it-swarm-eu.dev

Sledování přístupu k souborům ve Windows

Potřebuji způsob, jak sledovat přístup k uživatelským souborům v systému Windows. Potřebuji:

  • monitorování otevírání uživatelů, úpravy (není třeba vědět, jaké byly změny, jen to, že byl soubor upraven), kopírování, vkládání a přejmenování souborů
  • sledování přístupu k souborům na sdílených jednotkách, ke kterým má uživatel přístup
  • sledování přístupu k souborům na místních jednotkách je plus
  • musí běžet na pozadí (musí být mimo dosah uživatele bez oprávnění)
  • nějaký druh hlášení je plus
  • není-li k dispozici žádná možnost podávání zpráv, musí mít schopnost exportovat protokoly a protokoly musí být „porovnatelné“ (a nikoli v nějakém „divokém“ formátu, který nemá žádnou logiku/strukturu)
  • plus/vyloučení složek, které je třeba sledovat, je plus

Existuje takový nástroj pro Windows?

Našel jsem monitor proces , ale nemohl jsem najít způsob, jak ho spustit na pozadí, a musel bych vytvořit program, abych vytvořil nějaký druh zprávy z procmon logů.

Jakékoli další nástroje, které bych měl vyzkoušet?

15
pootzko

Vestavěný audit systému Windows to může provést, pokud provozujete doménu nebo alespoň systém Windows 2003/Vista a jste ochotni ji nastavit ve skupinových zásadách. Povolte auditování přístupu k objektům a poté nastavte soubory a složky, které chcete auditovat. Existuje velké množství nástrojů, které mohou číst a třídit/filtrovat protokoly oken ... Jsem fanouškem GFI EventsManager, ale existuje spousta možností.

Základní blog o tom, jak nastavit, je zde: Jak sledovat přístup k souborům a složkám na souborovém serveru Windows

12
iivel

Přestože se jedná o „reverzní řešení“, které jsem původně potřeboval, protože se instaluje spíše na server než na pracovní stanici, přesto to zmíním. Tento nástroj se nazývá CPTRAX a může to být pro někoho dost dobré.

Jedinou nevýhodou v tuto chvíli je, že nemůžete monitorovat určité uživatele jednotně, ale musíte sledovat každého, kdo přistupuje ke sdíleným jednotkám, a pokud potřebujete informace pouze o určitých uživatelích, uděláte to ve fázi „generování sestavy“. Pokud tedy mít mnoho uživatelů přistupujících ke sdíleným jednotkám a ponechat je „otevřené“ po delší dobu, může to mít znatelný dopad na váš server (CPU a HDD moudrý).

2
pootzko

Náš produkt FileAudit (od společnosti ISDecisions) by vám měl být schopen pomoci. Monitoruje a zaznamenává všechny pokusy o přístup a přístup, změny vlastnictví a úpravy oprávnění ke všem souborům a složkám napříč jedním nebo několika systémy Windows - v reálném čase. Je to jednoduché nasazení bez agentů, které lze nainstalovat během několika minut. Zajišťuje zabezpečení pomocí přístupových zpráv a automatických e-mailových upozornění na předem určené přístupové události a centralizuje a archivuje všechny události. Zkušební verze zdarma a plná podpora na http://www.fileaudit.com Doufám, že to pomůže.

1
chris