[WindowsNT]

Система не может отличить работу с файлами от копирования, для неё это всё Read.
Поэтому если стоит задача найти именно копирование, то она нереализуема.
Если аудировать все-все чтения, это может существенно снизить скорость работы системы, она только тем и будет заниматься, что писать журналы.

Сама система аудита включается так:
GPEdit.msc > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit Object Access = Success.

Объекты наблюдения выбираются так:
Правой кнопкой по папке > Properties > Security > Advanced > Auditing > Add > Everyone: Read.

Далее можно читать журнал Security и озаботиться параметрами Advanced Auditing Policies, их там порядка 60.