Você tem duas opções, dependendo de sua preferência ou necessidades específicas:
Procmon
Usando o Procmon, você deseja definir filtros para o seguinte:
- Operação: filtre por
SetSecurityFile(use a condição "é"). Isso mostrará qualquer evento no qual uma ACL é modificada em um arquivo ou diretório. - Caminho: defina isso para o caminho para sua pasta temporária. Se seu caminho for
c:\path\to\temp, insira isso. Novamente, use a condição "é", no entanto, você pode usar a condição "começa com" se quiser ver as alterações da ACL nas subpastas.
Se isso precisar ser de longa duração, você provavelmente desejará ativar a opção "Ignorar eventos filtrados" no menu Ferramentas.
Os benefícios de usar o Procmon são que é simples fazer o download e executar com pouca pré-configuração, em detrimento da necessidade de mantê-lo funcionando o tempo todo.
Auditoria do sistema de arquivos
Para usar a auditoria, você precisará fazer o seguinte:
- Na política local (ou no GPO aplicável) do computador, ative as auditorias de sucesso por meio de um dos itens a seguir:
-
Computer Configuration | Policies | Windows Settings | Security Settings | Local Policies | Audit Policy | Audit Object Access -
Computer Configuration | Policies | Windows Settings | Security Settings | Advanced Audit Policy Configuration | Audit Policies | Object Access | Audit File System
-
- Ative a auditoria em seu diretório clicando com o botão direito do mouse no diretório no Windows Explorer e selecionando
Properties | Security | Advanced | Auditing | Edit... | Add.... Em seguida, insiraEveryonecomo o principal de segurança a ser auditado. Por último, marque a caixa "Bem-sucedido" para "Alterar permissões". - No log de eventos de segurança, procure pelo evento 4663 ou 4670.