系統稽核設定

###### tags: `security` # 系統稽核設定 ## 一、讓windows 10 取得gpedit.msc 1. 打開「筆記本」 2. 貼上以下語法： @echo off pushd "%~dp0" dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i" pause 3. 儲存成「新增本機群組原則編輯器.bat」 4. 對「新增本機群組原則編輯器.bat」點右鍵，選擇「以系統管理員身份執行」 ![](https://i.imgur.com/AocOi6r.png) ## 二、啟用稽核設定 1. 按win + R 2. 輸入「gpedit.msc」並點「確定」 ![](https://i.imgur.com/cBbaHe1.png) 3. 點「電腦設定/Windows設定/安全性設定/本機原則/稽核原則」 4. 點右側的「稽核物件存取」 ![](https://i.imgur.com/ZstyyFN.png) 5. 打勾「成功、失敗」，再點「確定」 ![](https://i.imgur.com/L0XVBl7.png) 6. 對要稽核的資料夾上點右鍵，點「內容」 ![](https://i.imgur.com/K5XYoOy.png) 7. 點「安全性」分頁標籤，再點「進階」 ![](https://i.imgur.com/0aHyZCp.png) 8. 點「稽核」分頁標籤，再點「新增」 ![](https://i.imgur.com/ZvFLRGq.png) 9. 輸入「Everyone」，點「確定」 ![](https://i.imgur.com/xxGJimM.png) 10. 打勾以下項目，再點「確定」： ![](https://i.imgur.com/TcG2hjp.png) ## 三、調整稽核紀錄上限 1. 點「開始」，輸入「事件檢視器」 ![](https://i.imgur.com/bBiJGmf.png) 2. 點「Windows紀錄/安全性」 ![](https://i.imgur.com/ULMjbDn.png) 3. 在「安全性」點右鍵，再點「內容」 ![](https://i.imgur.com/CEkALw2.png) 4. 調整稽核紀錄檔案大小 ![](https://i.imgur.com/vn0qCVP.png) ## 四、檢查稽核結果 ![](https://i.imgur.com/iJk9otZ.png) [第六章－稽核與侵入偵測](https://docs.microsoft.com/zh-tw/security-updates/security/20214425)