本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置文件和文件夹审计控制
您需要为要审核用户访问尝试的文件和文件夹设置审核控制措施。审核控制措施也称为 NTFS 系统访问控制列表(SACL)。
您可以使用 Windows 原生 GUI 界面或使用 Windows 命令以编程方式配置审计控制。 PowerShell 如果启用继承,则通常只需要对要记录访问日志的顶级文件夹设置审核控制措施。
要使用 GUI 对文件和文件夹设置审核控制措施,请使用 Windows 文件资源管理器。在给定文件或文件夹上,打开 Windows 文件资源管理器,然后选择属性 > 安全 > 高级 > 审核选项卡。
以下审核控制措施示例审核文件夹的成功事件。每当管理员用户成功打开该句柄进行读取时,就会发出一个 Windows 事件日志条目。
类型字段指示您要审核的操作。将此字段设置为成功可审核成功的尝试,将此字段设置为失败可审核失败的尝试,将此字段设置为全部可审核成功的尝试和失败的尝试。
有关审核输入字段的更多信息,请参阅 Microsoft 文档中的对文件或文件夹应用基本审核策略
您可以使用 Microsoft Windows Set-Acl 命令对任何文件或文件夹设置审核 SACL。有关此命令的更多信息,请参阅 Microsoft Set-Acl
以下是使用一系列 PowerShell 命令和变量为成功尝试设置审核访问权限的示例。您可以调整这些示例命令,满足文件系统的需求。
$path = "C:\Users\TestUser\Desktop\DemoTest\" $ACL = Get-Acl $path $ACL | Format-List $AuditUser = "TESTDOMAIN\TestUser" $AuditRules = "FullControl" $InheritType = "ContainerInherit,ObjectInherit" $AuditType = "Success" $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType) $ACL.SetAuditRule($AccessRule) $ACL | Set-Acl $path Get-Acl $path -Audit | Format-List