需启用NTFS最后访问时间戳并配置对象访问审核策略及SACL:一、运行fsutil behavior set disablelastaccess 0并重启;二、通过gpedit.msc启用“审核对象访问”策略并刷新;三、为目标文件夹添加SACL,指定用户和审计操作类型。
如果您希望在Windows 11中记录对特定文件夹的访问行为(例如谁在何时打开了哪些文件),需启用NTFS文件系统的“最后访问时间”戳功能,并配合对象访问审核策略,才能实现可追溯的访问时间记录。以下是具体操作步骤:
一、启用NTFS最后访问时间戳
默认情况下,Windows 11为提升性能已禁用NTFS卷的“最后访问时间”更新。启用后,系统将为每个被访问的文件和文件夹自动更新LastAccessTime属性,这是时间记录的基础支撑。
1、以管理员身份运行命令提示符或PowerShell。
2、输入以下命令并按回车执行:fsutil behavior set disablelastaccess 0。
3、重启计算机使设置生效。
4、验证是否启用:在命令行中运行fsutil behavior query disablelastaccess,若返回值为0,表示已启用;若为1,则未生效。
二、配置本地组策略启用对象访问审核
仅启用LastAccessTime无法生成安全日志;必须开启“审核对象访问”策略,系统才会将符合规则的访问事件写入Windows安全日志,从而支持时间与用户双重追溯。
1、按Win + R键,输入gpedit.msc,打开本地组策略编辑器。
2、导航至:计算机配置 → Windows设置 → 安全设置 → 高级审核策略配置 → 系统审核策略 → 对象访问。
3、双击右侧的“对象访问”策略,勾选“配置用于审核对象访问的全局对象访问审核”。
4、点击“确定”保存设置。
5、继续导航至:计算机配置 → Windows设置 → 安全设置 → 本地策略 → 审核策略。
6、双击“审核对象访问”,勾选“成功”(如需记录失败尝试,可同时勾选“失败”)。
7、点击“确定”,关闭组策略编辑器。
8、在命令提示符中运行gpupdate /force强制刷新策略。
三、为指定文件夹配置SACL(系统访问控制列表)
SACL定义了哪些类型的访问操作需要被审计。只有为目标文件夹显式添加SACL条目,系统才会对其触发审核事件。该步骤必须在启用审核策略之后执行。
1、右键目标文件夹,选择“属性”。
2、切换到“安全”选项卡,点击“高级”。
3、在高级安全设置窗口中,切换到“审核”选项卡,点击“添加”。
4、点击“选择主体”,输入Everyone或指定用户/组名,点击“检查名称”后确认。
5、在下方权限列表中,勾选需要审计的操作类型,例如:读取属性、读取数据/列出目录、读取扩展属性(覆盖常规打开、浏览等行为)。
6、确保“应用于”设为“此文件夹、子文件夹和文件”(如需完整记录)。
7、点击“确定”保存SACL设置。
