Auditoría de archivos en Windows


8

Creo que no hay otra forma de verificar en un Sistema Windows (por ejemplo, Win 7) que ha copiado o accedido a un archivo o carpeta, excepto habilitar la Auditoría de archivos en la Política de seguridad local.

Ahora que he habilitado la política (Configuración de seguridad> Política de auditoría> Acceso al objeto de auditoría (éxito, falla) ; mi pregunta es ¿cómo sé ahora si alguien ha copiado / visto / modificado el archivo / carpeta?

Respuestas:


6

Como ya tenemos configurada la Auditoría de política local según sus preferencias, lo que debemos hacer es buscar eventos de seguridad de la siguiente manera:

Panel de control> Herramientas administrativas> Visor de eventos> Registros de Windows> Seguridad

Luego buscamos los eventos mencionados. La lista de todos estos eventos de seguridad plausibles se encuentra en technet.microsoft.com - Configuración de la política de auditoría en Políticas locales \ Política de auditoría

Para eventos específicos del acceso a Diectory, visite technet.microsoft.com - Acceso al servicio de directorio de auditoría


Por lo que entiendo de los ID de eventos (y también lo probé), los registros de eventos solo se generarán para los objetos (archivos) en los que haga clic con el botón derecho> Propiedades> Seguridad> Avances> Auditoría y luego agregue un usuario específico para el que pueda auditoría. Lo que quiero es para todos los archivos en un relleno; Puedo llevar a cabo auditorías para cualquier usuario de mi dominio, ya que no es posible agregar usuarios manualmente. ¿Será eso posible?

1

Tratar con datos de auditoría de archivos puede ser un desastre, especialmente para PCI o para otras necesidades de todo el servidor. Existen varios productos en el mercado que pueden ayudar, pero la mayoría de ellos dependen del registro de eventos.

Nuestra empresa tiene uno que puede hacerlo sin el registro de eventos; se llama FileSure y puede encontrarlo aquí: http://www.bystorm.com

Para ser justos, nuestro mejor competidor es File System Auditor de Quest y tampoco usan el registro de eventos.

La copia de archivos y / o el robo de datos es más difícil de detectar, ya que mientras sus datos están en el servidor, es muy probable que la copia ocurra en una estación de trabajo. Sé que FileSure también puede ayudar con eso ... No sé si nuestros competidores pueden hacerlo.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.