Аудит Windows Share

Настройка не сложная и не займет много времени 🙂

Сначала настроим шару. Перейдем в свойства папки, далее Безопасность -> Дополнительно -> Аудит. Добавим группу Все, если её нет, двойным кликом заходим в её свойства, Отображение дополнительных разрешений и включаем:

• Создание файлов/запись данных
• Создание папок/Дозапись данных
• Удаление подпапок и файлов
• Удаление
• Смена владельца

Не забываем, что применить нужно и к папке, и к её подпапкам!

Теперь настроим политику аудита.

Откроем secpol.msc Параметры безопасности -> Локальные политики -> Параметры безопасности и найдём в правой части окна категорию «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista or later)» и включим её.

Так же перейдем в Параметры безопасности -> Конфигурация расширенной политики -> Политики аудита системы -> Доступ к объектам и настройте категорию Аудит файловой системы в Успех и отказ

Как найти — кто удалил файл? Смотрим лог Безопасность по событию 4663. В данных событиях будет написан путь до файла, операции доступа (запись, удаление и т.д.) и пользователь.