Проблема отсутствия записи о действиях с файлами

Стандартные логи событий Windows не фиксируют операцию копирования как отдельное событие — система регистрирует только `Read` на исходный файл и `Create (Write)` в целевой папке. Поэтому как отследить копирование файлов в сетевую папку без специальных настроек — невозможно.

Причины скрытого копирования в общую папку

- Отсутствие политик аудита доступа к объектам (SACL) для файлового сервера.
- Использование протокола SMB — события `4663` (попытка доступа к объекту) и `4656` (открытие) не разделяют чтение и копирование.
- При копировании с рабочей станции через проводник Windows генерируется только один SMB-запрос на чтение — как определить копирование файлов на сервер в этом случае можно только по косвенным признакам (объём передачи, время, совпадение хэшей).

Решение: как узнать какие файлы копировались в сетевую папку


1. Включение аудита доступа к объектам (Windows Server)
- Откройте `gpedit.msc` → Конфигурация компьютера → Параметры безопасности → Локальные политики → Политика аудита.
- Включите `Аудит доступа к объектам: Успех` (и `Отказ`, если нужно).
- На целевой папке → Свойства → Безопасность → Дополнительно → Аудит → Добавить:
- Субъект: `Все`
- Тип: `Все успехи`
- Разрешения: `Полный доступ` (или `Чтение` и `Запись` отдельно).

2. Анализ журнала безопасности (Event Viewer)
- Событие `4663` (доступ к объекту) — ключевое для анализа копирования файлов в сетевую папку.
- Фильтр в PowerShell:
powershell
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4663} | 

  Where-Object { $_.Properties[6].Value -like '\\сервер\общая_папка\' } |

  Select-Object TimeCreated, @{n='Файл';e={$_.Properties[6].Value}}, 

  @{n='Действие';e={$_.Properties[9].Value}}  # 0x6 = Read (копирование?)

Примечание: событие `4663` с кодом доступа `0x1` (чтение) сразу после `0x4` (запись) на другой файл — типичный признак копирования.

3. Использование Sysmon (альтернатива)
- Установите Sysmon с конфигом, логирующим `FileCreateStreamHash` и `FileDelete` — это не решит задачу как увидеть, что скопировали файлы с сервера напрямую, но даст больше данных о событиях `Create` и `Read`.
- Событие Sysmon `EventID 11` (FileCreate) — показывает создание копии в другом месте.

4. Расширенное логирование SMB-трафика
- `EventID 5145` (проверка доступа к сетевому ресурсу) — показывает `RelativeTargetName` и `AccessMask`.
- Маска `0x200001` (Read + Synchronize) — не является стопроцентным признаком копирования, но при массовом вызове с одного узла — повод для проверки.

Ограничения

- Как узнать кто скопировал файлы из сетевой папки** без включения аудита — невозможно.
- Требуется Windows Server версии 2016+ для корректного аудита SMB.
- Все методы легальны при наличии прав администратора на сервере и записи в трудовом договоре о мониторинге.