Ich glaube, es gibt keine andere Möglichkeit, ein Windows-System (z. B. Win 7) zu überprüfen, das eine Datei oder einen Ordner kopiert hat oder darauf zugreift, als die Dateiüberwachung in der lokalen Sicherheitsrichtlinie zu aktivieren.
Nachdem ich die Richtlinie aktiviert habe (Sicherheitseinstellungen> Überwachungsrichtlinie> Zugriff auf Überwachungsobjekte (Erfolg, Fehler)) , ist meine Frage, woher weiß ich jetzt, ob jemand die Datei / den Ordner kopiert / angezeigt / geändert hat?
Antworten:
Da wir das Local Policy Audit bereits auf Ihre Einstellungen eingestellt haben, müssen wir nach folgenden Sicherheitsereignissen suchen:
Systemsteuerung> Verwaltung> Ereignisanzeige> Windows-Protokolle> Sicherheit
Dann suchen wir nach den genannten Ereignissen. Die Liste aller dieser plausiblen Sicherheitsereignisse finden Sie unter technet.microsoft.com - Überwachungsrichtlinieneinstellungen unter Lokale Richtlinien \ Überwachungsrichtlinie
Informationen zu Ereignissen, die für den Diectory-Zugriff spezifisch sind, finden Sie unter technet.microsoft.com - Zugriff auf den Audit-Verzeichnisdienst
Der Umgang mit Dateiüberwachungsdaten kann ein Chaos sein, insbesondere für PCI- oder andere serverweite Anforderungen. Es gibt verschiedene Produkte auf dem Markt, die helfen können, aber die meisten von ihnen stützen sich auf das Ereignisprotokoll.
Unsere Firma hat eine, die dies ohne das Ereignisprotokoll tun kann. Es heißt FileSure und ist hier zu finden: http://www.bystorm.com
Um fair zu sein, unser bester Konkurrent ist File System Auditor von Quest und sie verwenden auch nicht das Ereignisprotokoll.
Das Kopieren von Dateien und / oder Datendiebstahl ist schwieriger zu erkennen, da das Kopieren auf einer Workstation höchstwahrscheinlich stattfindet, während sich Ihre Daten auf dem Server befinden. Ich weiß, dass FileSure auch dabei helfen kann ... Ich weiß nicht, ob unsere Konkurrenten dies können.