У меня есть несколько серверов в корпоративном домене, которые, кажется, случайно теряют разрешения ACL для папок TEMP (c: \ temp, c: \ windows \ temp и любая временная папка, определенная в переменных среды).
Вместо обычных разрешений (полный контроль администраторов, чтение / запись пользователей, чтение сетевых служб и т. Д.) Папка сбрасывается на Все - читать.
Есть ли инструмент, который позволит мне отслеживать указанные папки, чтобы узнать, кто / что / когда вносит изменения?
В настоящее время я пытаюсь использовать систему аудита Windows, но она не идеальна - в Windows 2003 у нее нет определенного события для изменения разрешений папки. В любом случае, журнал событий безопасности ЧРЕЗВЫЧАЙНО быстро заполняется регулярными входами в систему и рутинным сканированием нашего программного обеспечения для повышения безопасности.
Есть идеи, где я могу посмотреть?
В любом случае у вас должна быть возможность отфильтровать это немного, но если журнал полностью заполняется слишком часто, вы можете временно отключить большую часть другого аудита безопасности и просто проверить «Изменить разрешения» (особенно «успешные»).