To rovnou muzes napsat 10x Nevim a vyjde to nastejno.
Jinak psal ze ma Windows 10 Enterprise.
Omlouvám se, to Enterprise jsem přehlédl. Nicméně, právě pro ten případ jsem psal, že musí být _předem_ povolen audit (via gpedit.msc).
Teď o víkendu nemám přístup k Enterprise, tak jen opíši text z prvního hledání na google (windows 10 object access policy) pro win 10:
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/basic-audit-object-access" ... by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy "
BTW, u sedmiček mi to sedí také, přestože se text zmiňuje jako nastavení pro w10.
Navíc je třeba, u sledované složky (příp. konktétního souboru, či naopak celého disku) nastavit autit ve vlastnostech (tam poblíž, kde je zabezpečení složky). Že tato se má logovat a pro koho to platí a že jen delete či read a podobně (protože kdyby se logovalo u všeho vše, každý přístup všeho, tak je za půl dne plný disk jen logů). A log pak najde v protokolech systému windows, zabezpečení.
V logu se pak ukáže
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4660 (tedy, m.j. i kdy, které konto a jaký proces akci provedl)
Takže kompletní odpověď na původní otázku zní "dá se zjistit, ale jen pokud si předem zapne logování a nastaví který adresář/soubor se má sledovat a pro koho").
Ale to vše bylo zbytečné psát, pokud logování nebylo ani předem globálně povoleno. A protože defaultně není a protože OP netuší a chtěl to jen zjistit zpětně, tak jsem tu podrobnou nepsal (ať zase nepíši slohovku pokud zbytečné). Rozepsal bych se, až kdyby se někdo ozval, že potřebuje i do budoucna (nebo hulvát co píše, že raději nemám psát vůbec). Plus znovu varování, že logovat vše, bez výběru, pro každého a celý disk, je extrémně náročné na (každý) systém a že to silně nedoporučuji.
11 Odpovědí
2588 Zhlédnutí