Для отслеживания доступа к файлам в Windows есть политика аудита доступа к объектам. Но по-умолчанию она отключена. Поэтому, если файл уже удален, то, скорее всего, отследить, кто это сделал теперь не получится.
Вообще, аудит включается либо в локальных, либо в групповых политиках. В ветке "Конфигурация компьютера"-"Конфигурация Windows"-"Параметры безопасности"-"Локальные политики"-"Политика аудита" нужно выбрать параметр "Аудит доступа к объектам" и указать, что именно Вас интересует - успешные действия или ошибки доступа.
Далее в свойствах нужной папки - безопасность - дополнительно - аудит - нужно указать, каких пользователей\группы отслеживать и за какими действиями следить. Все отчеты можно потом смотреть в системном логе "Безопасность".
Если ПК не в домене (в рабочей группе), необходимо также включить Аудит входа в систему, чтобы понять, кто именно заходил в папку по сети.
При включенном аудите объектов лог "Безопасность" довольно быстро заполняется, поэтому рекомендуется увеличить размер лога, плюс при необходимости настроить его автоматическую очистку.
Вообще, аудит включается либо в локальных, либо в групповых политиках. В ветке "Конфигурация компьютера"-"Конфигурация Windows"-"Параметры безопасности"-"Локальные политики"-"Политика аудита" нужно выбрать параметр "Аудит доступа к объектам" и указать, что именно Вас интересует - успешные действия или ошибки доступа.
Далее в свойствах нужной папки - безопасность - дополнительно - аудит - нужно указать, каких пользователей\группы отслеживать и за какими действиями следить. Все отчеты можно потом смотреть в системном логе "Безопасность".
Если ПК не в домене (в рабочей группе), необходимо также включить Аудит входа в систему, чтобы понять, кто именно заходил в папку по сети.
При включенном аудите объектов лог "Безопасность" довольно быстро заполняется, поэтому рекомендуется увеличить размер лога, плюс при необходимости настроить его автоматическую очистку.
Комментариев нет:
Отправить комментарий