Я полагаю, что нет другого способа проверить систему Windows (например, Win 7), которая скопировала файл или папку или получила к нему доступ, за исключением включения аудита файлов в локальной политике безопасности.
Теперь, когда я включил политику (Параметры безопасности> Политика аудита> Аудит доступа к объектам (Успех, Сбой) , у меня возник вопрос: как мне теперь узнать, скопировал ли кто-то / просмотрел / изменил файл / папку?
Работа с данными аудита файлов может привести к путанице, особенно для PCI или некоторых других потребностей сервера. На рынке есть несколько продуктов, которые могут помочь, но большинство из них полагаются на журнал событий.
У нашей компании есть такой, который может сделать это без журнала событий; он называется FileSure, и вы можете найти его здесь: http://www.bystorm.com
Честно говоря, нашим лучшим конкурентом является File System Auditor от Quest, и они также не используют журнал событий.
Копирование файлов и / или кражу данных труднее обнаружить, поскольку, пока ваши данные находятся на сервере, копирование, скорее всего, происходит на рабочей станции. Я знаю, что FileSure может помочь с этим тоже ... Я не знаю, могут ли наши конкуренты.
источник