我经营一家小公司,一位资深员工最近离职。当我正要重新格式化他的电脑时,我发现就在离职前,该员工访问了网络驱动器上一些非常机密和敏感的文件位置,然后还访问了标有 e:/ 的可移动驱动器。我通过 Windows 资源管理器中的“最近位置”选项卡发现了这一点。这看起来非常像是下载了敏感和机密文件,这些文件对竞争对手来说非常有价值和有用。显然,我觉得自己有点傻,因为在一个小团队和一家小型新兴公司,我想营造一种信任的氛围,因此没有大公司那样的繁重的电脑锁定功能。有没有办法让我在事件发生后(即现在)看到从网络驱动器传输到可移动驱动器的实际文件是什么?此事件发生在 9 月 12 日,也就是 12 天前。非常感谢您的帮助。
答案1
来源:Windows 事件响应博客复制文件
我时不时会看到这样的问题:“Windows 将复制到 U 盘或 CD/DVD 上的文件日志保存在哪里?”最近,我看到这个问题被发布到几个列表中,并且直接通过电子邮件发送到我的收件箱。;-) 因此,我认为在这里解决这个问题是个好主意,也许可以得到其他人关于如何处理这种情况的评论。
一般来说,Windows 不会保留复制文件的记录或日志。无论您使用命令行“复制”,还是使用拖放,Windows 系统上都没有记录显示“在此日期,用户 X 将此文件从此处复制到此处”。使用 WMI 之类的东西,肯定有人可以编写一个文件系统监视器来查找文件访问并将其与文件创建相关联……但这可能很复杂,因为您还需要对连接到系统的可移动存储设备发出警报,然后将其纳入您的监控方案中。但是,此模型不会考虑用户在 MS Word 中打开文件,然后从文件菜单中选择“另存为...”并将文件保存到另一个位置的情况。