| Om te detecteren wie een bestand op Windows Server heeft verwijderd, is het inschakelen van auditbeleid vereist. Ga als volgt te werk om auditing in te stellen en de gebruiker te identificeren die verantwoordelijk is voor de verwijdering:
1. Controle inschakelen:
- Open de Editor voor lokaal groepsbeleid (gpedit.msc).
- Ga naar "Lokaal computerbeleid> Computerconfiguratie> Windows-instellingen> Beveiligingsinstellingen> Geavanceerde configuratie van auditbeleid".
- Schakel onder "Objecttoegang" de volgende auditopties in:
- "Auditbestandssysteem"
- "Bestandsdeling controleren"
- "Audit Directory Service-toegang"
- Klik op "Toepassen" en vervolgens op "OK" om auditing in te schakelen.
2. Controleer Logboeken van Logboeken:
- Open Logboeken (Eventvwr.msc) op de Windows Server.
- Vouw "Windows-logboeken> Beveiliging" uit.
- Filter de beveiligingslogboeken op gebeurtenis-ID "4663" (Object verwijderd).
3. Analyseer de evenementdetails:
- Dubbelklik op de relevante gebeurtenis "Object verwijderd".
- Zoek in de gebeurtenisdetails naar de volgende velden:
- "Gebruiker":het gebruikersaccount dat de verwijdering heeft uitgevoerd.
- "Computer":de computer waarvan het bestand is verwijderd.
- "Doelbestandspad":het volledige pad naar het verwijderde bestand.
- "Bestandsnaam":de naam van het bestand dat is verwijderd.
Door deze stappen te combineren, kunt u detecteren wie een bestand op Windows Server heeft verwijderd via auditbeleidsgebeurtenissen die zijn vastgelegd in de Logboeken van Logboeken. |
