ฉันเชื่อว่าไม่มีวิธีอื่นในการตรวจสอบระบบ Windows (เช่น Win 7) ที่คัดลอกหรือเข้าถึงไฟล์หรือโฟลเดอร์ยกเว้นการเปิดใช้งานการตรวจสอบไฟล์ในนโยบายความปลอดภัยท้องถิ่น
ตอนนี้ฉันได้เปิดใช้งานนโยบาย(การตั้งค่าความปลอดภัย> นโยบายการตรวจสอบ> การตรวจสอบการเข้าถึงวัตถุ (สำเร็จล้มเหลว)คำถามของฉันคือฉันจะรู้ได้อย่างไรถ้ามีคนคัดลอก / ดู / แก้ไขไฟล์ / โฟลเดอร์?
คำตอบ:
เนื่องจากเราได้ตั้งค่าการตรวจสอบนโยบายท้องถิ่นตามที่คุณต้องการสิ่งที่เราต้องทำคือมองหาเหตุการณ์ความปลอดภัยโดยทำตาม:
แผงควบคุม> เครื่องมือการดูแลระบบ> ตัวแสดงเหตุการณ์> บันทึกของ Windows> ความปลอดภัย
จากนั้นเราจะมองหาเหตุการณ์ที่กล่าวมา รายการเหตุการณ์ความปลอดภัยที่เป็นไปได้ทั้งหมดมีอยู่ใน technet.microsoft.com - การตั้งค่านโยบายการตรวจสอบภายใต้นโยบายท้องถิ่น \ นโยบายการตรวจสอบ
สำหรับเหตุการณ์ที่เฉพาะเจาะจงสำหรับการเข้าถึง Diectory โปรดดูที่ technet.microsoft.com - การเข้าถึงบริการไดเรกทอรีการตรวจสอบ
การจัดการกับข้อมูลการตรวจสอบไฟล์อาจเป็นเรื่องยุ่งเหยิงโดยเฉพาะสำหรับ PCI หรือบางความต้องการของเซิร์ฟเวอร์อื่น ๆ มีผลิตภัณฑ์หลายอย่างในตลาดที่สามารถช่วยได้ แต่ส่วนใหญ่ของพวกเขาพึ่งพาบันทึกเหตุการณ์
บริษัท ของเรามีสิ่งหนึ่งที่สามารถทำได้โดยไม่มีบันทึกเหตุการณ์ มันชื่อว่า FileSure และคุณสามารถค้นหาได้ที่นี่: http://www.bystorm.com
เพื่อความเป็นธรรมคู่แข่งที่ดีที่สุดของเราคือผู้ตรวจสอบระบบไฟล์จากเควสและพวกเขาไม่ใช้บันทึกเหตุการณ์เช่นกัน
การคัดลอกไฟล์และ / หรือการขโมยข้อมูลนั้นยากต่อการตรวจจับเนื่องจากในขณะที่ข้อมูลของคุณอยู่บนเซิร์ฟเวอร์การคัดลอกมักเกิดขึ้นบนเวิร์กสเตชัน ฉันรู้ว่า FileSure สามารถช่วยได้เช่นกัน ... ฉันไม่รู้ว่าคู่แข่งของเราสามารถทำได้หรือไม่