掌握对共享文件夹的全部文件操做

单位局域网内有一台服务器，被你们用来做为文件共享服务器，服务器上创建了文件共享目录，

同事在本身主机上经过文件共享访问服务器上共享的文档资料，方便了同事们的平时工做。

虽然提醒服务器上的文档资料使用完后要自行删除，但长此以往，共享目录下仍然积累了不少

单位的文档资料。强制清空，同事们有意见，不清空吧，在提供方便的同时，也带来了很大的安

全隐患。所以，想用Windows自带的功能实现对共享目录的监控，以对抱有私自查看和复制他人

文件想法的人员，给予震慑。

 

从易到难，使用两种方法：

 

一、检查当前的文件操做

在“控制面板”-“计算机管理”中，有“共享文件夹”-“会话”，能够查看当前访问共享目录的主机、

使用的用户，但有很大的问题，就是不知道具体执行的操做和操做针对的文件。审计还不够完整，就要

用到下面的文件审计的方法。

 

二、审计当前和历史的文件操做

这种方法审计的内容完整，并且不只能查看当前的文件操做，还能审计过去发生的文件操做，更加符合要求。

 

（1）首先，要在服务器上启动审计，在“本地安全设置”-“本地策略”-“审核策略”，能够看到提供了多种

审计内容，咱们主要关心文件操做，所以启用“审核对象访问”，包括“成功”和“失败”的操做；

 

（2）而后，对共享目录打开审计，在“共享和安全”-“安全”-“高级”-“审计”，能够看到能够审计不少文件

操做，咱们主要关系文件的拷出和拷入，所以选择审计“读取数据”和“写入数据”；

 

（3）注销当前用户，从新登陆，让上面的设置生效。

 

（4）打开事件查看器，查看审计记录。

能够看到共享目录上发生的文件操做（事件ID为560），包括访问的文件和和具体操做（读取或写入），但美中不

足的是查看不到访问主机，这样咱们就不方便定位到责任人；

 

（5）可是能够用检查与文件操做的事件最接近的登陆事件来弥补，进行文件操做前，主机确定要远程登陆服务器，所以

会产生相应的事件。查看事件ID为540的登陆事件，能够查看到远程登陆到共享目录所在服务器的主机名称。

 

（6）经过主机名称就能定位到责任人，若是主机名还不够直接的话，还可使用nbtstat命令，根据主机名称查询主机的

IP地址。若是对交换机熟悉的话，还能根据IP地址查到主机链接的交换机和端口，定位责任人就更加方便了。