Windows机器上某些文件被异常删除,打包。怀疑入侵。如何排查
问题描述:
Windows机器上某些文件被异常删除,打包。怀疑入侵。如何排查。
问题解决:
1、 配置组策略
开始菜单选择“运行”打开“组策略编辑器”
依次定位到【计算机配置】--【Windows设置】--【安全设置】--【高级审核策略配置】--【系统审核策略】--【对象访问】,双击右侧的【审核文件系统】,勾选【定义这些策略设置】及【成功】项,【失败】项不需要打勾。
2、 添加审核目录
右键单击需要审核的文件夹,选择【属性】,然后切换到【安全】标签,单击【高级】按钮,在新对话框中切换到【审核】标签,添加要审核的用户、组,在【审核项目】中勾选和删除相关的项目。 需要审核everyone对于该文件夹和子文件夹的删除动作,
例如,在测试环境中的C:\tmp配置如下:
右键单击目录C:\tmp,选择【安全】->【高级】,选择【审核】,而后添加,针对主体【everyone】, 审核高级权限中的【删除子文件夹及文件】,【删除】2条
此外,增加安全日志的大小,在事件查看器中,右键单击安全,将日志大小设置为120512KB
3、 测试,删除C:\tmp\testfile.txt, 随后在安全日志找到事件ID为4646的记录如下,显示administrator用户通过explorer.exe进行了操作。
如果问题还未能解决,您可以到阿里云社区进行
免费咨询,或联系云市场商家
寻求帮助。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
在您已经采取了初步的排查措施后,如果问题依然存在或者需要更深入地调查和防护,可以考虑以下阿里云产品和服务来增强安全性和进行更高效的问题定位:
-
阿里云安全中心(Security Center):如果您使用的是阿里云ECS实例,可以通过开启阿里云安全中心服务来加强系统的安全性监控。安全中心能够提供实时的安全威胁检测、漏洞管理、入侵检测等功能。它能帮助您快速发现潜在的安全风险,包括异常登录、恶意程序活动等,并提供修复建议。
-
日志服务(Log Service):为了更好地分析系统日志,您可以配置将Windows服务器上的安全日志、系统日志等导入到阿里云的日志服务中。通过日志服务,您可以设置告警规则,对特定事件(如文件删除操作)进行实时监控,并利用其强大的查询分析功能快速定位问题源头。
-
云防火墙:检查并配置云防火墙规则,确保只允许必要的端口和服务访问,减少潜在的攻击面。云防火墙可以帮助阻止恶意流量,保护您的服务器免受外部网络攻击。
-
态势感知:对于更高级别的安全需求,可以考虑使用阿里云的态势感知服务。态势感知能够提供全网安全态势可视化、高级威胁检测与响应、安全策略智能优化等能力,有助于全面了解和应对复杂的网络安全威胁。
-
云市场安全工具:阿里云市场提供了多种第三方安全工具和服务,比如专业的日志审计、文件完整性监控、入侵检测系统(IDS)等,可以根据实际需要选择适合的安全解决方案。
-
技术支持:如果上述方法仍不能解决问题,建议直接联系阿里云的技术支持团队。他们可以提供专业的技术指导和深度排查服务,帮助您更快地解决安全问题。
记得,在处理安全事件时,保持冷静,及时备份重要数据,并遵循最佳安全实践,以防止数据丢失或进一步的损害。
