Hallo,
zur Zeit kommt es immer wieder vor, dass Ordner (nur die TopLevel Ordner) um die Attribute HSI ergänz werden.
Screenshot: h t t p s://social.technet.microsoft.com/Forums/getfile/796101
so sieht das dann immer aus. Die Ordner+Freigaben liegen auf dem Fileserver und sind als Netzlaufwerk auf dem Terminalserver gemappt. Server sind beides 2008 Enterprise.
Ich habe nun das Security Audit aktiviert um die Aktivitäten auf diesen Ordnern zu mitzuloggen. Chronologisch passiert folgendes:
1.
Es wurde versucht, auf ein Objekt zuzugreifen.
Antragsteller:
Sicherheits-ID: Wxx\Sxx1
Kontoname: Sxx1
Kontodomäne: Wxx
Anmelde-ID: 0x1bd457a1
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: G:\Wxx\Abteilungen\Vertreter-Projekte\Angebote 2015\xx\xx (1).pdf
Handle-ID: 0x7fe0
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: Attribute schreiben
2.
Es wurde versucht, auf ein Objekt zuzugreifen.
Antragsteller:
Sicherheits-ID: Wxx\Sxx1
Kontoname: Sxx1
Kontodomäne: Wxx
Anmelde-ID: 0x1bd457a1
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: G:\Wxx\Abteilungen\Vertreter-Projekte
Handle-ID: 0x7df8
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: Attribute schreiben
3.
Es wurde versucht, auf ein Objekt zuzugreifen.
Antragsteller:
Sicherheits-ID: Wxx\Sxx1
Kontoname: Sxx1
Kontodomäne: Wxx
Anmelde-ID: 0x1bd457a1
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: G:\Wxx\Abteilungen\Vertrieb-Aussendienst
Handle-ID: 0x4e0c
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: Attribute schreiben
Zugriffsmaske: 0x100D
Danach wird es komisch, denn dann werden in beiden Ordnern eine "counters.dat" angelegt. Der Ereignisslog ist eigentlich identisch zu den oben:
G:\Wxx\Abteilungen\Vertreter-Projekte\counters.dat
G:\Wxx\Abteilungen\Vertrieb-Aussendienst\counters.dat
Davor und danach ist in den Logs nichts ungewöhnliches passiert, bis auf später das selbe mit einem anderen User und einem anderen Ordner. Das Resultat ist das selbe, nur wurden vorher keine Dateien in diesem Ordner oder Unterordner angelegt:
Es wurde versucht, auf ein Objekt zuzugreifen.
Antragsteller:
Sicherheits-ID: Wxx\nxx
Kontoname: nxx
Kontodomäne: Wxx
Anmelde-ID: 0x1cbaa3c9
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: G:\Wxx\Abteilungen\Einkauf-Privat
Handle-ID: 0x43cc
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: Attribute schreiben
Es wurde versucht, auf ein Objekt zuzugreifen.
Antragsteller:
Sicherheits-ID: Wxx\nxx
Kontoname: nxx
Kontodomäne: Wxx
Anmelde-ID: 0x1cbaa3c9
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: G:\Wxx\Abteilungen\Einkauf-Privat\counters.dat
Handle-ID: 0x43cc
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: Attribute schreiben
Was ebenfalls komisch ist, dass kein Prozessname angezeigt wird. Wenn ich als Admin mit dem Explorer oder per attrib die Attribute verändere erscheint immerhin ein Prozessname.
Weis jemand durch was dieses Phänomen ausgelöst werden kann?
Oder kann ich mit weiterem Monitoring die Fehlerquelle bzw -ursache weiter eingerenzen?
Gruß
