Acredito que não há outra maneira de verificar um sistema Windows (por exemplo, o Windows 7) que tenha copiado ou acessado um arquivo ou pasta, exceto para ativar a Auditoria de Arquivos na Diretiva de Segurança Local.
Agora que habilitei a política (Configurações de segurança> Política de auditoria> Acesso ao objeto de auditoria (êxito, falha)) , minha pergunta é como saber agora se alguém copiou / visualizou / modificou o arquivo / pasta?
Como já temos a Auditoria de Diretiva Local definida com suas preferências, o que precisamos fazer é procurar Eventos de Segurança, seguindo:
Painel de Controle> Ferramentas Administrativas> Visualizador de Eventos> Logs do Windows> Segurança
Então olhamos para os eventos mencionados. A lista de todos esses eventos de segurança plausíveis está listada em technet.microsoft.com - Configurações de diretiva de auditoria em Diretivas locais \ Diretiva de auditoria
Para eventos específicos para o acesso ao Diectory, consulte technet.microsoft.com - Acesso ao serviço de diretório de auditoria
Lidar com dados de auditoria de arquivos pode ser uma bagunça, especialmente para PCI ou para outras necessidades de todo o servidor. Existem vários produtos no mercado que podem ajudar, mas a maioria deles depende do log de eventos.
Nossa empresa possui uma que pode fazer isso sem o log de eventos; é chamado FileSure e você pode encontrá-lo aqui: http://www.bystorm.com
Para ser justo, nosso melhor concorrente é o File System Auditor da Quest e eles também não usam o log de eventos.
A cópia de arquivos e / ou roubo de dados é mais difícil de detectar, pois enquanto seus dados estão no servidor, é mais provável que a cópia esteja ocorrendo em uma estação de trabalho. Sei que o FileSure também pode ajudar nisso ... Não sei se nossos concorrentes podem.
fonte