Win11文件审计设置方法：监控访问修改记录

想精准掌握谁在何时对Windows 11中的关键文件或文件夹进行了读取、写入或删除操作？本文手把手教你通过启用“审核对象访问”策略、为指定文件夹配置精细化审计规则，并利用事件查看器筛选ID 4663日志，快速实现全过程行为追踪——无需第三方工具，仅用系统原生功能即可构建可靠的数据访问审计体系，为安全防护与责任追溯提供坚实依据。

如果您需要在Windows 11系统上追踪特定文件或文件夹的访问与修改行为，以确保数据安全或进行责任追溯，则可以通过配置系统的审计策略来实现。这些策略能够记录用户对文件执行的各类操作，并将日志存储于事件查看器中供后续分析。

本文运行环境：Dell XPS 13，Windows 11

一、启用对象访问审核策略

这是开启文件审计的第一步，必须先在系统层面启用“审核对象访问”策略，否则后续针对具体文件夹的审计设置将不会生效。该步骤激活了系统底层的日志记录功能。

1、按下 Win + R 组合键打开“运行”窗口。

2、输入 gpedit.msc 并按回车，启动“本地组策略编辑器”。

3、依次展开左侧目录：计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略。

4、在右侧列表中，双击“审核对象访问”。

5、在弹出的窗口中，勾选成功和失败两个选项，然后点击“确定”。

二、为指定文件夹配置审计条目

在全局审核策略启用后，需为需要监控的具体文件或文件夹单独配置审计规则。此步骤定义了哪些用户或组的操作会被记录，以及记录哪些类型的操作（如读取、写入、删除等）。

1、在文件资源管理器中找到目标文件夹，右键点击并选择“属性”。

2、切换到“安全”选项卡，点击下方的“高级”按钮。

3、在“高级安全设置”窗口中，切换到“审核”选项卡，然后点击“添加”。

4、点击“选择主体”，在弹出的窗口中输入Everyone，然后点击“检查名称”确认，再点击“确定”。

5、回到权限设置界面，在“应用到”下拉菜单中选择此文件夹、子文件夹和文件。

6、在下方权限列表中，勾选您希望审计的操作类型。建议至少勾选读取(R)、写入(W)、删除(D)等关键权限，以全面覆盖常见操作。

7、确认无误后，连续点击“确定”保存所有设置。

三、使用事件查看器查询审计日志

当用户对已配置审计的文件夹执行操作后，系统会生成对应的安全事件日志。通过事件查看器可以筛选并查看这些日志，从而确定是谁在何时执行了何种操作。

1、按下 Win + X 组合键，从弹出的菜单中选择“事件查看器”。

2、在左侧导航栏中，依次展开“Windows 日志”并点击“安全”。

3、在中间的主窗口中，您会看到大量的安全事件。为了快速定位文件操作，可以在右侧“操作”面板中点击“筛选当前日志”。

4、在“事件ID”输入框中，输入4663，此ID代表“句柄被请求”，通常与文件的打开、读取、写入等访问行为相关。

5、点击“确定”后，日志列表将只显示与文件访问相关的记录。双击任意一条日志，可在详细信息中查看执行操作的用户账户(Security ID)、操作时间以及被访问的文件路径(Object Name)等关键信息。

本篇关于《Win11文件审计设置方法：监控访问修改记录》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！