TL:DR - Есть ли способ получить подробный журнал доступа, помимо того, какой пользователь получил доступ и когда? Аудит Windows недостаточно подробен.
Объяснение: Я работаю с клиентом, который пытается провести обратную разработку настройки из-за внезапной потери знаний. На этом файловом сервере Windows есть файл, в котором хранится конфиденциальная информация. События аудита в средстве просмотра событий указывают, что учетная запись администратора обращается к нему каждые полчаса. Помимо того, что это явно противоречит передовым методам и требует перенастройки, я пытаюсь выяснить, для чего используется этот файл. Идентификатор процесса ведет обратно в систему, это 0x4. Запланированных задач нет. Есть идеи?
Могут ли службы отчетов SQL Server выглядеть таким образом? Нам нужно определить способ защиты этого файла.