登录  |  注册
当前位置:网站首页 > 更多 > 玩电脑 > 正文

[玩转系统] 如何检测谁删除了组策略对象

作者:精品下载站 日期:2024-12-14 06:00:44 浏览:12 分类:玩电脑

如何检测谁删除了组策略对象

组策略对象 (GPO) 可以提供用于访问共享资源和设备、启用关键功能或建立安全环境的配置。如果删除某些 GPO,用户可能无法访问 Internet、修改数据、使用外围设备,甚至无法登录系统。删除处理访问控制、身份验证和其他安全策略的 GPO 可能会增加系统的漏洞并允许未经授权的访问。

如何使用本机审核工具检测谁删除了 GPO?

1. 运行 GPMC.msc > 打开“默认域策略”> 计算机配置 > 策略 > Windows 设置 > 安全设置:

  • 高级审核策略配置 > 审核策略 > 对象访问 > 审核文件系统 > 定义 > 成功和失败
  • 高级审核策略配置 > 审核策略 > 对象访问 > 审核句柄操作 > 定义 > 成功和失败
  • 本地策略 > 审核策略 > 审核目录服务访问 > 定义 > 成功和失败
  • 事件日志 > 定义 > 最大安全日志大小为 1GB,安全日志的保留方法为根据需要覆盖事件。

2. 打开 ADSI 编辑 > 连接到默认命名上下文 > DC=域名 > CN=系统 > 右键单击“CN=策略”> 属性 > 安全(选项卡)> 高级 > 审核(选项卡)> 单击“添加”> 选择以下设置:

  • 校长:大家;类型:成功;适用于:该对象及其所有后代对象;权限:删除组策略容器对象 > 单击“确定”。

3. 导航到 \domainnamesysvoldomainfqdn > 右键单击“策略”文件夹并选择“属性”。

4. 选择“安全”选项卡>“高级”按钮>“审核”选项卡> 单击“添加”。

5. 选择委托人:“所有人”;选择“类型:全部”;选择“适用于:此文件夹、子文件夹和文件”;选择以下“高级权限”:写入属性;编写扩展属性;删除;删除子文件夹和文件;单击“确定”三次。

6. 要定义删除的组策略,请过滤事件 ID 4663 的安全事件日志(任务类别 - “文件系统”或“可移动存储”)并搜索“对象名称:”字符串,您可以在其中搜索可以找到已删除策略的路径和 GUID,“帐户名称”字段包含有关谁删除它的信息。

现在了解如何通过两步找出谁删除了组策略对象>>

猜你还喜欢

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

精品推荐!
欢迎 访客 登录没有账号?
  • 最新文章
  • 热门文章
  • 热评文章
最新评论
    热门tag
    友情链接

    关灯