Аудит файлів у Windows


8

Я вважаю, що немає іншого способу перевірити систему Windows (наприклад, Win 7), хто скопіював або отримати доступ до файлу чи папки, за винятком включення аудиту файлів у локальній політиці безпеки.

Тепер, коли я ввімкнув політику (Налаштування безпеки> Аудиторська політика> Аудиторський доступ до об'єктів (Успіх, Невдача) ; моє запитання - як мені тепер знати, чи хтось скопіював / переглянув / змінив файл / папку?

Відповіді:


6

Оскільки у нас вже встановлено аудит місцевої політики відповідно до ваших уподобань, нам потрібно шукати події безпеки, виконавши:

Панель управління> Адміністративні засоби> Переглядач подій> Журнали Windows> Захист

Потім шукаємо сказані події. Перелік усіх таких правдоподібних подій із безпеки перераховано на technet.microsoft.com - Налаштування політики аудиту в рамках локальної політики \ Політика аудиту

Для подій, характерних для дієтичного доступу, перегляньте сторінку technet.microsoft.com - Служба доступу до каталогу каталогів


З того, що я розумію щодо ідентифікаторів події (і я також спробував це), журнали подій створюватимуться лише для об’єктів (файлів), на яких я клацну правою кнопкою миші> Властивості> Безпека> Аванси> Аудит, а потім додамо конкретного користувача, для якого я можу аудит. Те, що я хочу, - це всі файли у файлі; Я можу здійснити аудит будь-якого користувача мого домену, оскільки я не можу додавати користувачів до нього вручну. Чи це можливо?

1

Справа з даними аудиторської перевірки файлів може бути безладним, особливо це стосується PCI або деяких інших серверів. На ринку є кілька продуктів, які можуть допомогти, але більшість з них покладаються на журнал подій.

Наша компанія має таку, яка може це зробити без журналу подій; вона називається FileSure, і ви можете знайти її тут: http://www.bystorm.com

Справедливості, наш найкращий конкурент - це ревізор файлової системи від Quest, і вони також не використовують журнал подій.

Копіювання файлів та / або крадіжок даних важче виявити, оскільки, поки ваші дані знаходяться на сервері, копіювання, швидше за все, відбувається на робочій станції. Я знаю, що FileSure теж може допомогти у цьому ... Я не знаю, чи можуть наші конкуренти.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.