件監(jiān)控在現(xiàn)實環(huán)境中非常實用 ， 比如管理員設(shè)置了一個共享文件夾 ， 但被人改得面目全非 ， 我們就可以通過文件夾監(jiān)控來確定到底是哪些用戶對文件夾進行了操作 ， 然后進一步確定是哪個用戶做的 。需要說明的是 ， 文件或者文件夾的監(jiān)控是基于NTFS文件系統(tǒng) ， 所以分區(qū)格式必須是這種格式 。
首先在“本地安全策略”中啟用“審核對象訪問”策略 ， 為了準確定位 ， 我們可以只對“成功”事件進行記錄 。然后定位到需要監(jiān)控的文件夾 ， 右鍵點擊選擇“屬性” ， 在“安全”選項卡中單擊“高級”按鈕 ， 接著選擇“審核”選項卡單擊“繼續(xù)”按鈕 ， 在打開的窗口中單擊“添加”按鈕 ， 輸入要添加審核的用戶帳戶或用戶組的名稱 。然后在“審核項目”面板中勾選需要監(jiān)控的操作 ， 包括創(chuàng)建文件/寫入數(shù)據(jù)、刪除等 。如果要監(jiān)控用戶的所有操作可以選擇“完全控制” 。最后單擊“確定”按鈕 ， 即可完成審核的設(shè)置 。
這樣系統(tǒng)會將指定的事件記錄在系統(tǒng)日志中 ， 我們可以通過“時間查看器”的“Windows 日志”→“安全”中查看到相關(guān)的記錄 。當然 ， 此時的事件記錄是非常多的 ， 我們可以通過“篩選器”進行篩選 。右鍵點擊左側(cè)的“安全”選擇“篩選當前日志”打開篩選窗口 。在“篩選器”選項卡下進行篩選設(shè)置 ， 因為我們要查看是拷貝的文件“事件來源選擇”就選擇“Security-Auditing” ， “任務(wù)類別”選擇“文件系統(tǒng)” ， “事件ID”輸入“4656”所示 ， 然后“確定”退出 。這時候 ， 在“事件查看器”右邊列出的就是每一次讀取數(shù)據(jù)的信息了 。雙擊每一項目可查看詳細信息 ， 注意帶有 Object Type: File 的項目才是對文件的訪問 。我們雙擊打開就可以看到hacker用戶就fr文件夾進行的拷貝操作 。

推薦閱讀

• 

  a4紙尺寸英寸 a4紙尺寸是多少寸
• 

  父母投靠子女落戶呼市怎么辦理？
• 

  一樹梨花壓海棠原詩 一樹梨花壓海棠全詩
• 

  東方夏威夷指的是哪
• 

  吃完燒烤吃什么刮油吃完燒烤適合吃什么
• 

  怎么燉排骨湯才好喝
• 

  一個雞蛋灌餅有多重
• 

  Adobe After Effects創(chuàng)建立方體的方法
• 

  九月份吃什么水果應(yīng)季
• 

  愛莎玫瑰適合送哪些人
• 

  堅果R1揚聲器沙啞
• 

  聯(lián)想集團股權(quán)分配情況 聯(lián)想工會持股怎么變了
• 

  惡霸幾個月長胸爆頭
• 

  怎樣快速消除身體水腫 浮腫怎么消除
• 

  如何殺死蜱蟲最有效
• 

  雀魂無役是什么意思

• Windows Vista文件也可以按“筆畫”排序
• 徹底解決Windows Vista狂讀硬盤 硬盤燈狂閃的問題
• Windows Vista SP2不能安裝原因及解決方法
• Windows Vista系統(tǒng)EFS加密功能的妙用
• Windows Vista系統(tǒng)中的EFS加密解密及證書的備份
• 讓32位Windows Vista系統(tǒng)完全利用4G內(nèi)存
• 蘋果12浮球開關(guān)在哪里
• Windows Vista常見問題及解決技巧
• Windows Vista操作系統(tǒng)安裝常見的8個問題
• Vista與Server 2008 SP2 CPP 測試計劃公布