高級審核策略配置刪除哪個文件
Ⅰ 電腦審核策略在哪設置
方法/步驟
在「本地策略」的下拉菜單中,點擊【審核策略】,在右側的窗格中列出了可以審核的事件,雙擊其中的策略就可以設置是否審核該事件以及審核成功事件還是失敗事件。
電腦怎麼樣設置審核策略
用非管理員用戶登錄,然後注銷,再用Administrator登錄,依次選擇【開始】→【控制面板】→【管理工具】→【事件查看器】,出現「事件查看器」窗口,單擊「Windows日誌」,然後選擇【安全】
電腦怎麼樣設置審核策略
在「本地策略」窗口單擊【審核策略】,在右側的窗格中雙擊「審核對象訪問」
電腦怎麼樣設置審核策略
選擇要審核的文件與用戶,右鍵單擊要審核的文件或者文件夾,依次選擇【屬性】→【安全】→【高級】→【審核】
電腦怎麼樣設置審核策略
在上圖中單擊【編輯】→【添加】→【高級】→【立即查找】,選擇用戶或組,單擊【確定】
電腦怎麼樣設置審核策略
在打開的如圖對話框中選擇將要進行的審核操作,勾選你需要的操作,單擊【確定】結束設置
電腦怎麼樣設置審核策略
Ⅱ 關於服務配置
1.察看本地共享資源
運行CMD輸入net share,如果看到有異常的共享,那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。
2.刪除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續刪除)
3.刪除ipc$空連接
在運行內輸入regedit,在注冊表中找到 HKEY-LOCAL_ 項里數值名稱RestrictAnonymous的數值數據由0改為1。
4.關閉自己的139埠,ipc和RPC漏洞存在於此。
關閉139埠的方法是在「網路和撥號連接」中「本地連接」中選取「Internet協議(TCP/IP)」屬性,進入「高級TCP/IP設置」「WinS設置」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139埠。
5.防止rpc漏洞
打開管理工具——服務——找到RPC(Remote Procere Call (RPC) Locator)服務——將故障恢復中的第一次失敗,第二次失敗,後續失敗,都設置為不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445埠的關閉
修改注冊表,添加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled 為REG_DWORD類型鍵值為 0這樣就ok了
7.3389的關閉
XP:我的電腦上點右鍵選屬性-->遠程,將裡面的遠程協助和遠程桌面兩個選項框里的勾去掉。
Win2000server 開始-->程序-->管理工具-->服務里找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,並停止該服務。(該方法在XP同樣適用)
使用2000 pro的朋友注意,網路上有很多文章說在Win2000pro 開始-->設置-->控制面板-->管理工具-->服務里找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,並停止該服務,可以關閉3389,其實在2000pro 中根本不存在Terminal Services。
8.4899的防範
網路上有許多關於3389和4899的入侵方法。4899其實是一個遠程式控制制軟體所開啟的服務端埠,由於這些控制軟體功能強大,所以經常被黑客用來控制自己的肉雞,而且這類軟體一般不會被殺毒軟體查殺,比後門還要安全。
4899不象3389那樣,是系統自帶的服務。需要自己安裝,而且需要將服務端上傳到入侵的電腦並運行服務,才能達到控制的目的。
所以只要你的電腦做了基本的安全配置,黑客是很難通過4899來控制你的。
9、禁用服務
打開控制面板,進入管理工具——服務,關閉以下服務
1.Alerter[通知選定的用戶和計算機管理警報]
2.ClipBook[啟用「剪貼簿查看器」儲存信息並與遠程計算機共享]
3.Distributed File System[將分散的文件共享合並成一個邏輯名稱,共享出去,關閉後遠程計算機無法訪問共享
4.Distributed Link Tracking Server[適用區域網分布式鏈接? ?蹤客戶端服務]
5.Human Interface Device Access[啟用對人體學介面設備(HID)的通用輸入訪問]
6.IMAPI CD-Burning COM Service[管理 CD 錄制]
7.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性,泄露信息]
8.Kerberos Key Distribution Center[授權協議登錄網路]
9.License Logging[監視IIS和SQL如果你沒安裝IIS和SQL的話就停止]
10.Messenger[警報]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
12.Network DDE[為在同一台計算機或不同計算機上運行的程序提供動態數據交換]
13.Network DDE DSDM[管理動態數據交換 (DDE) 網路共享]
14.Print Spooler[列印機服務,沒有列印機就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理並控制遠程協助]
16.Remote Registry[使遠程計算機用戶修改本地注冊表]
17.Routing and Remote Access[在區域網和廣域往提供路由服務.黑客理由路由服務刺探注冊信息]
18.Server[支持此計算機通過網路的文件、列印、和命名管道共享]
19.Special Administration Console Helper[允許管理員使用緊急管理服務遠程訪問命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、列印和登錄到網路]
21.Telnet[允許遠程用戶登錄到此計算機並運行程序]
22.Terminal Services[允許用戶以交互方式連接到遠程計算機]
23.Window s Image Acquisition (WIA)[照相服務,應用與數碼攝象機]
如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因為這完全有可能是黑客使用控製程序的服務端。
10、賬號密碼的安全原則
首先禁用guest帳號,將系統內建的administrator帳號改名~~(改的越復雜越好,最好改成中文的),而且要設置一個密碼,最好是8位以上字母數字元號組合。 (讓那些該死的黑客慢慢猜去吧~)
如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設置一個足夠安全的密碼,同上如果你設置adminstrator的密碼時,最好在安全模式下設置,因為經我研究發現,在系統中擁有最高許可權的帳號,不是正常登陸下的adminitrator帳號,因為即使有了這個帳號,同樣可以登陸安全模式,將sam文件刪除,從而更改系統的administrator的密碼!而在安全模式下設置的administrator則不會出現這種情況,因為不知道這個administrator密碼是無法進入安全模式。許可權達到最大這個是密碼策略:用戶可以根據自己的習慣設置密碼,下面是我建議的設置(關於密碼安全設置,我上面已經講了,這里不再羅嗦了。
打開管理工具.本地安全設置.密碼策略
1.密碼必須符合復雜要求性.啟用
2.密碼最小值.我設置的是8
3.密碼最長使用期限.我是默認設置42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的加密來存儲密碼 禁用
11、本地策略:
這個很重要,可以幫助我們發現那些心存叵測的人的一舉一動,還可以幫助我們將來追查黑客。
(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)
打開管理工具
找到本地安全設置.本地策略.審核策略
1.審核策略更改 成功失敗
2.審核登陸事件 成功失敗
3.審核對象訪問 失敗
4.審核跟蹤過程 無審核
5.審核目錄服務訪問 失敗
6.審核特權使用 失敗
7.審核系統事件 成功失敗
8.審核帳戶登陸時間 成功失敗
9.審核帳戶管理 成功失敗
&nb sp;然後再到管理工具找到
事件查看器
應用程序:右鍵>屬性>設置日誌大小上限,我設置了50mb,選擇不覆蓋事件
安全性:右鍵>屬性>設置日誌大小上限,我也是設置了50mb,選擇不覆蓋事件
系統:右鍵>屬性>設置日誌大小上限,我都是設置了50mb,選擇不覆蓋事件
12、本地安全策略:
打開管理工具
找到本地安全設置.本地策略.安全選項
1.互動式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登陸的]
2.網路訪問.不允許SAM帳戶的匿名枚舉 啟用
3.網路訪問.可匿名的共享 將後面的值刪除
4.網路訪問.可匿名的命名管道 將後面的值刪除
5.網路訪問.可遠程訪問的注冊表路徑 將後面的值刪除
6.網路訪問.可遠程訪問的注冊表的子路徑 將後面的值刪除
7.網路訪問.限制匿名訪問命名管道和共享
8.帳戶.(前面已經詳細講過拉 )
13、用戶許可權分配策略:
打開管理工具
找到本地安全設置.本地策略.用戶許可權分配
1.從網路訪問計算機 裡面一般默認有5個用戶,除Admin外我們刪除4個,當然,等下我們還得建一個屬於自己的ID
2.從遠程系統強制關機,Admin帳戶也刪除,一個都不留
3.拒絕從網路訪問這台計算機 將ID刪除
4.從網路訪問此計算機,Admin也可刪除,如果你不使用類似3389服務
5.通過遠端強制關機。刪掉
14、終端服務配置
打開管理工具
終端服務配置
1.打開後,點連接,右鍵,屬性,遠程式控制制,點不允許遠程式控制制
2.常規,加密級別,高,在使用標准Windows驗證上點√!
3.網卡,將最多連接數上設置為0
4.高級,將裡面的許可權也刪除.[我沒設置]
再點伺服器設置,在Active Desktop上,設置禁用,且限制每個使用一個會話
15、用戶和組策略
打開管理工具
計算機管理.本地用戶和組.用戶;
刪除Support_388945a0用戶等等
只留下你更改好名字的adminisrator許可權
計算機管理.本地用戶和組.組
組.我們就不分組了,每必要把
16、自己動手DIY在本地策略的安全選項
1)當登陸時間用完時自動注銷用戶(本地) 防止黑客密碼滲透.
2)登陸屏幕上不顯示上次登陸名(遠程)如果開放3389服務,別人登陸時,就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
3)對匿名連接的額外限制
4)禁止按 alt+crtl +del(沒必要)
5)允許在未登陸前關機[防止遠程關機/啟動、強制關機/啟動]
6)只有本地登陸用戶才能訪問cd-rom
7)只有本地登陸用戶才能訪問軟碟機
8)取消關機原因的提示
A、打開控制面板窗口,雙擊「電源選項」圖標,在隨後出現的電源屬性窗口中,進入到「高級」標簽頁面;
B、在該頁面的「電源按鈕」設置項處,將「在按下計算機電源按鈕時」設置為「關機」,單擊「確定」按鈕,來退出設置框;
C、以後需要關機時,可以直接按下電源按鍵,就能直接關閉計算機了。當然,我們也能啟用休眠功能鍵,來實現快速關機和開機;
D4、要是系統中沒有啟用休眠模式的話,可以在控制面板窗口中,打開電源選項,進入到休眠標簽頁面,並在其中將「啟用休眠」選項選中就可以了。
9)禁止關機事件跟蹤
開始「Start ->」運行「 Run ->輸入」gpedit.msc 「,在出現的窗口的左邊部分,選擇 」計算機配置「(Computer Configuration )-> 」管理模板「(Administrative Templates)-> 」系統「(System),在右邊窗口雙擊「Shutdown Event Tracker」 在出現的對話框中選擇「禁止」(Disabled),點擊然後「確定」(OK)保存後退出這樣,你將看到類似於Windows 2000的關機窗口
參考資料:網上的
Ⅲ 如何設置對文件夾訪問的審核策略
為文件和文件夾設置審核的步驟如下:
第一步,在組策略窗口中,逐級展開左側窗口中的「計算機配置」→「Windows設置」→「安全設置」→「本地策略」分支,在該分支下選擇「審核策略」選項。
第二步,在右側窗口中用滑鼠雙擊「審核對象訪問」選項,在彈出的「本地安全策略設置」窗口中將「本地策略設置」框內的「成功」和「失敗」復選框都打上「√」標記,然後單擊「確定」按鈕。
第三步,用滑鼠右鍵單擊想要審核的文件或文件夾,選擇彈出菜單的「屬性」命令,接著在彈出的窗口中選擇「安全」標簽。
第四步,單擊「高級」按鈕,選擇「審核」標簽。
第五步,根據具體情況選擇操作:
如果要對一個新組或用戶設置審核,可以單擊「添加」按鈕,並且在「名稱」框中鍵入新用戶名,然後單擊「確定」按鈕打開「審核項目」對話框。
要查看或更改原有的組或用戶審核,可以選擇用戶名,然後單擊「查看/編輯」按鈕。
要刪除原有的組或用戶審核,可以選擇用戶名,然後單擊「刪除」按鈕即可。
第六步,如有必要,在「審核項目」對話框中的「應用到」列表中選取希望審核的項目。
第七步,如果想禁止目錄樹中的文件和子文件夾繼承這些審核項目,選擇「僅對此容器內的對象和/或容器應用這些審核項」復選框。
需要注意的是,只有管理員組成員或在組策略中被授予「管理審核和安全日誌」許可權的用戶才可以審核文件或文件夾。在Windows XP審核文件、文件夾之前,用戶必須啟用組策略中「審核策略」的「審核對象訪問」。否則,設置完文件、文件夾審核時會返回一個錯誤消息,並且文件、文件夾都沒有被審核。
Ⅳ 如何解決 win7 系統 組策略 高級審核策略配
步驟一:我們先打開Win7審核策略,利用組合鍵「Win+R」打開運行,在輸入框中輸入「gpedit.msc」,回車運行,打開組策略編輯器;
步驟二:進入「組策略編輯器」頁面後,我們需要在下面的頁面中依次找到「計算機配置」,之後點擊後找到「Windows設置」,在彈出的下拉菜單中找到「安全設置」,之後找到「本地策略」,再次找到「審核策略」,從右邊細節窗口中,打開「審核對象訪問」;
步驟三:在進入「審問對象訪問 屬性」頁面後,在「本地安全設置」選項卡中將「審核對象訪問」的「審核這些操作」配置為「成功」,「確定」保存設置;
步驟四:按接下來我們以QQ為例,將QQ添加為審核對象,添加QQ為審核對象,找到QQ主程序,右鍵打開「屬性」窗口,切換到「安全」選項卡,打開下方的「高級」按鈕;
步驟五:之後我們在QQ的高級安全設置窗口中,切換到「審核」選項卡。如果你發現需要許可權,那就請輸入管理員賬戶密碼信息或單擊「繼續」按鈕;
步驟六:接著我們還是在在QQ的高級安全設置窗口中,找到」審核「選項,發現「審核項目」為空,繼續點擊左下角的「編輯」;
步驟七:在「QQ的高級安全設置」窗口的「審核」中,我們在「審核」窗口中點擊「添加」,系統會彈出一個「選擇用戶或組」的對話框,將當前用戶名輸入進去,點擊確定」保存;
步驟八:「確定」之後,將會彈出「QQ的審核項目」,在QQ的審核項目窗口中,可以將成功下的「完全控制」勾選。然後一路確定將之前的窗口全部確認退出。
步驟九:接下來我們在查看QQ使用記錄,先利用組合鍵「Win+R」打開運行,輸入「eventvwr.msc」,回車運行,打開「事件查看器」;
步驟十:在左側「Windows日誌」中打開「安全」,右側窗口中就可以看到相對應的事件,其中不難發現有剛才QQ的審核信息。
Ⅳ 虛擬機如何對成功訪問可移動存儲設備的事件進行審核
1、使用域管理員憑據登錄到域控制器。
2、在伺服器管理器中,指向「工具」,然後單擊組策略管理。
3、在控制台樹中,右鍵單擊域控制器上的靈活訪問組策略對象,然後單擊「編輯」。
4、雙擊「計算機配置」,雙擊「策略」,雙擊「Windows設置」,雙擊「安全設置」,雙擊「高級審核策略配置」,雙擊「對象訪問」,然後雙擊「審核可移動存儲」。
5、選中「配置以下審核事件」復選框,選中「成功」復選框(和「失敗」復選框(如果需要)),然後單擊「確定」。
6、如果選中「失敗」復選框,請雙擊「審核句柄操作」,選中「配置以下審核事件」復選框,然後選擇「失敗」。單擊「確定」,然後關閉「組策略管理編輯器」。就可以了。
Ⅵ 請問日誌出現大量「Windows 篩選平台阻止了數據包」怎麼辦
當前伺服器運行什麼應用?
Ⅶ 如何解決WIN10系統文件夾只讀屬性不能更改
1、在文件夾上單擊右鍵,選擇「屬性」。
Ⅷ windows 高級審核策略 與 基本審核策略的對應關系
單擊開始,單擊控制面板,單擊「性能和維護」,然後單擊管理工具。
雙擊本地安全策略。
在左邊的窗格中,雙擊本地策略以將其展開。
在左窗格中,單擊審核策略,以在右窗格中顯示具體的策略設置。
雙擊「審核對象訪問」。
如要審核對特定文件、文件夾和列印機的成功訪問,請選中成功復選框。
如要審核對這些對象的失敗訪問,請選中失敗復選框。
如要同時啟用對此二者的審核,請選中這兩個復選框。
單擊確定。
Ⅸ windows如何查看刪除文件記錄
- 01
打開組策略中的計算機配置-Windows設置-安全設置-本地策略-審核策略的審核對對像訪問, 雙擊出現的對話框中勾選成功和失敗,設置好就可以設置文件和文件夾的審核了;查看記錄時打開事件查看器->安全性,即可看到文件刪除事件。
Microsoft Windows操作系統是美國微軟公司研發的一套操作系統,它問世於1985年,起初僅僅是MS-DOS模擬環境,後續的系統版本由於微軟不斷的更新升級,不但易用,也成為了當前應用最廣泛的操作系統。
windows查看刪除文件記錄具體步驟如下:
1、打開組策略中的計算機配置-Windows設置-安全設置-本地策略-審核策略的審核對對像訪問, 雙擊出現的對話框中勾選成功和失敗,經過上面的設置,現在就可以設置文件和文件夾的審核了。(注須在NTFS的分區上,xp系統中去掉簡單文件共享,否則NTFS分區中安全標簽是隱藏了的)
2、比如說現在須對d:/客戶資料的文件夾做審核。
3、選取文件夾,打開屬性,選擇安性標簽,再點高級,然後選審核,默認是沒有審核項目的,點擊添加,添加所要監視審核對像的用戶及組,確定後打開的對話框中鉤選取“刪除”成功。
4、然後再選取“將這些審核項目只應用到這個容器中的對像和/容器上”復選框。
5、確定即可。
6、查看記錄時打開事件查看器->安全性,即可看到文件刪除事件。
Ⅹ 如何關閉篩選平台連接審核策略
這問題真夠久遠的。
方法(我在Windows
10上使用,其他操作系統請對應自己的版本)
Windows鍵+R調出運行——輸入gpedit.msc——Windows設置——安全設置——高級審核策略配置——系統審核策略-本地組策略對象——對象訪問
在「審核篩選平台連接」和「審核篩選平台數據包丟棄」當中,打勾「配置以下審核事件」,但是「成功」「失敗」留空。
應用或者確定
這不會影響數據包是否放行或者阻止的規則,但以後再不會產生這類的安全事件了。