我发现我的临时文件夹权限有时会被更改,这会导致许多程序出现故障,因为它们无法再写入该文件夹。然后我手动将权限设置回正确状态,但几天后它们又被更改了,这非常令人沮丧。我想知道是哪个程序在更改它们。
有没有办法知道哪个可执行文件更改了文件夹的权限?有没有办法监视或记录权限更改?
编辑我还接受任何有助于我阻止程序修改权限的评论或回答
答案1
根据您的偏好或特定需求,您有两种选择:
普罗克蒙
使用 Procmon,您需要设置以下内容的过滤器:
- 操作:过滤
SetSecurityFile(使用“是”条件)。这将向您显示文件或目录上的 ACL 被修改的任何事件。 - 路径:将其设置为临时文件夹的路径。如果您的路径是
c:\path\to\temp,请输入该路径。再次使用“是”条件,但是如果您想查看子文件夹的 ACL 更改,则可以使用“以...开头”条件。
如果这需要长期运行,您很可能想要在工具菜单上启用“删除过滤事件”选项。
使用 Procmon 的好处是,它易于下载和运行,几乎不需要预先配置,但需要始终保持其运行。
文件系统审计
要使用审核,您需要执行以下操作:
- 在计算机的本地策略(或适用的 GPO)中,通过以下方式之一启用成功审核:
Computer Configuration | Policies | Windows Settings | Security Settings | Local Policies | Audit Policy | Audit Object AccessComputer Configuration | Policies | Windows Settings | Security Settings | Advanced Audit Policy Configuration | Audit Policies | Object Access | Audit File System
- 通过在 Windows 资源管理器中右键单击目录并选择 来启用目录审核
Properties | Security | Advanced | Auditing | Edit... | Add...。接下来,输入Everyone要审核的安全主体。最后,选中“更改权限”的“成功”框。 - 在安全事件日志中,查找事件 4663 或 4670。