检查谁通过 Windows 中的网络 C$ 共享访问了我的驱动器?

检查谁通过 Windows 中的网络 C$ 共享访问了我的驱动器?

您能否告知是否有选项可以检查谁通过 C$ 网络共享在 Windows 中访问了我的本地 C: 驱动器(我知道管理员可以这样做)

我的电脑在域中

答案1

您可以看到当前打开的活动文件(包括通过共享打开的文件):

计算机管理 > 共享文件夹 > 打开文件

您可以使用 Sysinternals、ProcMon.exe 查看文件访问的实时流

要查看一段时间内访问过该共享的任何人的历史记录,您需要启用安全策略更新和审核。向 C$ 共享添加审核将导致事件记录在事件日志、安全日志中。

如果您还不是系统管理员,您将无法执行任何操作。

编辑:

为了正确审核文件系统上的活动,您需要打开您实际想要看到的审核,在本例中为本地安全策略中的对象访问(gpedit.msc > 计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 审核策略 > 对象访问(成功|失败)。

接下来,您需要设置审核本身。打开 Windows 资源管理器,右键单击“C”驱动器。单击“安全”选项卡。单击“高级”。单击“审核”选项卡。在“审核”选项卡中添加您要审核的用户/组以及权限。完成后,您请求审核的所有未来访问都将出现在安全日志中。

对于 C 盘,这可能会非常大。预计您的安全日志会相对较快地开始滚动。您可能需要增加安全日志容量以处理新信息。

相关内容