我认为除了在本地安全策略中启用文件审核之外,没有其他方法可以检查 Windows 系统(例如 Win 7)中谁复制或访问了文件或文件夹。
现在我已经启用了策略(安全设置 > 审核策略 > 审核对象访问(成功、失败);我的问题是我现在如何知道是否有人复制/查看/修改了该文件/文件夹?
答案1
由于我们已经将本地策略审核设置为您的偏好,我们需要按照以下步骤查找安全事件:
控制面板> 管理工具> 事件查看器> Windows 日志> 安全
然后我们寻找上述事件。所有此类合理安全事件的列表列于 technet.microsoft.com - 本地策略\审核策略下的审核策略设置
有关目录访问的特定事件,请参阅 technet.microsoft.com - 审核目录服务访问
答案2
处理文件审计数据可能很麻烦,尤其是 PCI 或其他服务器范围的需求。市场上有几种产品可以提供帮助,但大多数都依赖于事件日志。
我们公司有一个可以在没有事件日志的情况下做到这一点的系统;它被称为 FileSure,您可以在这里找到它:http://www.bystorm.com
公平地说,我们最好的竞争对手是 Quest 的文件系统审核员,他们也不使用事件日志。
文件复制和/或数据盗窃更难检测,因为虽然您的数据在服务器上,但复制很可能发生在工作站上。我知道 FileSure 也可以提供帮助......我不知道我们的竞争对手是否可以。