Je crois qu'il n'y a pas d'autre moyen de vérifier sur un système Windows (par exemple Win 7) qui a copié ou accéder à un fichier ou un dossier, sauf pour activer l'audit de fichiers dans la politique de sécurité locale.
Maintenant que j'ai activé la stratégie (Paramètres de sécurité> Stratégie d'audit> Accès aux objets d'audit (réussite, échec) ; ma question est de savoir comment savoir maintenant si quelqu'un a copié / consulté / modifié le fichier / dossier?
Réponses:
Étant donné que nous avons déjà défini l'audit de stratégie locale selon vos préférences, nous devons rechercher les événements de sécurité en procédant comme suit:
Panneau de configuration> Outils d'administration> Observateur d'événements> Journaux Windows> Sécurité
Ensuite, nous recherchons lesdits événements. La liste de tous ces événements de sécurité plausibles est répertoriée sur technet.microsoft.com - Paramètres de stratégie d'audit sous Stratégies locales \ Stratégie d'audit
Pour les événements spécifiques à l'accès à Diectory, veuillez consulter technet.microsoft.com - Audit de l'accès au service d'annuaire
Le traitement des données d'audit de fichiers peut être un gâchis, en particulier pour PCI ou d'autres besoins à l'échelle du serveur. Il existe plusieurs produits sur le marché qui peuvent vous aider, mais la plupart d'entre eux dépendent du journal des événements.
Notre entreprise en a un qui peut le faire sans le journal des événements; il s'appelle FileSure et vous pouvez le trouver ici: http://www.bystorm.com
Pour être juste, notre meilleur concurrent est File System Auditor de Quest et ils n'utilisent pas non plus le journal des événements.
La copie de fichiers et / ou le vol de données est plus difficile à détecter car pendant que vos données sont sur le serveur, la copie se produit très probablement sur un poste de travail. Je sais que FileSure peut aussi aider à cela ... Je ne sais pas si nos concurrents le peuvent.