Аудит файлов в Windows

8

Я полагаю, что нет другого способа проверить систему Windows (например, Win 7), которая скопировала файл или папку или получила к нему доступ, за исключением включения аудита файлов в локальной политике безопасности.

Теперь, когда я включил политику (Параметры безопасности> Политика аудита> Аудит доступа к объектам (Успех, Сбой) , у меня возник вопрос: как мне теперь узнать, скопировал ли кто-то / просмотрел / изменил файл / папку?

Raystafarian
источник

Ответы:

6

Поскольку у нас уже настроен локальный аудит политики в соответствии с вашими предпочтениями, нам нужно искать события безопасности следующим образом:

Панель управления> Администрирование> Просмотр событий> Журналы Windows> Безопасность

Затем мы ищем указанные события. Список всех таких вероятных событий безопасности приведен по адресу technet.microsoft.com - Параметры политики аудита в разделе «Локальные политики» \ «Политика аудита».

Для событий, относящихся к доступу Diectory, пожалуйста, посмотрите technet.microsoft.com - Аудит доступа к службе каталогов

Hashfyre
источник
Исходя из того, что я понимаю из идентификаторов событий (и я тоже пробовал), журналы событий будут создаваться только для объектов (файлов), для которых я щелкну правой кнопкой мыши> Свойства> Безопасность> Авансы> Аудит и затем добавлю конкретного пользователя, для которого я могу аудит. Что я хочу, так это для всех файлов в архиве; Я могу провести аудит для любого пользователя моего домена, так как я не могу добавлять пользователей в него вручную. Это будет возможно?
1

Работа с данными аудита файлов может привести к путанице, особенно для PCI или некоторых других потребностей сервера. На рынке есть несколько продуктов, которые могут помочь, но большинство из них полагаются на журнал событий.

У нашей компании есть такой, который может сделать это без журнала событий; он называется FileSure, и вы можете найти его здесь: http://www.bystorm.com

Честно говоря, нашим лучшим конкурентом является File System Auditor от Quest, и они также не используют журнал событий.

Копирование файлов и / или кражу данных труднее обнаружить, поскольку, пока ваши данные находятся на сервере, копирование, скорее всего, происходит на рабочей станции. Я знаю, что FileSure может помочь с этим тоже ... Я не знаю, могут ли наши конкуренты.

IUnknown
источник