Credo che non ci sia altro modo per verificare un sistema Windows (ad esempio Win 7) che ha copiato o acceduto a un file o una cartella se non per abilitare il controllo dei file nella politica di sicurezza locale.
Ora che ho abilitato il criterio (Impostazioni di sicurezza> Politica di controllo> Accesso oggetto di controllo (esito positivo, errore) ; la mia domanda è come faccio a sapere se qualcuno ha copiato / visualizzato / modificato il file / la cartella?
Risposte:
Poiché abbiamo già impostato il controllo delle politiche locali in base alle tue preferenze, ciò che dobbiamo fare è cercare gli eventi di sicurezza seguendo:
Pannello di controllo> Strumenti di amministrazione> Visualizzatore eventi> Registri di Windows> Sicurezza
Quindi cerchiamo i suddetti eventi. L'elenco di tutti questi plausibili eventi di sicurezza sono elencati su technet.microsoft.com - Impostazioni dei criteri di controllo in Criteri locali \ Criteri di controllo
Per eventi specifici dell'accesso a Diectory, consultare technet.microsoft.com - Controlla l'accesso al servizio directory
Trattare con i dati di controllo dei file può essere un disastro soprattutto per PCI o per altre esigenze di server. Esistono diversi prodotti sul mercato che possono aiutare, ma la maggior parte di essi si affida al registro eventi.
La nostra azienda ha uno che può farlo senza il registro eventi; si chiama FileSure e puoi trovarlo qui: http://www.bystorm.com
Per essere onesti, il nostro miglior concorrente è File System Auditor di Quest e non usano nemmeno il registro degli eventi.
La copia di file e / o il furto di dati è più difficile da rilevare poiché, mentre i dati si trovano sul server, è molto probabile che la copia avvenga su una workstation. So che FileSure può aiutare anche in questo ... Non so se i nostri concorrenti possono farlo.