首先启用“审核对象访问”策略,再为特定文件夹配置审计规则,最后通过事件查看器筛选事件ID 4663查看详细访问日志。
如果您需要在Windows 11系统上追踪特定文件或文件夹的访问与修改行为,以确保数据安全或进行责任追溯,则可以通过配置系统的审计策略来实现。这些策略能够记录用户对文件执行的各类操作,并将日志存储于事件查看器中供后续分析。
本文运行环境:Dell XPS 13,Windows 11
一、启用对象访问审核策略
这是开启文件审计的第一步,必须先在系统层面启用“审核对象访问”策略,否则后续针对具体文件夹的审计设置将不会生效。该步骤激活了系统底层的日志记录功能。
1、按下 Win + R 组合键打开“运行”窗口。
2、输入 gpedit.msc 并按回车,启动“本地组策略编辑器”。
3、依次展开左侧目录:计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略。
4、在右侧列表中,双击“审核对象访问”。
5、在弹出的窗口中,勾选成功和失败两个选项,然后点击“确定”。
二、为指定文件夹配置审计条目
在全局审核策略启用后,需为需要监控的具体文件或文件夹单独配置审计规则。此步骤定义了哪些用户或组的操作会被记录,以及记录哪些类型的操作(如读取、写入、删除等)。
1、在文件资源管理器中找到目标文件夹,右键点击并选择“属性”。
2、切换到“安全”选项卡,点击下方的“高级”按钮。
3、在“高级安全设置”窗口中,切换到“审核”选项卡,然后点击“添加”。
4、点击“选择主体”,在弹出的窗口中输入Everyone,然后点击“检查名称”确认,再点击“确定”。
5、回到权限设置界面,在“应用到”下拉菜单中选择此文件夹、子文件夹和文件。
6、在下方权限列表中,勾选您希望审计的操作类型。建议至少勾选读取(R)、写入(W)、删除(D)等关键权限,以全面覆盖常见操作。
7、确认无误后,连续点击“确定”保存所有设置。
三、使用事件查看器查询审计日志
当用户对已配置审计的文件夹执行操作后,系统会生成对应的安全事件日志。通过事件查看器可以筛选并查看这些日志,从而确定是谁在何时执行了何种操作。
1、按下 Win + X 组合键,从弹出的菜单中选择“事件查看器”。
2、在左侧导航栏中,依次展开“Windows 日志”并点击“安全”。
3、在中间的主窗口中,您会看到大量的安全事件。为了快速定位文件操作,可以在右侧“操作”面板中点击“筛选当前日志”。
4、在“事件ID”输入框中,输入4663,此ID代表“句柄被请求”,通常与文件的打开、读取、写入等访问行为相关。
5、点击“确定”后,日志列表将只显示与文件访问相关的记录。双击任意一条日志,可在详细信息中查看执行操作的用户账户(Security ID)、操作时间以及被访问的文件路径(Object Name)等关键信息。
