Я вважаю, що немає іншого способу перевірити систему Windows (наприклад, Win 7), хто скопіював або отримати доступ до файлу чи папки, за винятком включення аудиту файлів у локальній політиці безпеки.
Тепер, коли я ввімкнув політику (Налаштування безпеки> Аудиторська політика> Аудиторський доступ до об'єктів (Успіх, Невдача) ; моє запитання - як мені тепер знати, чи хтось скопіював / переглянув / змінив файл / папку?
Відповіді:
Оскільки у нас вже встановлено аудит місцевої політики відповідно до ваших уподобань, нам потрібно шукати події безпеки, виконавши:
Панель управління> Адміністративні засоби> Переглядач подій> Журнали Windows> Захист
Потім шукаємо сказані події. Перелік усіх таких правдоподібних подій із безпеки перераховано на technet.microsoft.com - Налаштування політики аудиту в рамках локальної політики \ Політика аудиту
Для подій, характерних для дієтичного доступу, перегляньте сторінку technet.microsoft.com - Служба доступу до каталогу каталогів
Справа з даними аудиторської перевірки файлів може бути безладним, особливо це стосується PCI або деяких інших серверів. На ринку є кілька продуктів, які можуть допомогти, але більшість з них покладаються на журнал подій.
Наша компанія має таку, яка може це зробити без журналу подій; вона називається FileSure, і ви можете знайти її тут: http://www.bystorm.com
Справедливості, наш найкращий конкурент - це ревізор файлової системи від Quest, і вони також не використовують журнал подій.
Копіювання файлів та / або крадіжок даних важче виявити, оскільки, поки ваші дані знаходяться на сервері, копіювання, швидше за все, відбувається на робочій станції. Я знаю, що FileSure теж може допомогти у цьому ... Я не знаю, чи можуть наші конкуренти.