要是遇到共享目录中的隐私信息被删除或转移时,只要查看相应的安全日志,就能轻松找到“罪槐祸首”。通过下面的步骤,就能轻松跟踪用户访问共享目录行为了。
首先打开系统的资源管理器窗口,找到需要保护的目标共享目录,然后用鼠标右键单击之,从随后弹出的快捷菜单中执行“属性”命令,进入到目标共享目录的属性设置界面;单击该界面中的“安全”标签,并在对应的标签页面中单击“高级”按钮,打开目标共享目录的高级安全设置窗口;在该窗口中单击“审核”标签,再单击对应标签页面中的“添加”按钮。过一会儿,系统将自动显示出所有用户账号,此时我们可以将有权访问该共享目录的用户账号选中,再单击一下“确定”按钮。在其后弹出的审核项目设置窗口中,可以按需选择一些失败和成功的审核项目,最后单击“确定”按钮退出共享目录属性设置窗口。
下面再依次单击“开始”→“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入到系统的组策略编辑界面;用鼠标逐一展开该界面左侧区域中的“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”,在对应“审核策略”的右侧窗口区域中,找到“审核对象访问”选项(如图2所示),然后用鼠标左键双击该项,弹出对应该选项的属性设置窗口,选中该窗口中的“成功”和“失败”选项,再单击一下“确定”按钮;以后我们一旦发现目标共享目录遇到什么安全问题时,就可以打开系统的安全日志来查看事件ID标号为564、562、560的相关日志记录了,从中就能找到破坏目标共享目录安全的“蛛丝马迹”。
//4设置审核对象访问
,如何才能跟踪任何一位访问目标共享目录的用户,并对他们的访问行踪进行记录?