Решил я тут побаловаться аудитом в надежде выяснить, с кого в
общедоступную папку на сервере пришел вирус (поскольку владельцем винда
почему-то прописывает не конкретного человека, а группу).
Включил аудит доступа к объектам, на соответствующей папке поставил
галочку аудита создания файлов и жду. Опаньки! Лог безопасности
заполонили сообщения об открытии файлов, закрытии файлов и прочей
деятельности пользователя SYSTEM. Что за?..
Лезу в настройку DFS и обнаруживаю, что его корень унаследовал
включенный аудит чего ни попадя откуда-то "сверху". И галочки "не
наследовать" нет (хотя надпись про ее включение есть).
Гугль ничего хорошего не сказал, поиск по этому форуму на слова "аудит
DFS" тоже пуст. Что делать?
Можно, конечно, фильтровать журнал, но при такой активности он либо
переполнится либо перезапишет интересные события.
Posted via ActualForum NNTP Server 1.4

MZH
Быть может, стоит ограничить его пользовательскими группами и
отслеживать только создание файлов?

Тот аудит, что я сам задаю, конечно, можно ограничить, а вот тот что
встал на корень DFS-а автоматом... Мне любопытно: откуда все-таки он
наследуется?
Posted via ActualForum NNTP Server 1.4