반응형
안녕하세요.
오늘은 업무를 진행하는 도중에
누군가 특정 폴더에 문서를 삭제하는 상황이 있었고,
삭제를 한 사용자를 찾다가 파일 삭제에 관한 로그를 남기는 방법이 있어서 소개드립니다.
간단하게 순서만 말씀을 먼저 드리자면,
- 그룹 정책에서 개체 엑세스 감사 정책을 설정
- 로그를 남기고 싶은 폴더에 감사 정책을 설정
- 파일 삭제 후 로그확인(Event ID : 4663)
그럼 설정 방법 확인해보겠습니다.
- 그룹 정책에서 개체 엑세스 감사 정책을 설정
(gpedit.msc -> 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 감사 정책 -> 개체 엑세스 감사(성공, 실패)
- 로그를 남기고 싶은 폴더에 감사 정책을 설정
(해당 폴더 우클릭 -> 속성 -> 보안 -> 고급 -> 감사 -> 추가 -> 보안 주체 선택 -> everyone)
- 고급 권한 표시(필요한 권한에 대해서 설정 : 이번에는 삭제 부분만)
- 해당 폴더에서 파일 삭제 진행
- 이벤트 뷰어(보안)에서 4663 으로 로그 확인(로그 안에 계정 및 파일 정보 있음)
위와 같이 진행하시면 파일 삭제에 대한 감사가 가능하며, 권한에 따라 더 많은 감사도 가능합니다.
감사합니다.
반응형
'SW > Operation System' 카테고리의 다른 글
| Windows Server RDS 활성화 및 구성 (0) | 2021.04.15 |
|---|---|
| 즐겨찾기 백업 복원 Explorer 에서 다른 브라우저로 (0) | 2021.04.08 |
| Windows Admin Center 알아보기 (0) | 2021.03.19 |
| DTCPing.exe 사용법. (0) | 2021.03.11 |
| 보안취약점 - Windows Server 2019 - KISA 2017.12. (1) | 2021.03.08 |
