Win11启用审核策略与日志记录方法

本文详细介绍了在Windows 11专业版中启用和配置系统审计功能的完整流程——从通过本地安全策略开启全局审核（如登录事件、对象访问等），到为敏感文件夹精准设置用户级操作监控（如写入、删除等），再到利用事件查看器筛选关键事件ID（如4624登录成功、4625登录失败、4663文件访问）实时验证日志生成效果，帮助管理员切实掌握用户行为轨迹，筑牢系统安全审计防线。

如果您需要监控系统中的用户活动，例如记录登录行为或跟踪对敏感文件的访问，则必须正确配置Windows 11的审核策略。以下是启用和配置这些安全审计功能的具体步骤：

本文运行环境：Dell XPS 13，Windows 11 专业版

一、启用核心审核策略

通过本地安全策略，可以开启对关键系统事件的审核，这是生成安全日志的基础。必须先激活这些全局策略，后续针对特定文件的审核才能生效。

1、在任务栏搜索框中输入“本地安全策略”并打开该应用。

2、在左侧导航栏中，依次展开【本地策略】，然后点击【审核策略】。

3、双击【审核账户登录事件】，勾选成功和失败，点击确定。

4、双击【审核对象访问】，同样勾选成功和失败，点击确定。此设置是记录文件与文件夹访问的前提。

5、根据需要，为【审核账户管理】、【审核目录服务访问】、【审核特权使用】和【审核系统事件】等策略重复上述操作，均设置为记录成功与失败事件。

二、配置特定文件夹的访问审核

在启用了全局的“审核对象访问”后，还需为具体的文件或文件夹配置详细的审核项目，以指定要监控哪些用户的何种操作。

1、在文件资源管理器中，找到您想要监控的文件夹（例如 D:\CompanyData），右键单击并选择【属性】。

2、切换到【安全】选项卡，点击底部的【高级】按钮。

3、在“高级安全设置”窗口中，切换到【审核】选项卡，然后点击【添加】。

4、点击【选择主体】，输入您要监控的用户或组的名称（例如 TestUser 或 Everyone），点击检查名称后确定。

5、在下方的权限列表中，勾选您希望记录的操作类型，例如对“TestUser”的“写入”、“删除子文件夹及文件”等操作勾选“成功”进行审核。

6、点击确定保存所有设置，关闭所有窗口。现在对该文件夹的指定操作将会被记录到安全日志中。

三、查看和验证审核日志

配置完成后，必须通过事件查看器来检查是否已按预期生成了日志条目，以验证配置的有效性。

1、在任务栏搜索框中输入“事件查看器”并打开该应用。

2、在左侧面板中，展开【Windows 日志】，然后点击【安全】。

3、在右侧的“操作”面板中，点击【筛选当前日志】。

4、在“事件ID”框中，输入您关心的事件ID。例如，输入 4624, 4625 来查看登录成功与失败的记录，或输入 4663 来查看对象（文件/文件夹）访问事件。

5、执行一个触发事件的操作（例如，用被监控的账户打开一个受审核的文件），然后回到事件查看器并点击【刷新】，您应该能在列表中看到新生成的日志项。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。