1
Überwachung von NTFS-Berechtigungen
Ich möchte die Veränderung von NTFS Berechtigungen für den Ordner "\\server\d$\verzeichnis" inclusive Unterordner und Dateien in einer Server 2003-AD-Domain überwachen.
Das heisst, ich möchte nachverfolgen können, welcher User oder Admin auf welchem Ordner oder welcher Datein innerhalb des angegebenen Verzeichnisses NTFS-Berechtigungen ändert, hinzufügt oder löscht.
Dazu habe ich bereits in einer entsprechenden Policy (in der Default Domain Policy meines Testsystems) unter:
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstelölungen -> Lokale Richtlinien -> Überwachungsrichtlinien
die Option "Objektzugriffsversuche überwachen" auf erfolgreich gestellt.
Anschliessend habe ich erstmal direkt auf dem 1. DC ein Verzeichnis C:\TEST und darin einige Daten erstellt.
Bei den Sicherheitseinstellungen des Verzeichnisses unter Erweitert -> Überwachung
habe ich zunächst das Administratorkonto hinzugefügt und dort die Option "Berechtigungen ändern" auf erfolgreich gestellt.
Nach einem gpupdate /force sollte doch jetzt im Eventlog "Sicherheit" auftauchen, wenn ich die NTFS-Berechtigung von C:\TEST\test.txt ändere, indem ich z.B. "Jeder -> Vollzugriff" hinzufüge.
Beim durchforsten der Logs stellte ich fest, dass zum Zeitpunkt der Änderung 9 Einträge gemacht wurden:
An-/Abm... 538 SYSTEM
An-/Abm... 538 SYSTEM
An-/Abm... 538 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
Da ich mich bisher noch nicht mit dem Überwachen von Ereignissen im AD beschäftigt habe wäre ich froh, wenn jemand mir behilflich sein könnte.
Hab ich die Policy-Einstellungen richtig konfiguriert und wie kann ich die Logs auswerten, um herauszufinden, wer wann an den NTFS-Berechtigungen von Ordnern und Dateien gebastelt hat?
Das heisst, ich möchte nachverfolgen können, welcher User oder Admin auf welchem Ordner oder welcher Datein innerhalb des angegebenen Verzeichnisses NTFS-Berechtigungen ändert, hinzufügt oder löscht.
Dazu habe ich bereits in einer entsprechenden Policy (in der Default Domain Policy meines Testsystems) unter:
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstelölungen -> Lokale Richtlinien -> Überwachungsrichtlinien
die Option "Objektzugriffsversuche überwachen" auf erfolgreich gestellt.
Anschliessend habe ich erstmal direkt auf dem 1. DC ein Verzeichnis C:\TEST und darin einige Daten erstellt.
Bei den Sicherheitseinstellungen des Verzeichnisses unter Erweitert -> Überwachung
habe ich zunächst das Administratorkonto hinzugefügt und dort die Option "Berechtigungen ändern" auf erfolgreich gestellt.
Nach einem gpupdate /force sollte doch jetzt im Eventlog "Sicherheit" auftauchen, wenn ich die NTFS-Berechtigung von C:\TEST\test.txt ändere, indem ich z.B. "Jeder -> Vollzugriff" hinzufüge.
Beim durchforsten der Logs stellte ich fest, dass zum Zeitpunkt der Änderung 9 Einträge gemacht wurden:
An-/Abm... 538 SYSTEM
An-/Abm... 538 SYSTEM
An-/Abm... 538 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
Da ich mich bisher noch nicht mit dem Überwachen von Ereignissen im AD beschäftigt habe wäre ich froh, wenn jemand mir behilflich sein könnte.
Hab ich die Policy-Einstellungen richtig konfiguriert und wie kann ich die Logs auswerten, um herauszufinden, wer wann an den NTFS-Berechtigungen von Ordnern und Dateien gebastelt hat?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 111501
Url: https://administrator.de/contentid/111501
Printed on: April 25, 2024 at 09:04 o'clock
1 Comment
Du hast alles richtig gemacht. Prüf doch simpel per rsop.msc mal auf dem Server nach, ob die Richtlinie zieht. Das Ändern der Rechte solle explizit verzeichnet werden.
