掌握對共享文件夾的全部文件操做

單位局域網內有一臺服務器，被你們用來做爲文件共享服務器，服務器上創建了文件共享目錄，

同事在本身主機上經過文件共享訪問服務器上共享的文檔資料，方便了同事們的平時工做。

雖然提醒服務器上的文檔資料使用完後要自行刪除，但長此以往，共享目錄下仍然積累了不少

單位的文檔資料。強制清空，同事們有意見，不清空吧，在提供方便的同時，也帶來了很大的安

全隱患。所以，想用Windows自帶的功能實現對共享目錄的監控，以對抱有私自查看和複製他人

文件想法的人員，給予震懾。

 

從易到難，使用兩種方法：

 

一、檢查當前的文件操做

在「控制面板」-「計算機管理」中，有「共享文件夾」-「會話」，能夠查看當前訪問共享目錄的主機、

使用的用戶，但有很大的問題，就是不知道具體執行的操做和操做針對的文件。審計還不夠完整，就要

用到下面的文件審計的方法。

 

二、審計當前和歷史的文件操做

這種方法審計的內容完整，並且不只能查看當前的文件操做，還能審計過去發生的文件操做，更加符合要求。

 

（1）首先，要在服務器上啓動審計，在「本地安全設置」-「本地策略」-「審覈策略」，能夠看到提供了多種

審計內容，咱們主要關心文件操做，所以啓用「審覈對象訪問」，包括「成功」和「失敗」的操做；

 

（2）而後，對共享目錄打開審計，在「共享和安全」-「安全」-「高級」-「審計」，能夠看到能夠審計不少文件

操做，咱們主要關係文件的拷出和拷入，所以選擇審計「讀取數據」和「寫入數據」；

 

（3）註銷當前用戶，從新登陸，讓上面的設置生效。

 

（4）打開事件查看器，查看審計記錄。

能夠看到共享目錄上發生的文件操做（事件ID爲560），包括訪問的文件和和具體操做（讀取或寫入），但美中不

足的是查看不到訪問主機，這樣咱們就不方便定位到責任人；

 

（5）可是能夠用檢查與文件操做的事件最接近的登陸事件來彌補，進行文件操做前，主機確定要遠程登陸服務器，所以

會產生相應的事件。查看事件ID爲540的登陸事件，能夠查看到遠程登陸到共享目錄所在服務器的主機名稱。

 

（6）經過主機名稱就能定位到責任人，若是主機名還不夠直接的話，還可使用nbtstat命令，根據主機名稱查詢主機的

IP地址。若是對交換機熟悉的話，還能根據IP地址查到主機鏈接的交換機和端口，定位責任人就更加方便了。