Saber si alguien ha copiado archivos, ¿es posible?

Question

Saber si alguien ha copiado archivos, ¿es posible?

Sylvestre 15 abr 2015 15:31

MegaAdicto!!!

2.051 mensajes
desde jul 2003

Me acaban de hacer una pregunta de si es posible (en Windows) saber si alguien ha copiado archivos. He dicho que no, que no es posible saber si alguien ha copiado archivos si no se tenia algun tipo de programa que monitorice esas cosas, que el Windows en si no registra eso.

Pero no estoy 100% seguro que sea cierto, se que el windows 7 y 8 hay politicas de grupo y "logs" perdidos por "ahi" de lo que va haciendo Windows.
Entonces os pregunto, ¿es posible saber si alguien ha copiado archivos?

4 respuestas

Answer 1 · 2015-04-15T15:11:34+00:00

Fecha de último acceso.

Ahí puedes saber cuando han leído el fichero por última vez.

Answer 2 · 2015-04-15T16:42:06+00:00

amchacon escribió:Fecha de último acceso.

Ahí puedes saber cuando han leído el fichero por última vez.

Pero eso no significa que se haya copiado
Y aparte, quien me lo a preguntado se referia a archivos de datos de aplicaciones que se usan todos los dias y ya por abrir el programa la fecha de ultimo acceso de los archivos siempre es el ultimo dia y hora.

Yo creo que no se puede saber si no habia antes programas de terceros que monitoricen eso. Es mas que nada para asegurarme que le he contestado correctamente.

Answer 3 · 2015-04-16T12:36:56+00:00

Cualquier operación que se ejecute queda registrado en el sistema, todo lo que ocurre en el sistema deja huellas.
Para poder acceder o recuperar esas huellas se deben recurrir a técnicas de análisis informático forense.

Answer 4 · 2015-04-16T21:00:50+00:00

Sylvestre escribió:
amchacon escribió:Fecha de último acceso.

Ahí puedes saber cuando han leído el fichero por última vez.

Pero eso no significa que se haya copiado
Y aparte, quien me lo a preguntado se referia a archivos de datos de aplicaciones que se usan todos los dias y ya por abrir el programa la fecha de ultimo acceso de los archivos siempre es el ultimo dia y hora.

Yo creo que no se puede saber si no habia antes programas de terceros que monitoricen eso. Es mas que nada para asegurarme que le he contestado correctamente.

Si estas auditando el recurso, lo único que puedes comprobar en el event log es un evento de lectura del fichero y uno de escritura por el mismo usuario. no hay un event id para la copia de ficheros como tal.