Per identificare tempestivamente i tentativi (compresi quelli riusciti) di accessi non autorizzati su dispositivi finali e adottare misure appropriate, si consiglia di utilizzare l'audit della sicurezza.
A questo scopo:
Andare a Pannello di controllo → Strumenti di amministrazione → Criteri di sicurezza locale → Configurazione dei criteri di audit avanzati → Accesso agli oggetti → Audit del file system. Attivare l'audit del file system per il successo e il rifiuto.
Quindi attivare l'audit per la cartella richiesta:
aprire le proprietà della cartella condivisa → scheda Sicurezza → Avanzate → scheda Audit → Modifica → Aggiungi;
indicare gli utenti per cui si vuole registrare l'audit. Impostare Tutti, il livello di applicazione – Per questa cartella e le relative sottocartelle e file;
indicare le azioni di cui verrà registrato l'audit: Creazione file/aggiunta dati, Creazione cartelle/aggiunta dati, Rimozione sottocartelle e file e semplicemente Rimozione. Per tutte le azioni selezionare l'audit per il successo e il rifiuto.
Dopo questo nel log degli eventi di sicurezza inizieranno a comparire gli eventi di accesso a file e cartelle.
Se in un sistema con l'audit già configurato l'antivirus reagisce a qualche modifica nel file system, assicurarsi di ricordare l'ora della reazione e confrontarla con gli eventi nel log di sicurezza.
Si possono leggere i codici degli eventi di sicurezza sul sito ufficiale Microsoft.
