您能否告知是否有选项可以检查谁通过 C$ 网络共享在 Windows 中访问了我的本地 C: 驱动器(我知道管理员可以这样做)
我的电脑在域中
答案1
您可以看到当前打开的活动文件(包括通过共享打开的文件):
计算机管理 > 共享文件夹 > 打开文件
您可以使用 Sysinternals、ProcMon.exe 查看文件访问的实时流
要查看一段时间内访问过该共享的任何人的历史记录,您需要启用安全策略更新和审核。向 C$ 共享添加审核将导致事件记录在事件日志、安全日志中。
如果您还不是系统管理员,您将无法执行任何操作。
编辑:
为了正确审核文件系统上的活动,您需要打开您实际想要看到的审核,在本例中为本地安全策略中的对象访问(gpedit.msc > 计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 审核策略 > 对象访问(成功|失败)。
接下来,您需要设置审核本身。打开 Windows 资源管理器,右键单击“C”驱动器。单击“安全”选项卡。单击“高级”。单击“审核”选项卡。在“审核”选项卡中添加您要审核的用户/组以及权限。完成后,您请求审核的所有未来访问都将出现在安全日志中。
对于 C 盘,这可能会非常大。预计您的安全日志会相对较快地开始滚动。您可能需要增加安全日志容量以处理新信息。