如何在Windows中启用审核策略来跟踪文件访问？（安全日志）

需通过组策略启用对象访问审核并为文件/文件夹配置SACL：一、用gpedit.msc启用“审核对象访问”策略；二、在文件属性高级安全中添加Everyone的读写等仅审核规则；三、用eventvwr.msc检查ID 4663日志；四、用auditpol命令行启用；五、用PowerShell脚本自动化设置SACL。

如果您希望在Windows系统中记录用户对特定文件或文件夹的访问行为，需要通过组策略启用对象访问审核策略，并配置相应的审计规则。以下是实现此目标的具体步骤：

一、启用全局对象访问审核策略

该步骤用于在本地或域控制器级别开启系统级的“对象访问”审核功能，使后续设置的文件审计规则能够被安全日志捕获。

1、按 Win + R 打开运行窗口，输入 gpedit.msc 并回车，启动本地组策略编辑器。

2、依次展开路径：计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略。

3、在右侧双击 审核对象访问。

4、勾选 成功 和/或 失败 复选框（根据需求选择），点击确定。

二、为具体文件或文件夹配置SACL

仅启用全局审核策略不足以触发日志记录；必须为待监控的目标文件或文件夹显式添加系统访问控制列表（SACL），指定哪些操作类型需被审计。

1、右键目标文件或文件夹，选择 属性 → 安全 → 高级。

2、切换到 审核 选项卡，点击 添加。

3、点击 选择主体，输入 Everyone 或指定用户/组，点击确定。

4、在下方权限列表中，勾选需审计的操作类型，例如：读取、写入、删除 等，并确保对应列显示为 仅审核（非“允许”或“拒绝”）。

5、点击确定保存SACL设置。

三、验证审核日志是否生成

完成上述配置后，系统将在发生匹配的文件访问事件时，向Windows安全日志写入事件记录，需确认日志服务正常运行且日志未被覆盖。

1、按 Win + R 输入 eventvwr.msc，打开事件查看器。

2、导航至 Windows 日志 → 安全。

3、在右侧点击 筛选当前日志，在“事件ID”栏输入 4663（表示对象访问事件），点击确定。

绘ai

ai绘图提示词免费分享

240

查看详情

4、执行一次目标文件的读取或写入操作，刷新日志列表，检查是否出现新的ID 4663事件。

四、使用命令行快速启用审核策略

适用于批量部署或无GUI环境，可通过命令行直接修改本地安全策略，避免图形界面操作。

1、以管理员身份运行命令提示符或PowerShell。

2、执行以下命令启用对象访问审核：

auditpol /set /category:"Object Access" /success:enable /failure:enable

3、确认生效结果：

auditpol /get /category:"Object Access"

五、通过PowerShell为文件添加审核项

当需自动化配置大量文件夹的SACL时，PowerShell提供更灵活的脚本化方式，绕过图形化高级安全设置界面。

1、以管理员身份启动PowerShell。

2、运行以下命令定义目标路径与审计规则：

$path = "C:\SensitiveFolder"

$acl = Get-Acl $path

$rule = New-Object System.Security.AccessControl.FileSystemAuditRule("Everyone","ReadData,WriteData","None","None","Success")

$acl.SetAuditRule($rule)

Set-Acl $path $acl

以上就是如何在Windows中启用审核策略来跟踪文件访问？（安全日志）的详细内容，更多请关注php中文网其它相关文章！