Auditoria de arquivos no Windows

8

Acredito que não há outra maneira de verificar em um Sistema Windows (por exemplo, o Win 7) que copiou ou acessou um arquivo ou pasta, exceto para ativar a Auditoria de Arquivos na Política de Segurança Local.

Agora que habilitei a política (Configurações de segurança > Política de auditoria > Acesso a objetos de auditoria (sucesso, falha) ; minha pergunta é como saber agora se alguém copiou / visualizou / modificou o arquivo / pasta?

    
por Raystafarian 20.12.2012 / 06:52

2 respostas

6

Como já temos a Auditoria de política local definida para suas preferências, o que precisamos fazer é procurar por eventos de segurança seguindo:

Painel de controle > Ferramentas Administrativas > Visualizador de Eventos > Logs do Windows > Segurança

Então nós procuramos pelos ditos eventos. A lista de todos esses Eventos de Segurança plausíveis está listada em technet.microsoft.com - Configurações de política de auditoria em Diretivas locais \ Diretiva de auditoria

Para eventos específicos do acesso à diálise, consulte technet.microsoft.com - Auditoria de acesso ao serviço de diretório

    
por 20.12.2012 / 07:22
1

Lidar com dados de auditoria de arquivos pode ser uma bagunça, especialmente para PCI ou outras necessidades de servidor. Existem vários produtos no mercado que podem ajudar, mas a maioria deles depende do log de eventos.

Nossa empresa tem uma que pode fazer isso sem o log de eventos; ele se chama FileSure e você pode encontrá-lo aqui: link

Para ser justo, nosso melhor concorrente é o Auditor de Sistema de Arquivos da Quest e eles também não usam o registro de eventos.

A cópia de arquivos e / ou o roubo de dados são mais difíceis de detectar, já que, enquanto seus dados estão no servidor, a cópia provavelmente está acontecendo em uma estação de trabalho. Eu sei que o FileSure pode ajudar com isso também ... Eu não sei se nossos concorrentes podem.

    
por 20.12.2012 / 15:50