Hallo,
zur Zeit kommt es immer wieder vor, dass Ordner (nur die TopLevel Ordner) um die Attribute HSI ergänz werden.
Screenshot: h t t p s://social.technet.microsoft.com/Forums/getfile/796101
so sieht das dann immer aus. Die Ordner+Freigaben liegen auf dem Fileserver und sind als Netzlaufwerk auf dem Terminalserver gemappt. Server sind beides 2008 Enterprise.
Ich habe nun das Security Audit aktiviert um die Aktivitäten auf diesen Ordnern zu mitzuloggen. Chronologisch passiert folgendes:
1.
Es wurde versucht, auf ein Objekt zuzugreifen. Antragsteller: Sicherheits-ID: Wxx\Sxx1 Kontoname: Sxx1 Kontodomäne: Wxx Anmelde-ID: 0x1bd457a1 Objekt: Objektserver: Security Objekttyp: File Objektname: G:\Wxx\Abteilungen\Vertreter-Projekte\Angebote 2015\xx\xx (1).pdf Handle-ID: 0x7fe0 Prozessinformationen: Prozess-ID: 0x4 Prozessname: Zugriffsanforderungsinformationen: Zugriffe: Attribute schreiben
2.
Es wurde versucht, auf ein Objekt zuzugreifen. Antragsteller: Sicherheits-ID: Wxx\Sxx1 Kontoname: Sxx1 Kontodomäne: Wxx Anmelde-ID: 0x1bd457a1 Objekt: Objektserver: Security Objekttyp: File Objektname: G:\Wxx\Abteilungen\Vertreter-Projekte Handle-ID: 0x7df8 Prozessinformationen: Prozess-ID: 0x4 Prozessname: Zugriffsanforderungsinformationen: Zugriffe: Attribute schreiben
3.
Es wurde versucht, auf ein Objekt zuzugreifen. Antragsteller: Sicherheits-ID: Wxx\Sxx1 Kontoname: Sxx1 Kontodomäne: Wxx Anmelde-ID: 0x1bd457a1 Objekt: Objektserver: Security Objekttyp: File Objektname: G:\Wxx\Abteilungen\Vertrieb-Aussendienst Handle-ID: 0x4e0c Prozessinformationen: Prozess-ID: 0x4 Prozessname: Zugriffsanforderungsinformationen: Zugriffe: Attribute schreiben Zugriffsmaske: 0x100D
Danach wird es komisch, denn dann werden in beiden Ordnern eine "counters.dat" angelegt. Der Ereignisslog ist eigentlich identisch zu den oben:
G:\Wxx\Abteilungen\Vertreter-Projekte\counters.dat G:\Wxx\Abteilungen\Vertrieb-Aussendienst\counters.dat
Davor und danach ist in den Logs nichts ungewöhnliches passiert, bis auf später das selbe mit einem anderen User und einem anderen Ordner. Das Resultat ist das selbe, nur wurden vorher keine Dateien in diesem Ordner oder Unterordner angelegt:
Es wurde versucht, auf ein Objekt zuzugreifen. Antragsteller: Sicherheits-ID: Wxx\nxx Kontoname: nxx Kontodomäne: Wxx Anmelde-ID: 0x1cbaa3c9 Objekt: Objektserver: Security Objekttyp: File Objektname: G:\Wxx\Abteilungen\Einkauf-Privat Handle-ID: 0x43cc Prozessinformationen: Prozess-ID: 0x4 Prozessname: Zugriffsanforderungsinformationen: Zugriffe: Attribute schreiben
Es wurde versucht, auf ein Objekt zuzugreifen. Antragsteller: Sicherheits-ID: Wxx\nxx Kontoname: nxx Kontodomäne: Wxx Anmelde-ID: 0x1cbaa3c9 Objekt: Objektserver: Security Objekttyp: File Objektname: G:\Wxx\Abteilungen\Einkauf-Privat\counters.dat Handle-ID: 0x43cc Prozessinformationen: Prozess-ID: 0x4 Prozessname: Zugriffsanforderungsinformationen: Zugriffe: Attribute schreiben
Was ebenfalls komisch ist, dass kein Prozessname angezeigt wird. Wenn ich als Admin mit dem Explorer oder per attrib die Attribute verändere erscheint immerhin ein Prozessname.
Weis jemand durch was dieses Phänomen ausgelöst werden kann?
Oder kann ich mit weiterem Monitoring die Fehlerquelle bzw -ursache weiter eingerenzen?
Gruß