Eu tenho um número de servidores no domínio corporativo que parecem perder aleatoriamente permissões ACL para as pastas TEMP (c: \ temp, c: \ windows \ temp e qualquer pasta temporária definida nas variáveis de ambiente).
Em vez das permissões normais (controle total de administradores, usuários de leitura / gravação, serviço de rede lidos etc.) - a pasta é redefinida para Todos - leia.
Existe uma ferramenta que me permitirá monitorar as pastas em questão para ver quem / o que / quando faz a mudança?
Atualmente, estou tentando usar o sistema de auditoria do Windows, mas não é perfeito - no Windows 2003, ele não tem um evento específico para a alteração de permissões de pasta. E, de qualquer forma, o log de eventos de segurança está sendo preenchido EXTREMAMENTE rápido por logins regulares e pelas varreduras de rotina de nosso software de proteção.
Alguma ideia de onde eu possa parecer?
Você deve conseguir filtrar um pouco assim mesmo, mas se o registro estiver sendo completamente preenchido com muita frequência, você poderá desativar temporariamente a maioria das outras auditorias de segurança e simplesmente auditar "Alterar permissões" (particularmente as "bem-sucedidas").