Tôi tin rằng không có cách nào khác để kiểm tra Hệ thống Windows (ví dụ Win 7) đã sao chép hoặc truy cập tệp hoặc thư mục ngoại trừ cho phép Kiểm tra tệp trong Chính sách bảo mật cục bộ.
Bây giờ tôi đã kích hoạt chính sách (Cài đặt bảo mật> Chính sách kiểm toán> Truy cập đối tượng kiểm toán (Thành công, thất bại) ; câu hỏi của tôi là làm sao bây giờ nếu ai đó đã sao chép / xem / sửa đổi tệp / thư mục?
Câu trả lời:
Vì chúng tôi đã cài đặt Kiểm toán chính sách cục bộ theo sở thích của bạn, điều chúng tôi cần làm là tìm kiếm Sự kiện bảo mật bằng cách làm theo:
Bảng điều khiển> Công cụ quản trị> Trình xem sự kiện> Nhật ký Windows> Bảo mật
Sau đó, chúng tôi tìm kiếm các sự kiện nói. Danh sách tất cả các sự kiện bảo mật hợp lý như vậy được liệt kê tại technet.microsoft.com - Cài đặt chính sách kiểm toán theo Chính sách địa phương \ Chính sách kiểm toán
Đối với các sự kiện cụ thể đối với quyền truy cập Diectory, vui lòng xem technet.microsoft.com - Truy cập dịch vụ thư mục Audit
Xử lý dữ liệu kiểm toán tập tin có thể là một mớ hỗn độn, đặc biệt là đối với PCI hoặc một số nhu cầu rộng rãi của máy chủ khác. Có một số sản phẩm trên thị trường có thể giúp đỡ nhưng hầu hết chúng đều dựa vào nhật ký sự kiện.
Công ty chúng tôi có một cái có thể làm điều đó mà không cần nhật ký sự kiện; nó được gọi là FileSure và bạn có thể tìm thấy nó ở đây: http://www.bystorm.com
Công bằng mà nói, đối thủ cạnh tranh tốt nhất của chúng tôi là Kiểm toán viên hệ thống tệp từ Quest và họ cũng không sử dụng nhật ký sự kiện.
Sao chép tệp và / hoặc đánh cắp dữ liệu khó phát hiện hơn vì trong khi dữ liệu của bạn ở trên máy chủ, việc sao chép rất có thể xảy ra trên máy trạm. Tôi biết FileSure cũng có thể giúp với điều đó ... Tôi không biết liệu các đối thủ của chúng tôi có thể.