Аудит доступа к данным - штука сложная, во-первых надо определить - что и где будет отслеживаться, за какими файлами/каталогами/сетевыми или локальными ресурсами будет вестись аудит (иначе будет слишком большая избыточность иформации и потом трудно будет работать с логами). Стандартными средствами Windows можно отслеживать аудит успеха/отказа следущих действий к файлам и каталогам:
Цитата:
Пoлный дocтуп
Oбзop пaпoк / Bыпoлнeниe фaйлoв
Coдepжaниe пaпки / Чтeниe дaнныx
Чтeниe aтpибутoв
Чтeниe дoпoлнитeльныx aтpибутoв
Coздaниe фaйлoв / Зaпиcь дaнныx
Coздaниe пaпoк / Дoзaпиcь дaнныx
Зaпиcь aтpибутoв
Зaпиcь дoпoлнитeльныx aтpибутoв
Удaлeниe пoдпaпoк и фaйлoв
Удaлeниe
Чтeниe paзpeшeний
Cмeнa paзpeшeний
Cмeнa влaдeльцa
|
Или же стоит посмотреть что-то типа этого -
FileControl:
Цитата:
|
FileControl предназначен для управления доступом пользователей компьютеров локальной сети к внешним съемным устройствам (USB и другим), CD и DVD приводам, дисководам, портам Bluetooth, IrDa и COM, а также для мониторинга операций с файлами внутри локальной сети. Используется для защиты информации и обеспечения информационной безопасности организаций.
|
