8 我相信除了在“本地安全策略”中启用“文件审核”之外,没有其他方法可以检查已复制或访问文件或文件夹的Windows系统(例如Win 7)。 现在,我已启用策略(“安全性设置”>“审核策略”>“审核对象访问(成功,失败)”;我的问题是现在如何知道是否有人复制/查看/修改了文件/文件夹? windows event-log — 雷斯塔法里安 source
6 由于我们已经将“本地策略审核”设置为您的首选项,因此我们需要执行以下操作来查找“安全事件”: 控制面板>管理工具>事件查看器> Windows日志>安全 然后,我们查找所述事件。在technet.microsoft.com-本地策略\审计策略下的审核策略设置中列出了所有此类可能的安全事件的列表。 有关特定于部门访问的事件,请访问 technet.microsoft.com-审核目录服务访问 — 哈什菲尔 source 根据我对事件ID的了解(并且我也尝试过),只会为我右键单击的对象(文件)生成事件日志,右键单击>属性>安全性>高级>审核,然后添加可以为其指定的特定用户审计。我想要的是存档器中的所有文件;我可以对我域中的任何用户进行审核,因为我无法手动将用户添加到该域中。那有可能吗?
1 处理文件审核数据可能会一团糟,尤其是对于PCI或其他服务器范围的需求而言。市场上有几种产品可以提供帮助,但其中大多数依赖事件日志。 我们公司有一个可以在没有事件日志的情况下进行操作的公司;它叫做FileSure,您可以在这里找到它:http ://www.bystorm.com 公平地说,我们最好的竞争对手是Quest的File System Auditor,他们也不使用事件日志。 文件复制和/或数据盗窃更难检测,因为当数据在服务器上时,复制很可能发生在工作站上。我知道FileSure也可以提供帮助...我不知道我们的竞争对手是否可以。 — 未知 source