Creo que no hay otra forma de verificar en un Sistema Windows (por ejemplo, Win 7) que ha copiado o accedido a un archivo o carpeta, excepto habilitar la Auditoría de archivos en la Política de seguridad local.
Ahora que he habilitado la política (Configuración de seguridad> Política de auditoría> Acceso al objeto de auditoría (éxito, falla) ; mi pregunta es ¿cómo sé ahora si alguien ha copiado / visto / modificado el archivo / carpeta?
Como ya tenemos configurada la Auditoría de política local según sus preferencias, lo que debemos hacer es buscar eventos de seguridad de la siguiente manera:
Panel de control> Herramientas administrativas> Visor de eventos> Registros de Windows> Seguridad
Luego buscamos los eventos mencionados. La lista de todos estos eventos de seguridad plausibles se encuentra en technet.microsoft.com - Configuración de la política de auditoría en Políticas locales \ Política de auditoría
Para eventos específicos del acceso a Diectory, visite technet.microsoft.com - Acceso al servicio de directorio de auditoría
Tratar con datos de auditoría de archivos puede ser un desastre, especialmente para PCI o para otras necesidades de todo el servidor. Existen varios productos en el mercado que pueden ayudar, pero la mayoría de ellos dependen del registro de eventos.
Nuestra empresa tiene uno que puede hacerlo sin el registro de eventos; se llama FileSure y puede encontrarlo aquí: http://www.bystorm.com
Para ser justos, nuestro mejor competidor es File System Auditor de Quest y tampoco usan el registro de eventos.
La copia de archivos y / o el robo de datos es más difícil de detectar, ya que mientras sus datos están en el servidor, es muy probable que la copia ocurra en una estación de trabajo. Sé que FileSure también puede ayudar con eso ... No sé si nuestros competidores pueden hacerlo.
fuente