Чтобы вовремя выявить попытки несанкционированного доступа на конечных устройствах (в том числе и успешные) и принять соответствующие меры, рекомендуется использовать аудит безопасности.
Для этого:
Войдите в Панель управления → Администрирование → Локальная политика безопасности → Конфигурация расширенной политики аудита → Доступ к объектам → Аудит файловой системы. Включите аудит файловой системы на успех и отказ.
Далее включите аудит на необходимую папку:
откройте свойства папки общего доступа → вкладка Безопасность → Дополнительно → вкладка Аудит → Изменить → Добавить;
укажите пользователей, для которых необходимо вести аудит. Установите Все, уровень применения – Для этой папки и ее подпапок и файлов;
укажите действия, аудит которых будет вестись: Создание файлов/дозапись данных, Создание папок/дозапись данных, Удаление подпапок и файлов и просто Удаление. Для всех действий выберите аудит и на успех, и на отказ.
После этого в журнале событий безопасности будут появляться события доступа к файлам и папкам.
Если в системе с уже настроенным аудитом антивирус сработает на какие-либо изменения в файловой системе, обязательно запомните время срабатывания и сопоставьте его с событиями в журнале безопасности.
Ознакомиться с кодами событий безопасности можно на официальном сайте Microsoft.
