Könnte besser für security.stackexchange.com geeignet sein, aber ...
Das offensichtlichste, was zu prüfen ist, ist der Ersteller / Eigentümer der Datei. Angenommen, Sie tun nichts Verrücktes, als würden Sie tatsächlich Anmeldeinformationen miteinander teilen. Stattdessen verfügen Sie über ein Active Directory oder ein ähnliches System, in dem jeder Benutzer über ein eigenes Konto verfügt. Dies kann Ihnen sagen, wer die Dateien erstellt hat. Sie können dies im Dialogfeld "Eigenschaften" (auf der Registerkarte "Sicherheit" auf "Erweitert" sehen und im oberen Bereich des Fensters nach dem Eigentümer suchen). Unglücklicherweise kann der Besitzer einer Datei von jedem Benutzer mit ausreichenden Berechtigungen geändert werden, so dass Ihr Scherzkind seine Spuren abdecken oder auf diese Weise eine falsche Markierung setzen kann.
Wenn sich die Dateien in einem bestimmten Verzeichnis (oder einem einzelnen Dateipfad) befinden, können Sie die Überwachung für dieses Verzeichnis bzw. diese Datei aktivieren und sehen, wann und von wem es geschrieben wird. Eigenschaften -> Sicherheit -> Erweitert -> Überwachung, erstellen Sie eine neue Regel für alle Benutzer (oder eine für jeden Verdächtigen), und stellen Sie sicher, dass Sie nach Vorgängen zum Erstellen von Dateien / Schreiben und Anhängen / Erstellen von Dir suchen. Diese Vorgänge werden dann im Sicherheitsereignisprotokoll angezeigt.
Sie können die Protokolle auch auf Anmelde- / Netzwerkereignisse überprüfen, sie werden jedoch möglicherweise nicht protokolliert oder gehen durch das Rauschen verloren.
Wenn Sie den net session
aktuellen Vorgang abfangen, können Sie mit dem Befehl einer Administrationskonsole (CMD oder Powershell) feststellen, wer derzeit eine Netzwerkfreigabe auf Ihrem Computer verwendet und von welchem Computer er kommt.