我不相信这是可能的,尽管有可能,但是我们最近解雇了一名员工,有人看到他在被解雇前不久从 Exchange 服务器复制了一些东西,是否可以看到复制了哪些文件?操作系统是 Windows Server 2008 Enterprise。其他人声称这是可能的,并且它出现在事件日志中,但是我在谷歌上找不到任何相关信息。
答案1
这是有可能的,因为相关 Exchange 服务器上的文件系统对象已启用对象访问审核或全局对象访问审核。在这种情况下,您可以通过按其Security
用户名筛选日志来跟踪其访问文件的尝试。
然而,就日志记录而言,对象访问审计的成本很高,因为服务器上运行的大多数进程始终与文件系统交互。因此,大多数组织从不为服务器上的文件系统对象启用对象访问审计,除非安全审计策略明确将其指定为合规性要求。
即使为服务器启用并配置了对象访问审核,您仍可能会发现安全日志已被覆盖,因为您的前同事复制了他/她可能复制的所有文件,因为此功能会导致大量的日志记录。