开发者社区> 问答> 正文

Windows机器上某些文件被异常删除、打包,如何排查?

问题描述:


Windows机器上某些文件被异常删除,打包,客户怀疑入侵,使用360以及msert杀毒软件无法找到病毒或者木马,如何排查?


解决过程:


1、 配置组策略
选择“编辑”打开“组策略编辑器”,依次定位到“计算机配置→Windows设置→安全设置→高级审核策略配置”->系统审核策略->对象范文,双击右侧的“审核文件系统”,勾选“定义这些策略设置”及“成功”项,“失败”项不需要打勾。

2、 添加审核目录
右键单击需要审核的文件夹,选择“属性”,然后切换到“安全”标签,单击“高级”按钮,在新对话框中切换到“审核”标签,添加要审核的用户、组,在“审核项目”中勾选和删除相关的项目。
我们需要审核everyone对于该文件夹和子文件夹的删除动作,例如,在测试环境中的C:\tmp配置如下:
右键单击目录C:\tmp,选择安全->高级,选择审核,而后添加,针对主体"everyone", 审核高级权限中的"删除子文件夹及文件","删除"2条

此外,增加安全日志的大小,在事件查看器中,右键单击安全,将日志大小设置为120512KB

3、 测试,删除C:\tmp\testfile.txt, 随后在安全日志找到事件ID为4646的记录如下,显示administrator用户通过explorer.exe进行了操作。
审核成功        2015/12/15 15:13:58        Microsoft Windows security auditing.        4656        文件系统
已请求到对象的句柄。
使用者:
安全 ID:                iZ23l24etzkZ\Administrator
帐户名:                Administrator
帐户域:                iZ23l24etzkZ
登录 ID:                0x68AFE
对象:
对象服务器:                Security
对象类型:                File
对象名:                C:\tmp\testfile.txt
句柄 ID:                0x2328
资源属性:        -
进程信息:
进程 ID:                0x70c
进程名:                C:\Windows\explorer.exe
访问请求信息:
事务 ID:                {00000000-0000-0000-0000-000000000000}
访问:                DELETE
访问原因:                DELETE:        授权者        D:(A;ID;FA;;;BA)
访问掩码:                0x10000
用于访问检查的特权:        -
受限 SID 计数:        0


展开
收起
阿里云柳璃 2015-12-29 09:18:26 10172 0
2 条回答
写回答
取消 提交回答
问答排行榜
最热
最新

相关电子书

更多
《云服务器运维之Windows篇》 立即下载
TAKING WINDOWS 10 KERNEL 立即下载
ECS运维指南之Windows系统诊断 立即下载