Windows 11如何启用审核对象访问_Windows 11安全策略中监控文件和文件夹访问

必须启用“审核对象访问”策略并为文件或文件夹配置SACL才能记录操作行为；先通过secpol.msc启用全局审核，再在属性安全高级中添加SACL，专业版可用gpedit.msc扩展配置，最后用事件查看器筛选ID 4663验证。

如果您希望在Windows 11中记录用户对特定文件或文件夹的打开、修改、删除等操作行为，则必须启用“审核对象访问”策略并为对应对象配置系统访问控制列表（SACL）。以下是实现该监控功能的具体方法：

一、启用本地审核策略中的“审核对象访问”

该步骤在系统级别开启对象访问事件的捕获能力，是后续针对具体文件夹生效的前提。未启用此策略时，即使为文件夹设置了审计项，也不会生成安全日志。

1、按 Win + R 打开运行对话框，输入 secpol.msc 并回车，启动本地安全策略控制台。

2、在左窗格依次展开【本地策略】→【审核策略】。

3、在右窗格双击【审核对象访问】。

4、勾选【定义这些策略设置】复选框，同时选中【成功】和【失败】复选框。

5、点击【确定】保存设置。

二、为指定文件或文件夹配置SACL审计项

启用全局策略后，还需为具体目标对象手动添加SACL条目，明确指定哪些用户/组、在何种操作（如读取、写入、删除）下触发日志记录。该配置不继承，必须逐个设置。

1、在文件资源管理器中定位目标文件或文件夹，右键选择【属性】。

2、切换到【安全】选项卡，点击【高级】按钮。

3、在弹出窗口中切换到【审核】选项卡，点击【添加】。

4、点击【选择主体】，输入要监控的用户账户名（例如 TestUser）或组名（如 Everyone），点击【确定】。

5、在【应用于】下拉菜单中选择作用范围（如“仅此文件夹”、“此文件夹、子文件夹和文件”）。

6、在下方权限列表中，勾选需审计的操作类型，例如：读取数据/列出目录、写入数据/添加文件、删除子文件夹和文件等。

7、分别勾选【成功】和【失败】复选框，确保两类操作均被记录。

letterdrop

B2B内容营销自动化平台，从创意到产生潜在客户的内容的最佳实践和工具。

49

查看详情

8、点击【确定】逐级关闭对话框。

三、通过组策略编辑器启用并扩展审核能力

当系统为专业版/企业版且需统一部署或启用更精细控制（如全局文件SACL）时，应使用组策略编辑器替代secpol.msc。该方式支持策略刷新、域环境下发及高级审核事件类型。

1、按 Win + R 输入 gpedit.msc 并回车。

2、导航至【计算机配置】→【Windows 设置】→【安全设置】→【高级审核策略配置】→【系统审核策略】→【对象访问】。

3、双击【审核文件系统】，勾选【配置以下事件】，同时启用【成功】和【失败】。

4、返回上级路径，双击【全局对象访问审核】→【文件系统】。

5、勾选【定义此策略设置】，点击【配置】，在弹出窗口中点击【添加】。

6、输入主体（如 Everyone），在权限列表中勾选所需审计的权限（如 完全控制），点击【确定】。

四、验证审计日志是否正常生成

配置完成后，必须通过实际操作触发事件，并在事件查看器中确认日志条目存在，否则说明策略未生效或权限配置有误。

1、使用已配置审计的用户账户（如 TestUser）登录系统。

2、尝试访问已设置SACL的目标文件夹：打开、复制、修改或删除其中任意文件。

3、以管理员身份重新登录，打开【事件查看器】→【Windows日志】→【安全】。

4、在右侧操作栏点击【筛选当前日志】，在【事件ID】框中输入 4663（句柄被访问的审核事件），点击【确定】。

5、检查结果列表中是否出现时间匹配、操作类型与SACL设置一致的新日志条目。

以上就是Windows 11如何启用审核对象访问_Windows 11安全策略中监控文件和文件夹访问的详细内容，更多请关注php中文网其它相关文章！