Uważam, że nie ma innego sposobu sprawdzenia systemu Windows (na przykład Win 7), który skopiował plik lub folder lub uzyskał do niego dostęp, z wyjątkiem włączenia inspekcji plików w lokalnych zasadach bezpieczeństwa.
Teraz, gdy włączyłem tę zasadę (Ustawienia zabezpieczeń> Zasady inspekcji> Audytu dostępu do obiektu (sukces, niepowodzenie) ; moje pytanie brzmi: skąd mam wiedzieć, czy ktoś skopiował / przeglądał / zmodyfikował plik / folder?
Odpowiedzi:
Ponieważ mamy już ustawiony lokalny audyt zasad zgodnie z Twoimi preferencjami, musimy poszukać zdarzeń bezpieczeństwa, wykonując następujące czynności:
Panel sterowania> Narzędzia administracyjne> Podgląd zdarzeń> Dzienniki systemu Windows> Bezpieczeństwo
Następnie szukamy wspomnianych wydarzeń. Lista wszystkich takich prawdopodobnych zdarzeń bezpieczeństwa znajduje się na stronie technet.microsoft.com - Ustawienia zasad inspekcji w obszarze Zasady lokalne \ Zasady inspekcji
Informacje dotyczące wydarzeń związanych z dostępem do Diectory można znaleźć na stronie technet.microsoft.com - Audyt dostępu do usługi katalogowej
Radzenie sobie z danymi kontroli plików może być bałaganem, szczególnie w przypadku PCI lub innych potrzeb całego serwera. Na rynku jest kilka produktów, które mogą pomóc, ale większość z nich opiera się na dzienniku zdarzeń.
Nasza firma ma taką, która może to zrobić bez dziennika zdarzeń; nazywa się FileSure i można go znaleźć tutaj: http://www.bystorm.com
Szczerze mówiąc, naszym najlepszym konkurentem jest Audytor Systemu Plików z Quest i oni również nie używają dziennika zdarzeń.
Kopiowanie plików i / lub kradzież danych są trudniejsze do wykrycia, ponieważ gdy dane znajdują się na serwerze, kopiowanie najprawdopodobniej dzieje się na stacji roboczej. Wiem, że FileSure też może w tym pomóc ... Nie wiem, czy nasi konkurenci mogą.