Windows 中的文件审计

Windows 中的文件审计

我认为除了在本地安全策略中启用文件审核之外,没有其他方法可以检查 Windows 系统(例如 Win 7)中谁复制或访问了文件或文件夹。

现在我已经启用了策略(安全设置 > 审核策略 > 审核对象访问(成功、失败);我的问题是我现在如何知道是否有人复制/查看/修改了该文件/文件夹?

答案1

由于我们已经将本地策略审核设置为您的偏好,我们需要按照以下步骤查找安全事件:

控制面板> 管理工具> 事件查看器> Windows 日志> 安全

然后我们寻找上述事件。所有此类合理安全事件的列表列于 technet.microsoft.com - 本地策略\审核策略下的审核策略设置

有关目录访问的特定事件,请参阅 technet.microsoft.com - 审核目录服务访问

答案2

处理文件审计数据可能很麻烦,尤其是 PCI 或其他服务器范围的需求。市场上有几种产品可以提供帮助,但大多数都依赖于事件日志。

我们公司有一个可以在没有事件日志的情况下做到这一点的系统;它被称为 FileSure,您可以在这里找到它:http://www.bystorm.com

公平地说,我们最好的竞争对手是 Quest 的文件系统审核员,他们也不使用事件日志。

文件复制和/或数据盗窃更难检测,因为虽然您的数据在服务器上,但复制很可能发生在工作站上。我知道 FileSure 也可以提供帮助......我不知道我们的竞争对手是否可以。

相关内容