如何审核Windows 2008 r2上的文件和文件夹删除

Question

我需要启用对Windows 2008 r2计算机上特定网络共享文件夹(及其所有子文件夹)上的删除操作的审核。我能找到的最接近的是这篇文章-- http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/，但它与2003年有关。

在评论中，有人指出，事件In 560和564与Win 2003无关。他们建议Win 2008的删除是EventID 4656，但我在安全日志中没有发现任何这些事件。在右键单击文件夹后，我通过安全选项卡选项启用了对文件夹的审核。引用链接中的另一条注释指出，必须在本地文件系统和服务器上启用审计，而且组策略可以覆盖任何本地策略。

我试图在本地策略\审核策略\审核对象访问下启用本地安全策略中的审核，但每次关闭策略控制台时，它似乎都会被删除。我是一个本地管理员在服务器上，但不是一个域管理员，在这一点上有点卡住。任何指点都会很受欢迎。

Answer 1

在该共享上启用回收站，并在审核、删除中的更改后启用。(活动目录回收站一步一步指南

使用Windows 2008 R2中的审核机制，就像在Windows 2008中一样，您可以使用Active域服务( as )审核机制和目录服务更改审核策略，在对Active对象及其属性进行更改时记录新旧值。建议您在Active环境中实现审核，以跟踪所有对象删除、对象删除时间和执行这些对象删除的帐户名称。有关更多信息，请参见AD审计逐步指南(http://go.microsoft.com/fwlink/?LinkID=125458).

出发地；附录A:其他Active回收站任务

注意，你需要的不仅仅是一个本地管理员的解决方案。

Answer 2

首先，在AD组策略或服务器本地GPO上配置审计对象访问。设置在计算机配置->Windows设置->安全设置->本地策略->审核策略下。为“审核对象访问”启用成功/失败审核。

之后，在您希望审核的特定文件夹上配置一个审核条目。右击文件夹->属性->高级.从“审核”选项卡中，单击“添加”，然后输入您希望审核的用户/组以及您希望审计的操作--审核完全控制将在任何人每次打开/更改/关闭/删除文件时创建审计项，或者您只需审核删除操作。

执行这些步骤后，任何文件删除都将显示在文件服务器的安全日志中：https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx

Answer 3

我知道这是个老问题，但我也有同样的问题，但一直没有找到答案，所以希望这能帮助到其他人。最后，我找到了事件ID: 4663的delete事件。下面是一个例子：

An attempt was made to access an object.

Subject:
    Security ID:        xxx\administrator
    Account Name:       administrator
    Account Domain:     xxx
    Logon ID:       0x64ba61

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    D:\xxx\New folder
    Handle ID:  0xca8

Process Information:
    Process ID: 0xc80
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000