У меня есть папка с видеофайлами, и каждый день в 22:00 большинство файлов удаляются, остается только структура папок.
\Device\HarddiskVolume3\Video_Library\DM\
У пользователей есть папка Video_Library
нанесен на карту.
Я снял разрешения на удаление для всех пользователей в DM
папка.
Я включил аудит файлов для успешного и неудачного удаления DM
папка и все подпапки и файлы. Нет записи для этого удаления, однако во время удаления мы получаем следующее:
A handle to an object was requested with intent to delete.
Subject:
Security ID: DOMAIN\evuser
Account Name: evuser
Account Domain: NINEMSN
Logon ID: 0x1131d2371
Object:
Object Server: Security
Object Type: File
Object Name: \Device\HarddiskVolume3\Video_Library\DM\.DS_Store
Handle ID: 0x0
Process Information:
Process ID: 0x4
Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes
Access Mask: 0x110080
Privileges Used for Access Check: SeBackupPrivilege
SeRestorePrivilege
evuser
это наша служебная учетная запись Symantec Enterprise Vault. Я явно добавил запрещающие разрешения для всего DM
папка, но кажется, что она все еще может войти. Хранилище Enterprise настроено на архивирование файлов через 6 месяцев с момента последнего доступа. Эти файлы находятся в считанные часы.
Я скопировал файлы, переименовал файлы и переместил их в разные места. Все это удалено.
Я перекодировал видео, и оно НЕ удалено.
Нет истории того, чтобы Forefront AV касался этих файлов (согласно графическому интерфейсу)
Есть предложения, как я могу отследить удаление этих файлов?
Спасибо
В качестве теста временно включите политику безопасности «Аудит: аудит использования привилегий резервного копирования и восстановления». Также убедитесь, что у вас включена политика «Аудит использования привилегий». Если вы используете расширенный аудит, убедитесь, что у вас есть «Аудит: принудительные параметры подкатегории политики аудита (Windows Vista или более поздняя версия), чтобы переопределить параметры категории политики аудита». включен.
Сочетание SeBackupPrivilege и SeRestorePrivilege по существу означает, что процесс может делать с ресурсом абсолютно все, независимо от списка управления доступом, и его использование не ограничивается только резервным копированием и восстановлением.
«Этот параметр безопасности определяет, нужно ли проводить аудит использования всех прав пользователя, включая резервное копирование и восстановление, когда действует политика аудита использования привилегий. Включение этого параметра, когда также включена политика аудита использования привилегий генерирует событие аудита для каждого файла, для которого выполняется резервное копирование или восстановление.
Если вы отключите эту политику, то использование привилегий резервного копирования или восстановления не будет проверяться, даже если использование привилегий аудита включено.
Примечание. В версиях Windows, предшествующих настройке этого параметра безопасности Windows Vista, изменения не вступят в силу, пока вы не перезапустите Windows. Включение этого параметра может вызвать МНОГО событий, иногда сотни в секунду., во время операции резервного копирования.
По умолчанию: отключено ".
Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Локальные политики> Параметры безопасности> «Аудит: аудит использования прав на резервное копирование и восстановление».
Скачать Монитор процесса и настроить фильтр, указывающий путь к видео файлам. Сделайте это до 22:00 и смотрите результат, пока файлы удаляются. Все, что находится в папке, и удаление файлов будет отображаться