我想要知道谁在何时触碰了文件。我的最后一个问题表明我不能依赖 NTFS。
答案1
根据您的基础设施,实现方式会有所不同,但答案(原则上)是相同的。是时候实施文件审计了。
如果你谈论的是 Windows 服务器上的共享,那么你应该实施通过 GPO 进行文件审计。如果您担心 Windows 工作站,可以通过以下方式实现本地安全策略
答案2
您应该能够打开文件访问审核。这与查看修改日期/时间不同。以下页面有一篇非常好的文章:http://www.techotopia.com/index.php/Auditing_Windows_Server_2008_File_and_Folder_Access
答案3
您可能只想采取下一个逻辑飞跃并朝着所谓的基于主机的入侵检测系统(HIDS)的方向发展,其功能之一是提供文件监控设置。
我不推荐任何适用于 Windows 的 HIDS,但你应该能够找到适合你需求的东西。
答案4
你可以尝试Power Admin 文件查看器。有 30 天的试用期,如果您决定购买,价格也不会太贵。