Windowsでのファイル監査


8

ローカルセキュリティポリシーでファイル監査を有効にする以外に、ファイルまたはフォルダーにコピーまたはアクセスしたWindowsシステム(たとえば、Win 7)を確認する方法は他にないと思います。

ポリシーを有効にしたので([セキュリティの設定]> [監査ポリシー]> [オブジェクトアクセスの監査(成功、失敗)])、私の質問は、誰かがファイル/フォルダーをコピー/表示/変更したかどうかを確認するにはどうすればよいですか?

回答:


6

ローカルポリシー監査は既に設定されているため、次の手順でセキュリティイベントを探す必要があります。

コントロールパネル>管理ツール>イベントビューア> Windowsログ>セキュリティ

次に、上記のイベントを探します。そのようなもっともらしいセキュリティイベントのリストは、technet.microsoft.com-ローカルポリシー\監査ポリシーの下の監査ポリシー設定にリストされています。

Diectoryアクセスに固有のイベントについては、technet.microsoft.comを参照してください -ディレクトリサービスアクセスの監査


イベントID(および私も試した)のイベントログは、右クリック> [プロパティ]> [セキュリティ]> [詳細]> [監査]のオブジェクト(ファイル)に対してのみ生成され、特定のユーザーを追加できます監査。私が欲しいのは、フォルダ内のすべてのファイルです。ドメインにユーザーを手動で追加することができないため、ドメインのすべてのユーザーを監査できます。それは可能でしょうか?

1

ファイル監査データの処理は混乱を招く可能性があり、特にPCIまたはその他のサーバー全体のニーズに対応する必要があります。市場に役立つ製品がいくつかありますが、それらのほとんどはイベントログに依存しています。

当社には、イベントログなしで実行できるものがあります。それはFileSureと呼ばれ、ここで見つけることができます:http ://www.bystorm.com

公平に言うと、私たちの最高の競争相手はQuestのFile System Auditorであり、彼らもイベントログを使用しません。

ファイルのコピーやデータの盗難は、データがサーバー上にある間、コピーがワークステーションで発生する可能性が高いため、検出がより困難です。私もFileSureがそれを助けることができることを知っています...私たちの競争相手ができるかどうかわかりません。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.