Audit de fichiers sous Windows

8

Je crois qu'il n'y a pas d'autre moyen de vérifier sur un système Windows (par exemple Win 7) qui a copié ou accéder à un fichier ou un dossier, sauf pour activer l'audit de fichiers dans la politique de sécurité locale.

Maintenant que j'ai activé la stratégie (Paramètres de sécurité> Stratégie d'audit> Accès aux objets d'audit (réussite, échec) ; ma question est de savoir comment savoir maintenant si quelqu'un a copié / consulté / modifié le fichier / dossier?

Raystafarian
la source

Réponses:

6

Étant donné que nous avons déjà défini l'audit de stratégie locale selon vos préférences, nous devons rechercher les événements de sécurité en procédant comme suit:

Panneau de configuration> Outils d'administration> Observateur d'événements> Journaux Windows> Sécurité

Ensuite, nous recherchons lesdits événements. La liste de tous ces événements de sécurité plausibles est répertoriée sur technet.microsoft.com - Paramètres de stratégie d'audit sous Stratégies locales \ Stratégie d'audit

Pour les événements spécifiques à l'accès à Diectory, veuillez consulter technet.microsoft.com - Audit de l'accès au service d'annuaire

Hashfyre
la source
D'après ce que je comprends de l'ID d'événement (et je l'ai également essayé), les journaux d'événements ne seront générés que pour les objets (fichiers) sur lesquels je clique avec le bouton droit> Propriétés> Sécurité> Avances> Audit , puis j'ajoute un utilisateur spécifique pour qui je peux Audit. Ce que je veux, c'est pour tous les fichiers d'un classeur; Je suis en mesure d'effectuer un audit pour tout utilisateur de mon domaine car il ne m'est pas possible d'y ajouter manuellement des utilisateurs. Est-ce que ce sera possible?
1

Le traitement des données d'audit de fichiers peut être un gâchis, en particulier pour PCI ou d'autres besoins à l'échelle du serveur. Il existe plusieurs produits sur le marché qui peuvent vous aider, mais la plupart d'entre eux dépendent du journal des événements.

Notre entreprise en a un qui peut le faire sans le journal des événements; il s'appelle FileSure et vous pouvez le trouver ici: http://www.bystorm.com

Pour être juste, notre meilleur concurrent est File System Auditor de Quest et ils n'utilisent pas non plus le journal des événements.

La copie de fichiers et / ou le vol de données est plus difficile à détecter car pendant que vos données sont sur le serveur, la copie se produit très probablement sur un poste de travail. Je sais que FileSure peut aussi aider à cela ... Je ne sais pas si nos concurrents le peuvent.

Inconnu
la source