我有一个video文件的文件夹,每天晚上10点,大部分文件被删除,只留下文件夹结构。
\Device\HarddiskVolume3\Video_Library\DM\
用户具有映射的文件夹Video_Library 。
我已经删除了DM文件夹的所有用户的删除权限。
我已启用文件审核成功和失败删除DM文件夹和所有子文件夹和文件。 这个删除没有条目,但是在删除的时候我们得到了以下内容:
A handle to an object was requested with intent to delete. Subject: Security ID: DOMAIN\evuser Account Name: evuser Account Domain: NINEMSN Logon ID: 0x1131d2371 Object: Object Server: Security Object Type: File Object Name: \Device\HarddiskVolume3\Video_Library\DM\.DS_Store Handle ID: 0x0 Process Information: Process ID: 0x4 Access Request Information: Transaction ID: {00000000-0000-0000-0000-000000000000} Accesses: DELETE SYNCHRONIZE ReadAttributes Access Mask: 0x110080 Privileges Used for Access Check: SeBackupPrivilege SeRestorePrivilege
evuser是我们的Symantec Enterprise Vault服务帐户。 我已经明确地将拒绝权限添加到整个DM文件夹,但它似乎仍然能够进入。从上次访问起6个月后,Enterprise Vault被设置为归档文件。 这些文件是在几个小时。
我已经复制文件,重命名文件,并将其移动到不同的位置。 所有这些都被删除。
我已经对video进行了代码转换,这不会被删除。
Forefront AV没有触及这些文件的历史logging(根据GUI)
任何关于如何跟踪删除这些文件的build议?
谢谢
作为testing, 暂时启用安全策略“审计:审计使用备份和恢复权限”。 同时确保您启用了“审核特权使用”策略。 如果您正在使用高级审核,请确保您具有“审核:强制审核策略子类别设置(Windows Vista或更高版本)以覆盖审核策略类别设置”。 启用。
SeBackupPrivilege和SeRestorePrivilege的结合本质上意味着一个进程完全可以对资源做任何事情,而不pipe访问控制列表如何,其使用并不仅限于备份和恢复。
“此安全设置确定是否在审核权限使用策略生效时审核所有用户权限的使用,包括”备份和还原“。启用审核权限使用策略时启用此选项会为每个文件生成一个审核事件被备份或恢复。
如果禁用此策略,则即使启用了审核特权使用,也不会审核使用“备份”或“还原”权限。
注意:在configuration此安全设置的Windows Vista之前的Windows版本中,只有在重新启动Windows之后,更改才会生效。 启用此设置可能导致在备份操作期间发生大量事件,有时甚至是每秒数百次 。
默认:禁用。“
计算机configuration>策略> Windows设置>安全设置>本地策略>安全选项>“审核:审核使用备份和恢复权限”。
下载进程监视器并设置具有video文件path的filter。 在晚上10点之前运行,并在文件被删除时观察输出。 不pipe进入文件夹和删除文件将显示出来