Dateiüberwachung in Windows

8

Ich glaube, es gibt keine andere Möglichkeit, ein Windows-System (z. B. Win 7) zu überprüfen, das eine Datei oder einen Ordner kopiert hat oder darauf zugreift, als die Dateiüberwachung in der lokalen Sicherheitsrichtlinie zu aktivieren.

Nachdem ich die Richtlinie aktiviert habe (Sicherheitseinstellungen> Überwachungsrichtlinie> Zugriff auf Überwachungsobjekte (Erfolg, Fehler)) , ist meine Frage, woher weiß ich jetzt, ob jemand die Datei / den Ordner kopiert / angezeigt / geändert hat?

Raystafarian
quelle

Antworten:

6

Da wir das Local Policy Audit bereits auf Ihre Einstellungen eingestellt haben, müssen wir nach folgenden Sicherheitsereignissen suchen:

Systemsteuerung> Verwaltung> Ereignisanzeige> Windows-Protokolle> Sicherheit

Dann suchen wir nach den genannten Ereignissen. Die Liste aller dieser plausiblen Sicherheitsereignisse finden Sie unter technet.microsoft.com - Überwachungsrichtlinieneinstellungen unter Lokale Richtlinien \ Überwachungsrichtlinie

Informationen zu Ereignissen, die für den Diectory-Zugriff spezifisch sind, finden Sie unter technet.microsoft.com - Zugriff auf den Audit-Verzeichnisdienst

Hashfyre
quelle
Soweit ich weiß, werden die Ereignisprotokolle der Ereignis-IDs (und ich habe es auch versucht) nur für die Objekte (Dateien) generiert, für die ich mit der rechten Maustaste auf> Eigenschaften> Sicherheit> Erweiterungen > Audit klicke und dann einen bestimmten Benutzer hinzufüge, für den ich kann Prüfung. Was ich möchte, ist für alle Dateien in einem Ordner; Ich kann für jeden Benutzer meiner Domain eine Prüfung durchführen, da ich Benutzer nicht manuell hinzufügen kann. Wird das möglich sein?
1

Der Umgang mit Dateiüberwachungsdaten kann ein Chaos sein, insbesondere für PCI- oder andere serverweite Anforderungen. Es gibt verschiedene Produkte auf dem Markt, die helfen können, aber die meisten von ihnen stützen sich auf das Ereignisprotokoll.

Unsere Firma hat eine, die dies ohne das Ereignisprotokoll tun kann. Es heißt FileSure und ist hier zu finden: http://www.bystorm.com

Um fair zu sein, unser bester Konkurrent ist File System Auditor von Quest und sie verwenden auch nicht das Ereignisprotokoll.

Das Kopieren von Dateien und / oder Datendiebstahl ist schwieriger zu erkennen, da das Kopieren auf einer Workstation höchstwahrscheinlich stattfindet, während sich Ihre Daten auf dem Server befinden. Ich weiß, dass FileSure auch dabei helfen kann ... Ich weiß nicht, ob unsere Konkurrenten dies können.

Unbekannt
quelle