|
|
发表于 16-1-2015 04:50 PM
|
显示全部楼层
LZ 是 login domain 的吗?
如果是公司的 System Admin 要做的,你也不会懂。
他 RDP 进你的电脑, 用 Local Admin / Domain Admin, 就能达到他的目的。
LZ,可以试下,把你的文件都放去一个文件夹 (folder)。
Right-click 那个文件夹 --〉Properties --> Security tab --> Advanced --> Audit tab, 按 Continue (如有)
在这,加入 “Authenticated Users”; Object 视窗会出来。
在 Object 视窗里,选:
Delete subfolders and files - Successful; Failed
Delete - Successful; Failed
然后,OK / Apply。
TESTING:
尝试在那个文件夹里 delete 任何文件。
去 Event Viewer --〉Windows Logs --〉Security 看看。
|
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 16-1-2015 05:19 PM
|
显示全部楼层
谢谢那么详细教导。
我去Event Viewer 那边进到security, 出现 audit success... 看不懂哦。
|
|
|
|
|
|
|
|
|
|
|
|
发表于 16-1-2015 05:38 PM
|
显示全部楼层
要看 details 的。
如以下 sample,就知道是谁删除你的文件了。
如果 user_login_name 是你自己的话,两个可能:(1)你自己 delete 的; (2)你的 login/password 被人知道了。
An attempt was made to access an object.
Subject:
Security ID: computer_name\user_login_name
Account Name: user_login_name
Account Domain: domain_name
Logon ID: 0x64f05
Object:
Object Server: Security
Object Type: File
Object Name: C:\Temp\file_name
Handle ID: 0xec0
Process Information:
Process ID: 0xc84
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000
|
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 16-1-2015 05:59 PM
|
显示全部楼层
如图的话,是谁(什么代号)删除过电脑里面的东西?
我的电脑就一定要set 自己的login 和 pw咯?
如果对方在他的电脑删除我的东西,我这里出现的是他的user还是我自己的? |
|
|
|
|
|
|
|
|
|
|
|
发表于 16-1-2015 06:57 PM
|
显示全部楼层
我们cari 几多高手一下 |
|
|
|
|
|
|
|
|
|
|
|
发表于 16-1-2015 07:34 PM
|
显示全部楼层
你放的图,那个是指 Logon 去你的电脑的。
如果你要看是谁,什么时候删除你的文件,你可以用那个 Find 功能,找 “delete”。
当然,你的 Login/Psw 一定要保密的。
如果看到你自己的 Login Name 删除你的文件,而你更定不是你自己,这很大可能你被河蟹了。
另外的,你的电脑只有你的 Login 吗?如果有其他人的 Login, 他有 Administrators Rights 吗?
通常,就只有你自己或 Administrators (Local/Domain 的) 有能力删除你个人文件。
|
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 17-1-2015 12:29 PM
|
显示全部楼层
万分感激你的耐心的教导,教会了我这个复杂的东西。
谢谢你
|
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 17-1-2015 12:30 PM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
| |
 本周最热论坛帖子
|
1831 
60
