Для того чтобы иметь возможность настраивать аудит для файлов и папок, необходимо иметь права администратора

Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно избежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит снять флажок Переносить наследуемый от родительского объекта аудит на этот объект. Если же этот флажок отображен серым цветом или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.

Система аудита. С помощью консоли Локальная политика безопасности администратор может осуществлять контроль системных событий. Аудит позволяет вести контроль таких событий, как неудачные попытки входа в систему и выхода из нее, обнаружение нарушителей системы безопасности, доступ к объектам, управление группами пользователей и учетными записями групп.

Операционная система регистрирует в специальном журнале, потенциально опасные события. С помощью средства просмотра событий можно просматривать журнал безопасности. Политика аудита позволяет определять, для каких событий должен проводиться аудит.
Windows позволяет регистрировать в журнале аудита события следующих категорий:

• вход/выход пользователя из системы;
• доступ пользователей к объектам;
• использование субъектами доступа опасных привилегий;
• изменения в списке пользователей; изменения в политике безопасности;
• системные события;
• запуск и завершение процессов.

Для каждого класса событий могут регистрироваться успешные события; неуспешные (при выполнении операции произошла ошибка, в том числе отказ в доступе); и те, и другие.
B Windows считаются опасными следующие привилегии пользователей:

• получать оповещения от файловой системы;
• добавлять записи в журнал аудита;
• создавать маркеры доступа;
• назначать маркеры доступа процессам;
• создавать резервные копии информации, хранящейся на жестких дисках;
• восстанавливать информацию на жестких дисках с резервных копий;
• отлаживать программы.