Protokolliert Windows die Erstellung komprimierter Ordner oder Zip-Dateien?

Nein, die Ereignisanzeige zeigt dies nicht an. In der Ereignisanzeige werden Protokolle über Programm-, Sicherheits- und Systemereignisse auf Ihrem Computer verwaltet, nicht über Benutzeraktionen. Weitere Informationen finden Sie unter https://technet.microsoft.com/de-de/library/cc938674.aspx .

Soweit ich weiß, gibt es keine (native) Windows-Funktion, mit der Sie sehen können, welche Dateien einem gezippten Ordner hinzugefügt wurden. Es gibt Windows-Sicherheitsüberwachung, aber ich glaube nicht, dass diese Granularität für Benutzeraktivitäten gegeben ist. Siehe https://technet.microsoft.com/de-de/library/dn319078(v=ws.11).aspx :

Die Sicherheitsüberwachung ist ein leistungsfähiges Werkzeug, um die Sicherheit eines Unternehmens zu gewährleisten. Die Überwachung kann für eine Vielzahl von Zwecken verwendet werden, einschließlich forensischer Analyse, Einhaltung gesetzlicher Vorschriften, Überwachung der Benutzeraktivität und Fehlerbehebung. Branchenvorschriften in verschiedenen Ländern oder Regionen verlangen von Unternehmen die Einführung strenger Vorschriften in Bezug auf Datensicherheit und Datenschutz. Sicherheitsüberprüfungen können dabei helfen, solche Richtlinien zu implementieren und zu beweisen, dass diese Richtlinien implementiert wurden. Die Sicherheitsüberprüfung kann auch für forensische Analysen verwendet werden, um Administratoren bei der Erkennung von anomalem Verhalten zu helfen, Lücken in Sicherheitsrichtlinien zu erkennen und zu verringern und verantwortliches Verhalten durch Verfolgung kritischer Benutzeraktivitäten zu verhindern.

Der einzige Vorschlag, den ich für Sie habe, ist: Wenn Sie Schattenkopie aktiviert haben, können Sie den Schnappschuss des gezippten Ordners überprüfen, um zu sehen, ob er die fragliche Datei enthielt, als der Mitarbeiter die ZIP-Datei erstellt hat.

Laut der Antwort von wysiwyg gibt es kein Ereignisprotokoll, das Informationen zu den erstellten ZIP-Dateien enthält, es sei denn, es wurde eine Überwachung für dieses Verzeichnis eingerichtet. In diesem Fall könnten Sie theoretisch sehen, welche Dateien direkt vor dem Erstellen der ZIP-Datei gelesen wurden. Ich habe dies getestet, indem ich eine ZIP-Datei mit Senden an | erstellt habe Komprimierter (gezippter) Ordner und Abrufen der Hauptereignisprotokolle, die nichts mit dem Vorfall zu tun hatten. Es gibt viele andere kleinere Protokolle unter Anwendungen und Dienstprotokolle, die jedoch auch nicht hilfreich sind. Um das zu beweisen, können wir PowerShell verwenden!

Get-WinEvent -ListLog * | ? { $_.RecordCount -gt 0 } | % { Get-WinEvent -LogName $_.LogName -MaxEvents 100 } | ? { $_.ToXml().Contains('.zip') } 

Bei der Ausführung als Administrator werden alle nicht leeren Ereignisprotokolle durchsucht, die letzten hundert Ereignisse abgerufen und alle Ereignisse zurückgegeben, die die Erwähnung einer .zipDatei enthalten. Das brachte für mich null Ergebnisse.

Ich konnte auch keine Protokolldateien auf der Festplatte finden, die während des Vorfalls aktualisiert wurden. Ich habe dies überprüft, indem ich explorer.exemit Process Monitor nach Dateisystemaktivitäten Ausschau hielt . Es erzeugte eine Bootload von Ereignissen, viel zu viele, um manuell durchgeschaut zu werden. Deshalb habe ich das Protokoll als CSV exportiert. Um eine Liste der eindeutigen Pfade zu erhalten (da die überwiegende Mehrheit der Ereignisse nur wenige Pfade betraf), können wir wieder PowerShell verwenden:

Import-Csv C:\path\to\report.csv | group Path | select -ExpandProperty Name 

Beim Durchsuchen der Liste werden keine interessanten Informationen angezeigt. Nur Dateien, die an dem Zippen beteiligt waren oder nur von Hintergrundprozessen berührt wurden.

Wenn die ZIP-Datei noch auf der Festplatte vorhanden ist, können wir mehr oder weniger nachweisen, dass sie erstellt wurde, als sie behauptet zu sein (relevant, da die Erstellungszeiten verfälscht werden können ). Diese Informationen befinden sich im Windows-Suchindex, den wir mit Hilfe von - PowerShell - abfragen können.

$sql = "select System.ItemName, System.DateCreated from SYSTEMINDEX where System.ItemName like '%.zip'" $connector = [System.Data.OleDb.OleDbDataAdapter]::new($sql, "provider=search.collatordso;extended properties='application=windows';") $data = [System.Data.DataSet]::new() $connector.Fill($data) $data.Tables[0] 

(Basierend auf dem Code in diesem Artikel von Russell Smith.) Er erstellt den Pfad und die Erstellungszeit (in UTC, nicht die Systemzeitzone) für jede ZIP im Index. Leider weiß das nicht, was im ZIP-Archiv enthalten war, aber es ist das Beste, was wir tun können.