Windowsでのファイル監査
ローカルセキュリティポリシーでファイル監査を有効にする以外に、ファイルまたはフォルダーをコピーまたはアクセスしたWindowsシステム(たとえば、Win 7)を確認する方法は他にないと思います。
これでポリシーが有効になりました([セキュリティ設定]> [監査ポリシー]> [オブジェクトアクセスの監査(成功、失敗));私の質問は、誰かがファイル/フォルダーをコピー/表示/変更したかどうかを知る方法です?
ローカルポリシー監査が既に設定されているため、次の手順でセキュリティイベントを探す必要があります。
コントロールパネル>管理ツール>イベントビューア> Windowsログ>セキュリティ
次に、前述のイベントを探します。このようなもっともらしいセキュリティイベントすべてのリストは、 technet.Microsoft.com-ローカルポリシー\監査ポリシーの下の監査ポリシー設定 にリストされています。
Diectoryアクセスに固有のイベントについては、 technet.Microsoft.com-ディレクトリサービスアクセスの監査 を参照してください。
ファイル監査データの処理は、特にPCIやその他のサーバー全体のニーズの場合、混乱する可能性があります。市場に役立つ製品がいくつかありますが、それらのほとんどはイベントログに依存しています。
当社には、イベントログなしでそれを実行できるものがあります。それはFileSureと呼ばれ、ここで見つけることができます: http://www.bystorm.com
公平を期すために、私たちの最高の競争相手はQuestのファイルシステム監査人であり、彼らもイベントログを使用しません。
データがサーバー上にある間、コピーはワークステーションで発生する可能性が高いため、ファイルのコピーやデータの盗難の検出はより困難です。私もFileSureがそれを助けることができることを知っています...私たちの競争相手ができるかどうかわかりません.