Como teste, temporariamente ative a diretiva de segurança "Auditoria: auditar o uso do privilégio de backup e restauração". Além disso, verifique se você tem a política "Usar privilégios de auditoria" ativada. Se você estiver usando Auditoria avançada, verifique se você tem as configurações da subcategoria "Auditoria: Forçar a política de auditoria (Windows Vista ou posterior) para substituir as configurações de categoria de política de auditoria". ativado.
SeBackupPrivilege e SeRestorePrivilege combinados essencialmente significa que um processo pode fazer absolutamente qualquer coisa para um recurso, independentemente da lista de controle de acesso, e seu uso não está limitado apenas a backup e restauração.
"Esta configuração de segurança determina se deve auditar o uso de todos os privilégios de usuário, incluindo Backup e Restauração, quando a política de uso de privilégios de Auditoria está em vigor. A ativação dessa opção quando a política de uso de privilégios de auditoria também está ativada gera evento de auditoria para todos os arquivos cujo backup foi feito ou restaurado.
Se você desabilitar essa política, o uso do privilégio Backup ou Restauração não será auditado, mesmo quando o uso de privilégios de auditoria estiver ativado.
Observação: nas versões do Windows anteriores ao Windows Vista, ao definir essa configuração de segurança, as alterações não entrarão em vigor até que você reinicie o Windows. A ativação dessa configuração pode causar muitos eventos, às vezes centenas por segundo , durante uma operação de backup.
Padrão: desativado. "
Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas locais > Opções de segurança > "Auditoria: Auditoria do uso do privilégio de backup e restauração".