TL:DR: ¿Existe alguna manera de obtener un registro de acceso detallado más allá de qué usuario accedió y cuándo? La auditoría de Windows no es lo suficientemente detallada.
Explicación: Estoy trabajando con un cliente que intenta realizar ingeniería inversa en la configuración debido a una pérdida repentina de conocimiento. Hay un archivo que almacena información confidencial en este servidor de archivos de Windows. Los eventos de auditoría en el Visor de eventos indican que la cuenta de administrador accede a ellos cada media hora. Más allá de estar obviamente en contra de las mejores prácticas y necesitar ser reconfigurado, he estado tratando de averiguar para qué se utiliza este archivo. El ID del proceso regresa al Sistema, es 0x4. Sin tareas programadas. ¿Algunas ideas?
¿Podrían los servicios de SQL Server Reporting verse así? Necesitamos determinar la forma de proteger este archivo.