我在 Windows SBS 2008 服务器上有多个共享文件夹。我需要能够判断域用户是否正在访问这些共享并将大量文件复制到他们的笔记本电脑。如果发生这种情况,是否有办法在组策略中打开审核以记录事件。或者更好的是,如果发生此类活动,我可以通过电子邮件收到警报吗?
谢谢,
加里
答案1
我会将日志/审计转发到中央日志服务器并过滤掉“复制”关键字。但您可以找到更适合 Windows 的原生程序。例如 kiwi(适用于 Windows 的 Syslog 替代品)
是的,在大多数情况下,如果某个事件发生多次(例如 1 分钟内发送 30 份),您可以发送电子邮件
您还可以监控服务器的网络流量,如果某个 IP 的流量很大,就将其阻止。{此外,结合审计,您可以获取窃取者的 IP 和用户名:>}