Возможено ли вести лог копирования файлов в Windows?

Question

[Chtotoro]

Добрый день.

Исходные данные:
- Парк машин под Win 7, 8, 8.1 и 10;
- Сервер под управлением Win Srv 2012 R2;
- Доверительная политика компании к сотрудникам. Все ограничения вводятся только для обеспечения стабильной работы систем и ограждения от нарушений лицензионных соглашений.

Задача:
- Вести логи всех действий пользователя, чтобы при возникновении конфликтных ситуаций можно было отыскать, кто и что сделал.
В список конфликтных ситуаций входят:
- Изменение;
- Удаление;
- Передача данных третьим лицам.

Учитывая политику компании, заблокировать доступ пользователям и предотвратить утечку данных нельзя.
С логами изменения и удаления файлов всё довольно ясно, но как быть с, например, копированием файлов на флешку? Понятно, что нужно ввести дополнительные логи на каждой из машин и отслеживать это там как выглядит операция копирования в логах?

Также интересует вопрос, что делать, например, с передачей файлов через личную почту? Возможно ли это как-то отследить?

Я понимаю, что для этого лучше закупить комплекс DLP, но это:
- Куда дороже;
- "Давит" на пользователей мыслях о постоянной слежке;
- Не нравится лично мне из-за доступа к личной информации сотрудников (Пароли, личные переписки и т.д.).

Спасибо за внимание.

Answer 1

[Roman Sokolov]

Групповыми политиками запретить usb-носители, а траффик во внешку можно прозрачно проксировать и выявлять нарушения.

Answer 2

[Евгений]

Ориентируйтесь в первую очередь на ответ SyavaSyava
Но помните :
Доверительные отношения это доверительные отношения, а информация - это информация.
1.Как бы компания не доверяла сотрудникам - не каждому стоит давать доступ к файлу\отчёту "финансовая отчетность организации"
Разграничивайте доступ к документам : рабочие документы отдельно, важная информация управляется конкретным лицом\отделом и доступна максимум для чтения всем, кроме него\них.

2.Если сотрудник не видит файл, к которому ему доступ не нужен - это предотвратит лишние соблазны.
(в свойствах файлового сервера что-то вроде policy-based enumeration)

3. аудит доступа к файловым ресурам.(то что SyavaSyava прописал) позволит фиксировать кто когда работал\получал доступ к документу.

4. по сложным случаям,в которых применение DLP реально видится необходимым (пересылка с компа с личной почты или через мессенджер) - ничего поделать нельзя. Реально. Моцарт когда-то спиратил Miserere без всяких там смартфонов и личных почт.
Здесь может помочь :

5. Развивайте лёгкую паранойю у сотрудников на предмет "принимаются меры по защите информации". Проводите мероприятия, составляйте списки защищаемых документов. Подписывайте, проводите все стандартные процедуры. Сотрудники, таким образом, будут знать что если что - "атата" (даже если "атата" реально не получится сделать по причине невыяснения а кого-же "атата") .