日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

用“審核”來監(jiān)控Windows Vista的一舉一動( 二 )

云知道


首先在“本地安全策略”中啟用“審核對象訪問”策略,為了準確定位,我們可以只對“成功”事件進行記錄 。然后定位到需要監(jiān)控的文件夾,右鍵點擊選擇“屬性”,在“安全”選項卡中單擊“高級”按鈕,接著選擇“審核”選項卡單擊“繼續(xù)”按鈕,在打開的窗口中單擊“添加”按鈕,輸入要添加審核的用戶帳戶或用戶組的名稱 。然后在“審核項目”面板中勾選需要監(jiān)控的操作,包括創(chuàng)建文件/寫入數(shù)據(jù)、刪除等 。如果要監(jiān)控用戶的所有操作可以選擇“完全控制” 。最后單擊“確定”按鈕,即可完成審核的設置 。
這樣系統(tǒng)會將指定的事件記錄在系統(tǒng)日志中,我們可以通過“時間查看器”的“Windows 日志”→“安全”中查看到相關的記錄 。當然,此時的事件記錄是非常多的,我們可以通過“篩選器”進行篩選 。右鍵點擊左側的“安全”選擇“篩選當前日志”打開篩選窗口 。在“篩選器”選項卡下進行篩選設置,因為我們要查看是拷貝的文件“事件來源選擇”就選擇“Security-Auditing”,“任務類別”選擇“文件系統(tǒng)”,“事件ID”輸入“4656”所示,然后“確定”退出 。這時候,在“事件查看器”右邊列出的就是每一次讀取數(shù)據(jù)的信息了 。雙擊每一項目可查看詳細信息,注意帶有 Object Type: File 的項目才是對文件的訪問 。我們雙擊打開就可以看到hacker用戶就fr文件夾進行的拷貝操作 。

推薦閱讀