Na auditoria de identificação de evento 4663 no log de segurança de um servidor de arquivos do Windows para usuários abrindo arquivos e estou achando que parece haver, na minha opinião, alguns falsos positivos.
Eu tenho um servidor Windows Server 2008 R2 atuando como um servidor de arquivos que possui um punhado de compartilhamentos de rede com os quais os usuários podem interagir. A auditoria está ativada por meio da Política de Grupo. Nas configurações de segurança para a pasta que eu estava testando em particular na guia de auditoria "Todos" é listado com controle total. No meu teste eu vou para uma pasta específica onde vamos dizer que há arquivos A.txt, B.txt e C.txt. Do meu laptop, conecto-me ao compartilhamento de rede, navegue até a pasta e clique em C.txt, examine-o no Bloco de Notas, feche o aplicativo e revise o log de segurança no visualizador de eventos. Eu filtrar para 4663 eventos e estou descobrindo que está relatando que eu abri todos os arquivos nessa pasta. Existe um ID de evento melhor para monitorar ou talvez algumas alterações sejam necessárias para minhas configurações de auditoria para esclarecer isso?