必须先启用“审核对象访问”等基础策略,再为文件夹配置SACL审计规则,并调大安全日志容量至≥1024MB、启用覆盖策略,最后通过筛选事件ID 4663和4776验证生效。
要让 windows 系统真正记录文件访问、登录失败等关键行为,光靠“开了日志”远远不够——必须通过组策略把审核策略配准、配全、配稳。核心逻辑就一条:先开系统级开关,再设对象级规则,最后确认日志能存、能查、不丢。
启用基础审核策略(本地设备适用)
适用于未加入域的 Win10/Win11 专业版或企业版:
- 按 Win + R 输入
gpedit.msc 打开组策略编辑器 - 路径:计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略
- 双击启用以下五项,均勾选“成功”和“失败”:
• 审核账户登录事件
• 审核登录事件
• 审核对象访问
• 审核特权使用
• 审核策略更改
细化文件访问审计(必须做,否则不记文件操作)
仅开启“审核对象访问”不会自动记录任何文件动作——你还得为具体文件夹加审计规则(SACL):
- 右键目标文件夹 → 属性 → 安全 → 高级 → 审核选项卡 → 添加
- 输入主体(如
Everyone 或指定用户),点击确定 - 勾选需监控的操作类型(如“读取数据/列出目录”“写入数据/添加文件”“删除子文件夹和文件”)
- 务必在每项权限右侧勾选“成功”和/或“失败”,作用范围建议选“此文件夹、子文件夹和文件”
- 返回组策略确认“审核对象访问”已启用(否则 SACL 不生效)
用高级审核策略提升精度(推荐启用)
避免日志泛滥,支持按子类单独控制:
- 在
gpedit.msc 中导航至:
计算机配置 → Windows 设置 → 安全设置 → 高级审核策略配置 → 系统审核策略 - 启用以下子策略(均选“已启用”,并勾选“成功”“失败”):
• 登录/注销 → 账户登录、登录
• 对象访问 → 文件系统、文件共享
• 特权使用 → 特权使用
• 详细跟踪 → 进程创建 - 该配置与 SACL 协同工作,能让 Event ID 4663 日志更准确反映实际访问类型(如读、写、删)
确保日志可用:大小、保留与验证
策略开了,日志却满了被覆盖,等于白配:
- 打开事件查看器(
eventvwr.msc)→ Windows 日志 → 安全 → 右键【属性】 - 设置最大日志大小 ≥ 20480 KB(建议 1024 MB 起),选择“按需要覆盖事件(最旧事件最先覆盖)”
- 验证是否生效:执行一次目标文件读写 → 刷新安全日志 → 筛选 Event ID 4663(文件访问)或 4776(登录失败)
- 命令行快速确认:
auditpol /get /category:"Object Access" 查状态;gpupdate /force 强制刷新策略