我在公司域中拥有多台服务器,它们似乎随机丢失了对 TEMP 文件夹(c:\temp、c:\windows\temp 以及环境变量中定义的任何临时文件夹)的 ACL 权限。
该文件夹没有采用正常权限(管理员完全控制、用户读/写、网络服务读取等),而是重置为所有人 - 读取。
是否有一个工具可以让我监视相关文件夹以查看谁/什么/何时进行了更改?
我目前正在尝试使用 Windows 审核系统,但它并不完美 - 在 Windows 2003 上,它没有针对文件夹权限更改的特定事件。而且,安全事件日志很快就会被常规登录和我们的强化软件的例行扫描填满。
知道我可以去哪儿看吗?
答案1
无论如何,您应该能够对此进行一些过滤,但如果日志被完全填满的次数过多,您可以暂时禁用大多数其他安全审计,而只审计“更改权限”(特别是“成功”的权限)。