如何监视文件夹权限变化

如何监视文件夹权限变化

我发现我的临时文件夹权限有时会被更改,这会导致许多程序出现故障,因为它们无法再写入该文件夹。然后我手动将权限设置回正确状态,但几天后它们又被更改了,这非常令人沮丧。我想知道是哪个程序在更改它们。

有没有办法知道哪个可执行文件更改了文件夹的权限?有没有办法监视或记录权限更改?

编辑我还接受任何有助于我阻止程序修改权限的评论或回答

答案1

根据您的偏好或特定需求,您有两种选择:

普罗克蒙

使用 Procmon,您需要设置以下内容的过滤器:

  1. 操作:过滤SetSecurityFile(使用“是”条件)。这将向您显示文件或目录上的 ACL 被修改的任何事件。
  2. 路径:将其设置为临时文件夹的路径。如果您的路径是c:\path\to\temp,请输入该路径。再次使用“是”条件,但是如果您想查看子文件夹的 ACL 更改,则可以使用“以...开头”条件。

如果这需要长期运行,您很可能想要在工具菜单上启用“删除过滤事件”选项。

使用 Procmon 的好处是,它易于下载和运行,几乎不需要预先配置,但需要始终保持其运行。

文件系统审计

要使用审核,您需要执行以下操作:

  1. 在计算机的本地策略(或适用的 GPO)中,通过以下方式之一启用成功审核:
  • Computer Configuration | Policies | Windows Settings | Security Settings | Local Policies | Audit Policy | Audit Object Access
  • Computer Configuration | Policies | Windows Settings | Security Settings | Advanced Audit Policy Configuration | Audit Policies | Object Access | Audit File System
  1. 通过在 Windows 资源管理器中右键单击目录并选择 来启用目录审核Properties | Security | Advanced | Auditing | Edit... | Add...。接下来,输入Everyone要审核的安全主体。最后,选中“更改权限”的“成功”框。
  2. 在安全事件日志中,查找事件 4663 或 4670。

相关内容