Регистрирует ли Windows создание сжатых папок или Zip-файлов?

Нет, Event Viewer не будет показывать это. Event Viewer ведет журналы о программах, безопасности и системных событиях на вашем компьютере, а не о действиях пользователя. См. Https://technet.microsoft.com/en-us/library/cc938674.aspx для получения дополнительной информации.

Насколько я знаю, нет (родной) функции Windows, которая позволяла бы вам видеть, какие файлы были добавлены в заархивированную папку. Существует аудит безопасности Windows, но я не думаю, что он обеспечивает такой уровень детализации активности пользователей. См. Https://technet.microsoft.com/en-us/library/dn319078(v=ws.11).aspx :

Аудит безопасности - это мощный инструмент, помогающий поддерживать безопасность предприятия. Аудит может использоваться для различных целей, включая криминалистический анализ, соответствие нормативным требованиям, мониторинг активности пользователей и устранение неполадок. Отраслевые нормы в разных странах или регионах требуют от предприятий соблюдения строгого набора правил, связанных с безопасностью и конфиденциальностью данных. Аудит безопасности может помочь реализовать такие политики и доказать, что эти политики были реализованы. Кроме того, аудит безопасности может использоваться для криминалистического анализа, чтобы помочь администраторам выявлять аномальное поведение, выявлять и уменьшать пробелы в политиках безопасности и предотвращать безответственное поведение путем отслеживания критических действий пользователя.

Единственное предложение, которое у меня есть для вас: если у вас включено теневое копирование, попробуйте посмотреть на снимок папки, которая была заархивирована, чтобы увидеть, содержал ли он рассматриваемый файл, когда сотрудник создавал zip-файл.

Как говорится в ответе wysiwyg, нет журнала событий, который бы содержал информацию о созданных ZIP-файлах, кроме случаев, когда для этого каталога был проведен аудит, и в этом случае вы могли бы теоретически посмотреть, какие файлы были прочитаны непосредственно перед созданием ZIP. Я проверил это, создав ZIP-файл, используя Отправить Сжатая (заархивированная) папка и просмотр основных журналов событий, в которых ничего не было про инцидент. В разделе «Журналы приложений и служб» есть много других небольших журналов, но они также не помогают. Чтобы доказать это, мы можем использовать PowerShell!

Get-WinEvent -ListLog * | ? { $_.RecordCount -gt 0 } | % { Get-WinEvent -LogName $_.LogName -MaxEvents 100 } | ? { $_.ToXml().Contains('.zip') } 

При запуске с правами администратора он просматривает каждый непустой журнал событий, получает последние сто событий и возвращает все, в которых есть упоминание .zipфайла. Это дало мне ноль результатов.

Мне также не удалось найти какие-либо файлы журналов на диске, которые были обновлены во время инцидента. Я проверил это, наблюдая за активностью файловой системы с explorer.exeпомощью Process Monitor . Он генерировал множество событий, слишком много, чтобы просматривать их вручную, поэтому я экспортировал журнал как CSV. Чтобы получить список уникальных путей доступа (поскольку подавляющее большинство событий связано только с несколькими путями), мы снова можем использовать PowerShell:

Import-Csv C:\path\to\report.csv | group Path | select -ExpandProperty Name 

Просмотр списка ничего интересного не показывает, только файлы, которые были задействованы в архивировании или были затронуты фоновыми процессами.

Если ZIP-файл все еще существует на диске, мы можем более или менее доказать, что он был создан, когда он утверждает, что он существует (актуально, поскольку время создания может быть сфальсифицировано ). Эта информация содержится в поисковом индексе Windows, который мы можем запросить с помощью - как вы уже догадались - PowerShell!

$sql = "select System.ItemName, System.DateCreated from SYSTEMINDEX where System.ItemName like '%.zip'" $connector = [System.Data.OleDb.OleDbDataAdapter]::new($sql, "provider=search.collatordso;extended properties='application=windows';") $data = [System.Data.DataSet]::new() $connector.Fill($data) $data.Tables[0] 

(На основе кода в этой статье Рассела Смита.) Он создает путь и время создания (в UTC, а не в системном часовом поясе) для каждого ZIP в индексе. Увы, это не говорит о том, что было включено в ZIP-архив, но это лучшее, что мы можем сделать.