O Windows registra a criação de pastas compactadas ou arquivos zip?

Não, o Visualizador de Eventos não mostrará isso. O Visualizador de Eventos mantém logs sobre eventos de programa, segurança e sistema no seu computador, não ações do usuário. Consulte o link para obter mais informações.

Tanto quanto eu sei, não há recurso (nativo) do Windows que permitirá que você veja quais arquivos foram adicionados a uma pasta zipada. Há auditoria de segurança do Windows, mas não acredito que forneça esse nível de granularidade de atividade do usuário. Consulte o link :

Security auditing is a powerful tool to help maintain the security of an enterprise. Auditing can be used for a variety of purposes, including forensic analysis, regulatory compliance, monitoring user activity, and troubleshooting. Industry regulations in various countries or regions require enterprises to implement a strict set of rules related to data security and privacy. Security audits can help implement such policies and prove that these policies have been implemented. Also, security auditing can be used for forensic analysis, to help administrators detect anomalous behavior, to identify and mitigate gaps in security policies, and to deter irresponsible behavior by tracking critical user activities.

A única sugestão que tenho para você é: se você tiver a cópia de sombra ativada, poderá tentar ver o instantâneo da pasta que foi compactada, para ver se ela continha o arquivo em questão quando o funcionário criou o arquivo zip. / p>     

Como a resposta da wysiwyg diz, não há log de eventos que contenha informações sobre arquivos ZIP criados, a menos que haja auditoria em vigor para aquele diretório, caso em que você poderia teoricamente ver quais arquivos foram lidos antes do ZIP ser criado. Eu testei isso criando um arquivo ZIP usando Enviar para | Pasta compactada (zipada) e consultando os logs de eventos principais, que não tinham nada sobre o incidente. Existem muitos outros logs menores em Logs de Aplicativos e Serviços , mas eles também não são úteis. Para provar isso, podemos usar o PowerShell!

Get-WinEvent -ListLog * | ? { $_.RecordCount -gt 0 } | % { Get-WinEvent -LogName $_.LogName -MaxEvents 100 } | ? { $_.ToXml().Contains('.zip') }

Se for executado como administrador, ele examinará todos os logs de eventos não vazios, obterá os últimos cem eventos e retornará todos os que incluírem uma menção a um arquivo .zip . Isso produziu zero resultados para mim.

Também não consegui encontrar nenhum arquivo de log no disco que foi atualizado durante o incidente. Eu verifiquei isso observando a atividade do sistema de arquivos de explorer.exe usando o Process Monitor . Ele gerou uma carga de eventos, muitos para examinar manualmente, então eu exportei o log como um arquivo CSV. Para obter uma lista dos caminhos exclusivos acessados (já que a grande maioria dos eventos tem a ver com apenas alguns caminhos), podemos usar novamente o PowerShell:

Import-Csv C:\path\to\report.csv | group Path | select -ExpandProperty Name

Examinar a lista não revela nada de interessante, apenas arquivos envolvidos na compactação ou foram apenas tocados por processos em segundo plano.

Se o arquivo ZIP ainda existir no disco, podemos mais ou menos provar que ele foi criado quando ele diz ser (relevante desde tempos de criação podem ser falsificados ). Essa informação é mantida no índice de pesquisa do Windows, que podemos consultar usando - você adivinhou - PowerShell!

$sql = "select System.ItemName, System.DateCreated from SYSTEMINDEX where System.ItemName like '%.zip'"
$connector = [System.Data.OleDb.OleDbDataAdapter]::new($sql, "provider=search.collatordso;extended properties='application=windows';")
$data = [System.Data.DataSet]::new()
$connector.Fill($data)
$data.Tables[0]

(Baseado no código em this article por Russell Smith.) Ele produz o caminho e o horário de criação (em UTC, não o fuso horário do sistema) para cada ZIP no índice. Infelizmente, isso não diz o que foi incluído no arquivo ZIP, mas é o melhor que podemos fazer.