У вас есть два варианта, в зависимости от ваших предпочтений или конкретных потребностей:
Procmon
Используя Procmon, вы хотите установить фильтры для следующего:
- Операция: фильтр для
SetSecurityFile (используйте условие "есть"). Это покажет вам любое событие, в котором ACL изменен для файла или каталога.
- Путь: укажите путь к вашей временной папке. Если ваш путь
c:\path\to\temp , введите его. Снова используйте условие "есть", однако вы можете использовать условие "начинается с", если хотите увидеть изменения ACL для подпапок.
Если это требует длительного времени, вы, скорее всего, захотите включить опцию "Удалить отфильтрованные события" в меню "Инструменты".
Преимущества использования Procmon заключаются в том, что его легко загружать и запускать с минимальной предварительной настройкой за счет необходимости постоянно поддерживать его работу.
Аудит файловой системы
Чтобы использовать аудит, вам нужно сделать следующее:
- В локальной политике (или соответствующем объекте групповой политики) компьютера включите Аудит успеха с помощью одного из следующих:
Computer Configuration | Policies | Windows Settings | Security Settings | Local Policies | Audit Policy | Audit Object AccessComputer Configuration | Policies | Windows Settings | Security Settings | Advanced Audit Policy Configuration | Audit Policies | Object Access | Audit File System
- Включите аудит в своем каталоге, щелкнув правой кнопкой мыши каталог в проводнике Windows и выбрав
Properties | Security | Advanced | Auditing | Edit... | Add... Затем введите « Everyone качестве участника безопасности для аудита. Наконец, установите флажок "Успешно" для "Изменить разрешения".
- В журнале событий безопасности найдите событие 4663 или 4670.
