none
Что копировали с компьютера - как выяснить стандартными средствами Windows? RRS feed

  • Вопрос

  • Добрый день! Подскажите, плиз, как выяснить - что и куда копировали на рабочей станции в отсутствие владельца? Ну то есть человек знал пароль, входил и что-то копировал на флешку. Понятно, что можно посмотреть в Recent - что открывалось за последнее время. А есть ли возможность узнать, какие именно файлы он себе скопировал при этом? Никаких логгеров на компьютере нет. Стандартные средства что в этом плане предоставляют? Заранее благодарен. P.S. Операционная система - Windows 7 Pro x64.
    27 декабря 2019 г. 7:35

Ответы

  • 1. В Recent вы этих файлов не увидите.

    2. Из стандартных средств приходит на ум разве что Defender - возможно что он сканил копируемые файлы или содержимое флэшки.

    • Предложено в качестве ответа Vector BCOModerator 2 января 2020 г. 7:14
    • Помечено в качестве ответа Vector BCOModerator 13 января 2020 г. 6:52
    27 декабря 2019 г. 8:12
  • эти логи отключены по дефолту.

    ну можно пробежаться по атрибуту ласт ассессед в фс, но там будет куча мусора.

    • Предложено в качестве ответа Vector BCOModerator 2 января 2020 г. 7:14
    • Помечено в качестве ответа Vector BCOModerator 13 января 2020 г. 6:52
    27 декабря 2019 г. 8:39
  • А журнал не ведется разве на эту тему?

    то о чем вы спрашиваете на уровне системы может логироваться через аудит (который необходимо настраивать). Но анализ логов задача трудоемкая + логи можно почистить имея права. Для этого существуют DLP системы которые стоят отдельных денег и могут гарантировать результат, в том числе и блокировку и мониторинг.

    Если вы подозреваете утечку информации, то практика показывает что самый пессимистичный вариант является реалистичным.

    Хорошей прививкой от таких утечек является публичные взыскания с обеих участников - с того кто дал пароль и с того кому дали пароль, с упором на первого.


    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа Vector BCOModerator 2 января 2020 г. 7:14
    • Помечено в качестве ответа Vector BCOModerator 13 января 2020 г. 6:52
    27 декабря 2019 г. 9:50
    Модератор

Все ответы

  • 1. В Recent вы этих файлов не увидите.

    2. Из стандартных средств приходит на ум разве что Defender - возможно что он сканил копируемые файлы или содержимое флэшки.

    • Предложено в качестве ответа Vector BCOModerator 2 января 2020 г. 7:14
    • Помечено в качестве ответа Vector BCOModerator 13 января 2020 г. 6:52
    27 декабря 2019 г. 8:12
  • А журнал не ведется разве на эту тему?
    27 декабря 2019 г. 8:29
  • эти логи отключены по дефолту.

    ну можно пробежаться по атрибуту ласт ассессед в фс, но там будет куча мусора.

    • Предложено в качестве ответа Vector BCOModerator 2 января 2020 г. 7:14
    • Помечено в качестве ответа Vector BCOModerator 13 января 2020 г. 6:52
    27 декабря 2019 г. 8:39
  • А журнал не ведется разве на эту тему?

    то о чем вы спрашиваете на уровне системы может логироваться через аудит (который необходимо настраивать). Но анализ логов задача трудоемкая + логи можно почистить имея права. Для этого существуют DLP системы которые стоят отдельных денег и могут гарантировать результат, в том числе и блокировку и мониторинг.

    Если вы подозреваете утечку информации, то практика показывает что самый пессимистичный вариант является реалистичным.

    Хорошей прививкой от таких утечек является публичные взыскания с обеих участников - с того кто дал пароль и с того кому дали пароль, с упором на первого.


    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа Vector BCOModerator 2 января 2020 г. 7:14
    • Помечено в качестве ответа Vector BCOModerator 13 января 2020 г. 6:52
    27 декабря 2019 г. 9:50
    Модератор