需手动启用对象访问审核策略并配置文件夹审核,再通过事件查看器筛选ID 4663日志、PowerShell导出、net session/openfiles实时检查或域环境GPO集中审计来追溯Windows 10共享访问。
如果您尝试追溯某台Windows 10计算机上共享文件夹被谁在何时访问过,系统默认不会自动开启详细审计,需手动启用相关策略并依赖事件查看器捕获操作痕迹。以下是可立即执行的排查路径:
一、启用对象访问审核策略
Windows必须预先配置安全策略,才能记录对共享文件夹的读取、写入、删除等操作。未启用该策略时,事件查看器中将完全无对应日志生成。
1、按下Win+R组合键,输入gpedit.msc并回车,打开本地组策略编辑器(仅限专业版/企业版)。
2、依次展开:计算机配置 → Windows设置 → 安全设置 → 本地策略 → 审核策略。
3、双击“审核对象访问”,勾选“成功”和“失败”两项,点击确定。
4、右键单击需监控的共享文件夹,在“属性→安全→高级→审核”中添加Everyone或具体用户,并勾选“读取属性”“读取数据”“写入数据”等所需审核项。
二、通过事件查看器筛选4663事件
事件ID 4663代表“已访问对象”,是唯一能反映共享文件被实际打开、读取或修改的关键日志类型。该事件仅在启用审核策略且目标文件夹配置了审核条目后才会生成。
1、按Win+R输入eventvwr.msc,打开事件查看器。
2、左侧导航至:Windows日志 → 安全。
3、右侧点击“筛选当前日志”,在“包含事件ID”框中输入4663,点击确定。
4、在结果列表中,双击任一4663事件,查看“详细信息”选项卡下的“Subject”字段(操作用户)、“Object Name”字段(被访问的完整路径)、“Accesses”字段(执行的操作类型,如ReadData、WriteData)。
三、使用PowerShell快速导出近期共享访问日志
当需批量分析或导出特定时间段内的访问记录时,PowerShell可绕过图形界面直接提取结构化数据,避免人工逐条翻查。
1、以管理员身份运行PowerShell。
2、执行以下命令,获取过去24小时内所有4663事件:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4663; StartTime=(Get-Date).AddHours(-24)} | Select TimeCreated, Id, Message | Export-Csv -Path "$env:USERPROFILE\Desktop\ShareAccessLog.csv" -Encoding UTF8
3、打开生成的CSV文件,按“Message”列搜索关键词如\\server\share或.docx定位具体共享路径操作。
四、检查SMB连接会话与打开文件实时状态
若需确认当前谁正在访问共享而非历史记录,可跳过日志审计,直接调用系统级SMB会话管理接口获取即时连接快照。
1、以管理员身份运行命令提示符或PowerShell。
2、输入命令:net session,列出所有活动SMB会话,含客户端IP、用户名、空闲时间及登录时间。
3、输入命令:openfiles /query /s localhost /fo table,显示当前被远程用户打开的所有文件及其完整路径。
4、若需强制断开某会话,使用:net session \\192.168.1.100 /delete(将IP替换为实际客户端地址)。
五、启用高级文件服务器审计(适用于域环境)
在Active Directory域控制器统一策略下发场景下,可通过组策略对象(GPO)集中启用文件服务器资源的细粒度审计,覆盖所有加入域的共享主机,避免逐台配置。
1、在域控制器上打开组策略管理控制台(gpmc.msc)。
2、新建GPO并链接至目标OU,编辑该策略,路径为:计算机配置 → 策略 → Windows设置 → 安全设置 → 高级审核策略配置 → 系统审核策略 → 对象访问。
3、启用“文件系统”审核策略,并确保“配置模式”设为“全局对象访问审核”。
4、在共享文件服务器上,对目标文件夹右键→属性→安全→高级→审核→添加域用户组,勾选“成功”的“读取”“写入”“删除子容器及对象”等权限。
