Win11启用审核策略设置教程

本篇文章主要是结合我之前面试的各种经历和实战开发中遇到的问题解决经验整理的，希望这篇《Win11启用审核策略配置方法》对你有很大帮助！欢迎收藏，分享给更多的需要的朋友学习~

首先启用Windows 11的审核策略，通过本地安全策略开启账户登录、对象访问等事件的审核；接着为特定文件夹配置详细审核项，指定用户及操作类型；最后使用事件查看器筛选安全日志中的事件ID（如4624、4625、4663）验证日志生成情况。

如果您需要监控系统中的用户活动，例如记录登录行为或跟踪对敏感文件的访问，则必须正确配置Windows 11的审核策略。以下是启用和配置这些安全审计功能的具体步骤：

本文运行环境：Dell XPS 13，Windows 11 专业版

一、启用核心审核策略

通过本地安全策略，可以开启对关键系统事件的审核，这是生成安全日志的基础。必须先激活这些全局策略，后续针对特定文件的审核才能生效。

1、在任务栏搜索框中输入“本地安全策略”并打开该应用。

2、在左侧导航栏中，依次展开【本地策略】，然后点击【审核策略】。

3、双击【审核账户登录事件】，勾选成功和失败，点击确定。

4、双击【审核对象访问】，同样勾选成功和失败，点击确定。此设置是记录文件与文件夹访问的前提。

5、根据需要，为【审核账户管理】、【审核目录服务访问】、【审核特权使用】和【审核系统事件】等策略重复上述操作，均设置为记录成功与失败事件。

二、配置特定文件夹的访问审核

在启用了全局的“审核对象访问”后，还需为具体的文件或文件夹配置详细的审核项目，以指定要监控哪些用户的何种操作。

1、在文件资源管理器中，找到您想要监控的文件夹（例如 D:\CompanyData），右键单击并选择【属性】。

2、切换到【安全】选项卡，点击底部的【高级】按钮。

3、在“高级安全设置”窗口中，切换到【审核】选项卡，然后点击【添加】。

4、点击【选择主体】，输入您要监控的用户或组的名称（例如 TestUser 或 Everyone），点击检查名称后确定。

5、在下方的权限列表中，勾选您希望记录的操作类型，例如对“TestUser”的“写入”、“删除子文件夹及文件”等操作勾选“成功”进行审核。

6、点击确定保存所有设置，关闭所有窗口。现在对该文件夹的指定操作将会被记录到安全日志中。

三、查看和验证审核日志

配置完成后，必须通过事件查看器来检查是否已按预期生成了日志条目，以验证配置的有效性。

1、在任务栏搜索框中输入“事件查看器”并打开该应用。

2、在左侧面板中，展开【Windows 日志】，然后点击【安全】。

3、在右侧的“操作”面板中，点击【筛选当前日志】。

4、在“事件ID”框中，输入您关心的事件ID。例如，输入 4624, 4625 来查看登录成功与失败的记录，或输入 4663 来查看对象（文件/文件夹）访问事件。

5、执行一个触发事件的操作（例如，用被监控的账户打开一个受审核的文件），然后回到事件查看器并点击【刷新】，您应该能在列表中看到新生成的日志项。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《Win11启用审核策略设置教程》文章吧，也可关注golang学习网公众号了解相关技术文章。