Подскажите, пожалуйста, есть ли возможность проверить, кто обращался к моему локальному диску C: в Windows через сетевой ресурс C $ (я знаю, что администраторы могут это сделать).
Мой компьютер находится в домене
1 ответ
1
Вы можете увидеть активные файлы, открытые в данный момент (включая общий ресурс):
Управление компьютером> Общие папки> Открытые файлы
Вы можете увидеть прямой доступ к файлам с помощью Sysinternals, ProcMon.exe
Чтобы просмотреть хронологический журнал всех, кто обращался к этому общему ресурсу с течением времени, вам необходимо включить обновления политики безопасности и аудит. Добавление аудита в C $ Share приведет к регистрации событий в журнале событий, журнале безопасности.
Если вы еще не являетесь администратором системы, вы не сможете этого сделать.
Редактировать:
Для правильного аудита активности в файловой системе вам нужно включить аудит, который вы действительно хотите видеть, в этом случае Доступ к объектам в локальной политике безопасности (gpedit.msc> Конфигурация компьютера> Настройки Windows> Настройки безопасности> Локальный Политика> Политика аудита> Доступ к объекту (успех | ошибка).
Далее вам нужно настроить сам Аудит. Откройте Windows Explorer, щелкните правой кнопкой мыши на диске «C». Перейдите на вкладку «Безопасность». Нажмите Дополнительно. Нажмите вкладку Аудит. Добавьте пользователей / группы, с которыми у вас есть разрешения, которые вы хотите проверять, на вкладке Аудит. После этого все последующие обращения, которые вы запрашивали для аудита, появятся в журнале безопасности.
Для диска C это, вероятно, будет огромным. Ожидайте, что ваш журнал безопасности начнет работать относительно быстро. Возможно, вы захотите увеличить емкость журнала безопасности, чтобы получить новую информацию.