我有一个视频文件夹,每天晚上 10 点,大部分文件都会被删除,只留下文件夹结构。
\Device\HarddiskVolume3\Video_Library\DM\
用户已映射文件Video_Library夹。
我已删除所有用户对该DM文件夹的删除权限。
我已启用文件审核,以查看删除DM文件夹及其所有子文件夹和文件的成功和失败情况。此删除没有任何条目,但在删除时我们得到以下信息:
A handle to an object was requested with intent to delete.
Subject:
Security ID: DOMAIN\evuser
Account Name: evuser
Account Domain: NINEMSN
Logon ID: 0x1131d2371
Object:
Object Server: Security
Object Type: File
Object Name: \Device\HarddiskVolume3\Video_Library\DM\.DS_Store
Handle ID: 0x0
Process Information:
Process ID: 0x4
Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes
Access Mask: 0x110080
Privileges Used for Access Check: SeBackupPrivilege
SeRestorePrivilege
evuser是我们的 Symantec Enterprise Vault 服务帐户。我已明确添加对整个DM文件夹的拒绝权限,但似乎仍然可以进入。Enterprise Vault 设置为在上次访问后 6 个月内归档文件。这些文件在几个小时内。
我复制了文件、重命名了文件并将它们移动到了不同的位置。所有这些都被删除了。
我已经对视频进行了转码并且该视频并未被删除。
根据 GUI,这些文件没有被 Forefront AV 触碰过的历史记录
关于如何追踪这些文件的删除,有什么建议吗?
谢谢
答案1
作为测试,暂时地启用安全策略“审核:审核备份和恢复权限的使用”。同时确保已启用“审核权限使用”策略。如果您使用的是高级审核,请确保已启用“审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置。”。
SeBackupPrivilege 和 SeRestorePrivilege 结合起来本质上意味着一个进程可以对资源执行任何操作,而不管访问控制列表如何,并且其用途不仅限于备份和恢复。
“此安全设置确定在审核权限使用策略生效时是否审核所有用户权限的使用情况,包括备份和还原。在启用审核权限使用策略时启用此选项为每个备份或恢复的文件生成一个审计事件。
如果禁用此策略,则即使启用了审核权限使用,也不会审核备份或恢复权限的使用。
注意:在 Windows Vista 之前的 Windows 版本中配置此安全设置,更改直到重新启动 Windows 才会生效。启用此设置可能会导致大量事件,有时每秒数百个,在备份操作期间。
默认:禁用。
计算机配置>策略>Windows 设置>安全设置>本地策略>安全选项>“审核:审核备份和还原权限的使用情况”。
答案2
下载进程监控并设置一个包含视频文件路径的过滤器。在晚上 10 点之前运行它,并在文件被删除时观察输出。进入文件夹和删除文件的任何内容都会显示出来