Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Записывает ли Windows 10 информацию о удалённых файлах?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Функциональность Windows 10 по отслеживанию файлов
  4. 2. Возможности аудита
  5. 3. Проверка корзины
  6. 4. Заключение

Вопрос или проблема

У меня пропала папка на моем компьютере с Win10, и я не помню, удалял ли я эту папку. Мне не важен содержимое папки, но мне нужно быть уверенным, что это был именно я, кто ее удалил. Сохраняет ли Win10 запись об удаленных файлах или действиях, выполненных вошедшим пользователем, связанных с файловой системой?

Нет, по умолчанию она не сохраняет запись. Вы можете включить аудит файлов и папок, но это не имеет обратной силы — только на будущее. После включения аудита он должен сообщить вам.

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder

Для завершения этой процедуры вы должны быть вошедшими как член встроенной группы Администраторов или иметь права на управление аудитом и журналом безопасности.

Чтобы применить или изменить настройки политик аудита для локального файла или папки

Выберите и удерживайте (или щелкните правой кнопкой мыши) файл или папку, которые вы хотите проверить, выберите Свойства и затем выберите вкладку Безопасность.

Выберите Дополнительно.

В диалоговом окне Расширенные параметры безопасности выберите вкладку Аудит, а затем выберите Продолжить.

Сделайте одно из следующих действий:

Чтобы настроить аудит для нового пользователя или группы, выберите Добавить. Выберите Выбрать субъект, введите имя пользователя или группы, которого вы хотите, и затем выберите ОК. Чтобы убрать аудит для существующей группы или пользователя, выберите имя группы или пользователя, выберите Удалить, выберите ОК, а затем пропустите остальную часть этой процедуры. Чтобы просмотреть или изменить аудит для существующей группы или пользователя, выберите его имя, затем выберите Изменить. В поле Тип укажите, какие действия вы хотите проверять, выбрав соответствующие флажки:

Чтобы проверять успешные события, выберите Успех. Чтобы проверять неудачные события, выберите Ошибка. Чтобы проверять все события, выберите Все.

Если папка все еще находится в Корзине, то столбец “Дата удаления” может сообщить день и минуту удаления.

Исходя из даты и времени, вы можете попытаться выяснить, кто использовал компьютер в указанное время.

Ответ или решение

Вопрос о том, сохраняет ли Windows 10 запись о удалённых файлах, является актуальным для многих пользователей, особенно в связи с важностью сохранения информации и отслеживания действий, связанных с управлением файлами. Рассмотрим эту тему более подробно.

1. Функциональность Windows 10 по отслеживанию файлов

По умолчанию Windows 10 не ведет журнал удалённых файлов. Операционная система не сохраняет информацию о действиях пользователей, таких как удаление файлов, в стандартных логах. Это значит, что если файл или папка были случайно удалены, восстановить информацию о том, кто именно их удалил, не представляется возможным.

2. Возможности аудита

Тем не менее, Windows 10 предоставляет функцию Аудит файлов и папок. Эта функция позволяет отслеживать события доступа к файлам и папкам в системе, включая удаления. Однако реализация обращения к этой функции требует определенных шагов:

  • Вам необходимо включить аудит для конкретных файлов или папок.
  • Этот процесс не является ретроактивным, что означает, что вы сможете отслеживать только те действия, которые будут выполнены после включения аудита.

Для настройки аудита выполните следующие действия:

  1. Щёлкните правой кнопкой мыши на файле или папке, для которых нужно установить аудит.
  2. Перейдите в Свойства.
  3. На вкладке Безопасность нажмите Дополнительно.
  4. Перейдите на вкладку Аудит и добавьте необходимую группу пользователей или конкретного пользователя.
  5. Установите галочки для необходимых событий (например, успешные или неудачные попытки доступа).

Для получения более подробной информации вы можете ознакомиться с официальной документацией Microsoft по аудиту файлов и папок.

3. Проверка корзины

Если удалённый файл или папка все ещё находятся в Корзине, вы можете воспользоваться свойством колонки Дата удаления. Это поможет вам определить, когда именно произошло удаление. Сравнив время с вашими записями о том, кто использовал компьютер в указанное время, возможно, вам удастся выяснить, кто из пользователей инициировал удаление.

4. Заключение

Если вы хотите быть уверены в том, кто удаляет важные файлы, рекомендуем включить аудит на уровне файловой системе. Это позволит вам получать информацию о действиях пользователей в режиме реального времени и избежать неприятных ситуаций с непреднамеренным удалением данных в будущем. Если же файл уже был удалён, в стандартном функционале Windows 10 вам не удастся извлечь информацию о его удалении, если аудит не был включен заранее.

Таким образом, Windows 10 предоставляет пользователю базовые возможности для управления файлами, но для детального отслеживания действий требует дополнительных настроек аудита.

windows-10
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности