Я полагаю, что нет другого способа проверить систему Windows (например, Win 7), которая скопировала файл или папку или получила к нему доступ, за исключением включения аудита файлов в локальной политике безопасности.
Теперь, когда я включил политику (Параметры безопасности> Политика аудита> Аудит доступа к объектам (Успех, Сбой) , у меня возник вопрос: как мне теперь узнать, скопировал ли кто-то / просмотрел / изменил файл / папку?
Поскольку у нас уже настроен локальный аудит политики в соответствии с вашими предпочтениями, нам нужно искать события безопасности следующим образом:
Панель управления> Администрирование> Просмотр событий> Журналы Windows> Безопасность
Затем мы ищем указанные события. Список всех таких вероятных событий безопасности приведен по адресу technet.microsoft.com - Параметры политики аудита в разделе «Локальные политики» \ «Политика аудита».
Для событий, относящихся к доступу Diectory, пожалуйста, посмотрите technet.microsoft.com - Аудит доступа к службе каталогов
Работа с данными аудита файлов может привести к путанице, особенно для PCI или некоторых других потребностей сервера. На рынке есть несколько продуктов, которые могут помочь, но большинство из них полагаются на журнал событий.
У нашей компании есть такой, который может сделать это без журнала событий; он называется FileSure, и вы можете найти его здесь: http://www.bystorm.com
Честно говоря, нашим лучшим конкурентом является File System Auditor от Quest, и они также не используют журнал событий.
Копирование файлов и / или кражу данных труднее обнаружить, поскольку, пока ваши данные находятся на сервере, копирование, скорее всего, происходит на рабочей станции. Я знаю, что FileSure может помочь с этим тоже ... Я не знаю, могут ли наши конкуренты.
источник