Sledování přístupu k souborům ve Windows
Potřebuji způsob, jak sledovat přístup k uživatelským souborům v systému Windows. Potřebuji:
- monitorování otevírání uživatelů, úpravy (není třeba vědět, jaké byly změny, jen to, že byl soubor upraven), kopírování, vkládání a přejmenování souborů
- sledování přístupu k souborům na sdílených jednotkách, ke kterým má uživatel přístup
- sledování přístupu k souborům na místních jednotkách je plus
- musí běžet na pozadí (musí být mimo dosah uživatele bez oprávnění)
- nějaký druh hlášení je plus
- není-li k dispozici žádná možnost podávání zpráv, musí mít schopnost exportovat protokoly a protokoly musí být „porovnatelné“ (a nikoli v nějakém „divokém“ formátu, který nemá žádnou logiku/strukturu)
- plus/vyloučení složek, které je třeba sledovat, je plus
Existuje takový nástroj pro Windows?
Našel jsem monitor proces , ale nemohl jsem najít způsob, jak ho spustit na pozadí, a musel bych vytvořit program, abych vytvořil nějaký druh zprávy z procmon logů.
Jakékoli další nástroje, které bych měl vyzkoušet?
Vestavěný audit systému Windows to může provést, pokud provozujete doménu nebo alespoň systém Windows 2003/Vista a jste ochotni ji nastavit ve skupinových zásadách. Povolte auditování přístupu k objektům a poté nastavte soubory a složky, které chcete auditovat. Existuje velké množství nástrojů, které mohou číst a třídit/filtrovat protokoly oken ... Jsem fanouškem GFI EventsManager, ale existuje spousta možností.
Základní blog o tom, jak nastavit, je zde: Jak sledovat přístup k souborům a složkám na souborovém serveru Windows
Přestože se jedná o „reverzní řešení“, které jsem původně potřeboval, protože se instaluje spíše na server než na pracovní stanici, přesto to zmíním. Tento nástroj se nazývá CPTRAX a může to být pro někoho dost dobré.
Jedinou nevýhodou v tuto chvíli je, že nemůžete monitorovat určité uživatele jednotně, ale musíte sledovat každého, kdo přistupuje ke sdíleným jednotkám, a pokud potřebujete informace pouze o určitých uživatelích, uděláte to ve fázi „generování sestavy“. Pokud tedy mít mnoho uživatelů přistupujících ke sdíleným jednotkám a ponechat je „otevřené“ po delší dobu, může to mít znatelný dopad na váš server (CPU a HDD moudrý).
Náš produkt FileAudit (od společnosti ISDecisions) by vám měl být schopen pomoci. Monitoruje a zaznamenává všechny pokusy o přístup a přístup, změny vlastnictví a úpravy oprávnění ke všem souborům a složkám napříč jedním nebo několika systémy Windows - v reálném čase. Je to jednoduché nasazení bez agentů, které lze nainstalovat během několika minut. Zajišťuje zabezpečení pomocí přístupových zpráv a automatických e-mailových upozornění na předem určené přístupové události a centralizuje a archivuje všechny události. Zkušební verze zdarma a plná podpora na http://www.fileaudit.com Doufám, že to pomůže.