如何找出誰訪問了文件？

我今天接到一個朋友的電話尋求幫助，這不是我所在的地區，他來自一所學校，是一所大機構。

他們有 2 個 windows 2003 server sp 1，一個用於 MS Sql，另一個是域控制器。

內部網路基於 Windows XP sp 3。

在單獨的機器中有一個 linux 防火牆和 Internet 代理。

問題在於，顯然有人可以訪問準備考試並複製文件的協調員 PC。

他們通過以下方式確定：

• 突然一群少數學生在考試中提高了80％的分數
• 在另一場考試中引入了問題陷阱，同一組根據陷阱回答

問題是可能涉及系統管理員。

我可以訪問網路和主管理員帳戶。我需要找出什麼：

• 找出誰在協調器 PC 上遠端登錄
• 獲取 admin 帳戶的總體使用日誌（可能是用於進入協調器 PC 的帳戶）

看起來所有電腦都沒有共享文件夾。有防毒軟體工作，很好地阻止了網站。

我不是來自這個地區，我正在努力提供幫助。軌道上的任何其他方向會發生什麼。

如果啟用了審核，您可能會在被訪問電腦的安全日誌中找到一些東西。如果他們想稍後嘗試擷取它們，則需要啟用審核日誌。為此，請右鍵點擊要審核的驅動器、文件夾甚至文件，選擇屬性、高級設置、審核選項卡。點擊添加，輸入“使用者”，然後檢查讀取數據，或者只檢查成功欄位中的所有內容。點擊確定，確定，確定。

任何時候任何人做任何滿足訪問標準的事情都會在日誌中記錄活動的日誌。

因此，您將能夠確定哪個安全主體在何時訪問了該文件。

但是，這並不意味著此人就是洩露數據的人，因為有人可能會在環境中洩露密碼。

您還可以在 linux 防火牆上啟用詳細日誌記錄（這是更專有的），並使用防火牆日誌交叉引用文件訪問，以查看可能導致問題的 IP。當然，這也不是全部，因為他們自己可能會通過一些代理。

引用自：https://serverfault.com/questions/629837