問題描述：

Windows機器上某些文件被異常刪除，打包。懷疑入侵。如何排查。

問題解決：

1、 配置組策略

開始菜單選擇“運行”打開“組策略編輯器”

依次定位到【計算機配置】--【Windows設置】--【安全設置】--【高級審核策略配置】--【系統審核策略】--【對象訪問】，雙擊右側的【審核文件系統】，勾選【定義這些策略設置】及【成功】項，【失敗】項不需要打勾。

2、 添加審核目錄

右鍵單擊需要審核的文件夾，選擇【屬性】，然后切換到【安全】標簽，單擊【高級】按鈕，在新對話框中切換到【審核】標簽，添加要審核的用戶、組，在【審核項目】中勾選和刪除相關的項目。 需要審核everyone對于該文件夾和子文件夾的刪除動作，

例如，在測試環境中的C:\tmp配置如下：

右鍵單擊目錄C:\tmp,選擇【安全】->【高級】,選擇【審核】，而后添加，針對主體【everyone】, 審核高級權限中的【刪除子文件夾及文件】，【刪除】2條

此外，增加安全日志的大小，在事件查看器中，右鍵單擊安全，將日志大小設置為120512KB

3、 測試，刪除C:\tmp\testfile.txt， 隨后在安全日志找到事件ID為4646的記錄如下，顯示administrator用戶通過explorer.exe進行了操作。

超強干貨來襲 云風專訪：近40年碼齡，通宵達旦的技術人生

總結

以上是生活随笔為你收集整理的php windows 操作文件,Windows开启审核功能来记录文件删除操作的详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。