首先启用Windows 11的审核策略,通过本地安全策略开启账户登录、对象访问等事件的审核;接着为特定文件夹配置详细审核项,指定用户及操作类型;最后使用事件查看器筛选安全日志中的事件ID(如4624、4625、4663)验证日志生成情况。
如果您需要监控系统中的用户活动,例如记录登录行为或跟踪对敏感文件的访问,则必须正确配置Windows 11的审核策略。以下是启用和配置这些安全审计功能的具体步骤:
本文运行环境:Dell XPS 13,Windows 11 专业版
一、启用核心审核策略
通过本地安全策略,可以开启对关键系统事件的审核,这是生成安全日志的基础。必须先激活这些全局策略,后续针对特定文件的审核才能生效。
1、在任务栏搜索框中输入“本地安全策略”并打开该应用。
2、在左侧导航栏中,依次展开【本地策略】,然后点击【审核策略】。
3、双击【审核账户登录事件】,勾选成功和失败,点击确定。
4、双击【审核对象访问】,同样勾选成功和失败,点击确定。此设置是记录文件与文件夹访问的前提。
5、根据需要,为【审核账户管理】、【审核目录服务访问】、【审核特权使用】和【审核系统事件】等策略重复上述操作,均设置为记录成功与失败事件。
二、配置特定文件夹的访问审核
在启用了全局的“审核对象访问”后,还需为具体的文件或文件夹配置详细的审核项目,以指定要监控哪些用户的何种操作。
1、在文件资源管理器中,找到您想要监控的文件夹(例如 D:\CompanyData),右键单击并选择【属性】。
2、切换到【安全】选项卡,点击底部的【高级】按钮。
3、在“高级安全设置”窗口中,切换到【审核】选项卡,然后点击【添加】。
4、点击【选择主体】,输入您要监控的用户或组的名称(例如 TestUser 或 Everyone),点击检查名称后确定。
5、在下方的权限列表中,勾选您希望记录的操作类型,例如对“TestUser”的“写入”、“删除子文件夹及文件”等操作勾选“成功”进行审核。
6、点击确定保存所有设置,关闭所有窗口。现在对该文件夹的指定操作将会被记录到安全日志中。
三、查看和验证审核日志
配置完成后,必须通过事件查看器来检查是否已按预期生成了日志条目,以验证配置的有效性。
1、在任务栏搜索框中输入“事件查看器”并打开该应用。
2、在左侧面板中,展开【Windows 日志】,然后点击【安全】。
3、在右侧的“操作”面板中,点击【筛选当前日志】。
4、在“事件ID”框中,输入您关心的事件ID。例如,输入 4624, 4625 来查看登录成功与失败的记录,或输入 4663 来查看对象(文件/文件夹)访问事件。
5、执行一个触发事件的操作(例如,用被监控的账户打开一个受审核的文件),然后
回到事件查看器并点击【刷新】,您应该能在列表中看到新生成的日志项。
