Мне было любопытно, можно ли проверить общий файловый ресурс на сервере Windows 2012 на предмет копии. Как можно отличить скопированный файл от прочитанного на основе событий, которые они отправляют в журнал событий? Есть ли у скопированного файла определенный шаблон с точки зрения чтения и записи?
Спасибо за помощь!
На уровне акций нет. Это связано с тем, что у общих ресурсов нет системных ACL. Но вы можете включить аудит на уровне файловой системы для доступа на запись в общую папку. См. Следующий текст справки для Advanced Audit Policy Configuration> Object Access:
Файловая система
Этот параметр политики позволяет контролировать попытки пользователей получить доступ к объектам файловой системы. Событие аудита безопасности генерируется только для объектов, для которых указаны системные списки управления доступом (SACL), и только в том случае, если тип запрошенного доступа, например Запись, Чтение или Изменение, и учетная запись, выполняющая запрос, соответствуют параметрам в SACL. Для получения дополнительной информации о включении аудита доступа к объектам см. http://go.microsoft.com/fwlink/?LinkId=122083.
Если вы настраиваете этот параметр политики, событие аудита создается каждый раз, когда учетная запись обращается к объекту файловой системы с соответствующим списком управления доступом. Аудиты успеха регистрируют успешные попытки, а аудиты отказов записывают неудачные попытки. Если вы не настроите этот параметр политики, событие аудита не будет генерироваться, когда учетная запись обращается к объекту файловой системы с соответствующим SACL.
Примечание. Вы можете установить SACL для объекта файловой системы, используя вкладку «Безопасность» в диалоговом окне «Свойства» этого объекта.
Объем: зависит от того, как настроены SACL файловой системы.