У нас есть веб-сайт на основе ASP Classic, работающий на IIS 8.5, и возникает проблема, когда файл изменяется, а его содержимое удаляется. Это происходит случайно, поэтому мы подозреваем, что у бывшего сотрудника все еще есть учетная запись пользователя или, возможно, на сервере есть файл, позволяющий ему изменять другие файлы.
Есть ли способ отслеживать изменения / удаления файла пользователем Windows или конкретным файлом, запущенным в IIS?
Аудит файловой системы присутствует в Windows NT примерно с 1993 года, в свойствах безопасности файла включите аудит, после чего вы можете проверить журналы событий Windows на предмет любого доступа к файлу.
Похоже на работу для системы обнаружения вторжений (IDS). Имейте в виду: устанавливать IDS на явно взломанный сервер бесполезно. Злоумышленник может обнаружить это и изменить свое поведение. Рекомендую сменить логины и использовать DMZ для установки нового сервера с IDS.