必须启用系统级对象访问审核并为文件夹配置SACL审计项才能追踪文件操作;需依次通过本地安全策略开启审核对象访问、在文件夹属性中添加SACL条目、用组策略启用高级文件系统审计,并用事件查看器验证ID 4663/4656日志。
如果您需要在Windows 11中追踪谁访问、打开、修改或删除了特定文件夹中的文件,则必须启用系统级对象访问审核并为该文件夹配置审计条目。以下是实现此目标的多种方法:
一、通过本地安全策略启用全局对象访问审核
此步骤在操作系统底层开启对所有文件和文件夹访问事件的捕获能力,是后续针对具体文件夹生效的前提。未启用此项策略时,即使为文件夹设置了审计规则,也不会生成任何安全日志。
1、按Win + R打开运行对话框,输入secpol.msc并回车。
2、在左侧面板中依次展开本地策略 → 审核策略。
3、在右侧面板中双击“审核对象访问”。
4、勾选“定义这些策略设置”,同时选中“成功”和“失败”复选框。
5、点击【确定】保存设置。
二、为指定文件夹手动配置SACL审计项
启用全局策略后,还需为具体目标文件夹添加系统访问控制列表(SACL)条目,明确指定哪些用户或组、在何种操作(如读取、写入、删除)下触发日志记录。该配置不自动继承,必须逐个设置。
1、在文件资源管理器中定位目标文件夹,右键选择【属性】。
2、切换到【安全】选项卡,点击【高级】按钮。
3、在弹出窗口中切换到【审核】选项卡,点击【添加】。
4、点击【选择主体】,输入要监控的用户账户名(例如TestUser)或组名(如Everyone),点击【确定】。
5、在【应用于】下拉菜单中选择作用范围(如“此文件夹、子文件夹和文件”)。
6、在下方权限列表中,勾选需审计的操作类型,例如:读取数据/列出目录、写入数据/添加文件、删除子文件夹和文件。
7、分别勾选【成功】和【失败】复选框,确保两类操作均被记录。
8、点击【确定】逐级关闭对话框。
三、通过组策略编辑器启用高级文件系统审计
该方法支持更细粒度的控制,适用于专业版/企业版系统,可启用“审核文件系统”这一高级审计事件类型,并与SACL配置协同生效,提升日志覆盖完整性。
1、按Win + R打开运行对话框,输入gpedit.msc并回车。
2、依次导航至:计算机配置 → Windows 设置 → 安全设置 → 高级审核策略配置 → 系统审核策略 → 对象访问。
3、双击“审核文件系统”,选择“已启用”,并勾选“成功”和“失败”。
4、返回至计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略,确认“审核对象访问”已启用。
5、完成SACL配置后,运行gpupdate /force命令强制刷新组策略。
四、验证审计日志是否正常记录文件访问行为
审计配置完成后,必须通过真实操作触发事件,并在事件查看器中确认对应日志是否生成,以验证整个链路是否有效。关键日志事件ID为4663(句柄操作)和4656(访问请求),二者共同构成完整访问上下文。
1、使用目标用户账户(如TestUser)打开、复制或删除该文件夹中的任意文件。
2、右键【开始】按钮,选择【事件查看器】。
3、左侧导航至:Windows 日志 → 安全日志。
4、在右侧操作面板中点击【筛选当前日志】。
5、在“事件ID”框中输入4663,4656,点击【确定】。
6、检查筛选结果中是否包含带有该用户SID、目标文件路径及操作类型的日志条目。
