我在公司域中有许多服务器似乎随机丢失对TEMP文件夹(c:\ temp,c:\ windows \ temp和环境variables中定义的任何临时文件夹)的ACL权限。
而不是正常的权限(pipe理员完全控制,用户读/写,networking服务读取等) – 该文件夹被重置为Everyone – 读取。
有没有一个工具,可以让我监视有问题的文件夹,看看谁/什么时候进行更改?
我目前正在尝试使用Windows审计系统,但它不是完美的 – 在Windows 2003上,它没有特定的文件夹权限更改事件。 而且无论如何,安全事件日志会被正常login和我们的强化软件的例行扫描极快地填满。
任何想法,我可以看看?
你应该可以过滤一下,但是如果日志被完全填满,你可以暂时禁用大多数的其他安全审计,只需审核“更改权限”(特别是“成功”)。