Kontrola plików w systemie Windows

8

Uważam, że nie ma innego sposobu sprawdzenia systemu Windows (na przykład Win 7), który skopiował plik lub folder lub uzyskał do niego dostęp, z wyjątkiem włączenia inspekcji plików w lokalnych zasadach bezpieczeństwa.

Teraz, gdy włączyłem tę zasadę (Ustawienia zabezpieczeń> Zasady inspekcji> Audytu dostępu do obiektu (sukces, niepowodzenie) ; moje pytanie brzmi: skąd mam wiedzieć, czy ktoś skopiował / przeglądał / zmodyfikował plik / folder?

Raystafarian
źródło

Odpowiedzi:

6

Ponieważ mamy już ustawiony lokalny audyt zasad zgodnie z Twoimi preferencjami, musimy poszukać zdarzeń bezpieczeństwa, wykonując następujące czynności:

Panel sterowania> Narzędzia administracyjne> Podgląd zdarzeń> Dzienniki systemu Windows> Bezpieczeństwo

Następnie szukamy wspomnianych wydarzeń. Lista wszystkich takich prawdopodobnych zdarzeń bezpieczeństwa znajduje się na stronie technet.microsoft.com - Ustawienia zasad inspekcji w obszarze Zasady lokalne \ Zasady inspekcji

Informacje dotyczące wydarzeń związanych z dostępem do Diectory można znaleźć na stronie technet.microsoft.com - Audyt dostępu do usługi katalogowej

Hashfyre
źródło
Z tego, co rozumiem z identyfikatorów zdarzeń (I też próbowałem) dzienniki zdarzeń będą generowane tylko dla obiektów (plików), na których klikam prawym przyciskiem myszy> Właściwości> Bezpieczeństwo> Zaliczki> Audyt, a następnie dodam określonego użytkownika, dla którego mogę rewizja. Chcę wszystkich plików w folderze; Jestem w stanie przeprowadzić audyt dla dowolnego użytkownika w mojej domenie, ponieważ nie mogę ręcznie dodawać użytkowników do niego. Czy to będzie możliwe?
1

Radzenie sobie z danymi kontroli plików może być bałaganem, szczególnie w przypadku PCI lub innych potrzeb całego serwera. Na rynku jest kilka produktów, które mogą pomóc, ale większość z nich opiera się na dzienniku zdarzeń.

Nasza firma ma taką, która może to zrobić bez dziennika zdarzeń; nazywa się FileSure i można go znaleźć tutaj: http://www.bystorm.com

Szczerze mówiąc, naszym najlepszym konkurentem jest Audytor Systemu Plików z Quest i oni również nie używają dziennika zdarzeń.

Kopiowanie plików i / lub kradzież danych są trudniejsze do wykrycia, ponieważ gdy dane znajdują się na serwerze, kopiowanie najprawdopodobniej dzieje się na stacji roboczej. Wiem, że FileSure też może w tym pomóc ... Nie wiem, czy nasi konkurenci mogą.

Nie wiem
źródło