Теоретически можно, штатных средств для этого нет, поэтому придется писать свой софт для отслеживания.
Но я думаю что это не самое лучшее решение. И ресурсы кушать будет, и продумывать надо какой лимит изменений пользователю дать, да и непросто это вот так взять и написать.
В общем костыль это.
А что касается проблемы шифровальщиков - для win 2012 есть прекрасное средство - включите теневое копирование на шаре, его можно чаще делать, хоть каждые десять минут, поэтому даже если зашифрует, вы просто откатитесь на полчаса - час назад и все. Места под это много не надо.
И да - как сигнализацию о возможных проблемах можно использовать те же теневые копии, т.е простенький скрипт, который будет проверять размер теневой копии, и если он будет очень большой, значит внесен большой объем изменений, можно проверить.
Простой
