У Windows є система аудиту, що дозволяє відстежувати і журналіровать інформацію про те, коли, ким і за допомогою якої програми були видалені документи. За замовчуванням, Аудит не задіяне - стеження саме по собі вимагає певний відсоток потужності системи, а якщо записувати все підряд, то навантаження стане занадто великий. Тим більше, далеко не всі дії користувачів можуть нас цікавити, тому політики аудиту дозволяють включити відстеження тільки тих подій, що для нас дійсно важливі.
Для настройки аудиту спочатку необхідно через локальну (доменну) політику включити аудит за об'єктами. Робиться це в такий спосіб:
Перед нами консоль настройки, як до комп'ютера, так і до користувача. Налаштовувати буде стосовно до комп'ютера. Створимо або вже є каталог з файлами. Наприклад, назву його shara.
Включимо аудит - Local Computer Policy - Computer Configuration - Windows Settings - Security Settings - Local Policies - Audio Policy - Audit object Access (поставити) - Success.
Далі переходимо в властивості папки:
C: \ shara = Properties -Security -Advanced -Auditing -Add і додаємо користувачів / групу за якою здійснюватиме аудит. В даному прикладі я, буду розглядати аудит на Адміністраторів, які можуть створювати / видаляти папки та все всередині.