Есть ли какая-либо историческая информация, хранящаяся в Windows 7, которая позволила бы мне увидеть, были ли файлы с компьютера недавно сохранены на жесткий диск или на ключ памяти?
1 ответ
0
Большинство, если не все, версии NT для Windows (NT4.0, 2000, XP, Vista, 7) имеют возможность аудита. Это не включено по умолчанию.
Так что сейчас ничего нельзя сделать, если вы не посмотрите в учетных записях Последние документы и не найдете там недавно использованные файлы. Однако в будущем вы, возможно, захотите изучить возможности аудита Windows или стороннюю утилиту.
Это объясняет, что необходимо для включения аудита - вам нужно перейти в «Локальная политика безопасности» панели управления -> «Администрирование», перейти к «Локальная политика» -> «Политика аудита» и включить доступ к объектам аудита.
Как только это будет сделано, рядом с вкладкой "Безопасность" появится вкладка "Аудит", если щелкнуть правой кнопкой мыши любой файл или папку. Там вы можете включить аудит для этого файла или папки. Я считаю, что вы можете сделать это для рута диска.
Затем вы можете перейти в Администрирование -> Просмотр событий -> Журналы Windows, чтобы просмотреть результаты аудита.
Конечно, для этого необходимо настроить параметры аудита, когда диск вставлен.
Может быть способ включить аудит по умолчанию для съемных носителей, но я не знаю, как это сделать из Windows. При поиске этого ответа я нашел этот пост на форуме, в котором упоминается сторонняя программа, которая может это сделать. Я не пробовал это.