公司目前內部架了一台WIN2008 STD
主管目前要求查詢的到檔案存取的記錄
誰登入過?新增、修改、刪除&讀取了哪些資料
目前SVR有AD
請問怎麼設定才會有這些紀錄呢?
謝謝!
這是 MS TECH 另一篇有關檔案稽核的文章,請参考一下:
http://social.technet.microsoft.com/forums/zh-TW/generalsecurityzhcht/thread/e955d0aa-9971-469a-b445-505bfcd534b2/
這是 IThelp 另一篇有關檔案稽核的文章,請参考一下:
http://ithelp.ithome.com.tw/question/10031071
這是接原始回應如何設定及查看log的文章:
http://blog.xuite.net/geniusn/note/26754662
沒錯針對長遠而言確實是需要第三方軟體的協助才會對較方便,不過我想預算可能也一個問題,假如您會寫程式真的寫一支去撈log也是個方法。
請參考附件:事件560,不過如果你不會寫程式,這是件吃力不討好的事。
這樣的作法,其實是相當吃力不討好的
看起來省錢,因為認定都是MIS在作,不用花錢買軟體,主管也只是出張嘴
其實更花錢,因為時間和效率=金錢
這樣說的原因是...
Windows 的 Log 其實本來就很不容易分析,即使透過第三方軟體來分析LOG也是一樣。
(例如:AWStats、GFI...也一樣)
尤其你還要記錄、分析這些行為:登入、新增、修改、刪除、讀取 還有哪些Data
如果僅是單一台電腦、不作分享的話,那還好,資料很單純
如果有開資料夾分享,只要電腦台數一多
1.LOG檔案不管用哪種方式儲存,文字檔、資料庫...也都會很大
2.紀錄多=檔案大=分析起來一定慢且複雜
3.資料準備保存多久?一年?三年?
4.多久才會有機會去查詢一次? (剛開始的時候不算,因為正在興頭上)
建議你可以換個角度去思考和建議你的主管
你的主管會這樣問,代表有重視資料安全,擔心公司資料遭竊取或亂動
加上這二年個資題材發酵...
所以,你可以考慮詢問一些和資安有關的廠商來作DEMO或者介紹
例如:
主動一點的像是:DLP之類的文件加密。就算Data被你COPY走了,也能讓你開不了。
被動一點的像是:類似 IP-Guard 之類的軟硬體側錄的管理軟體,要提供證據就靠這類軟體了。
(不建議買 IP-Gaurd,使用後問題很多,只會增加MIS的工作量,絕對不會減少。)
(我今年才停止維護合約,目前還在找其他方案代替。)
(其他我沒有使用過的產品,我就不介紹了。)
所以,請把方向導向防止公司資料外洩的上面
別把重心糾結在這種小鼻子小眼睛的單一Server存取記錄上
像這樣的紀錄,後續還會有分析、維護...等等一堆工作等著你
作的好=應該;作不好=活該
看到前面一個大坑,千萬別傻傻的還往下跳
方向盤轉個彎,繞過去還是能到達目的地
MIS的工作很多很雜,就像高級水電工一樣
所以,請盡量往簡化工作內容的方向去思考
以上,如有得罪或誤會的地方,還請海涵。