9
Windows Filesystemüberwachung - Löschen von Dateien protokollieren
Hallo,
ich versuche seit geraumer Zeit, eine Freigabe mit Windows-Bordmitteln zu überwachen, sprich: Schreibe in die Ereignisanzeige\Sicherheit, wenn eine Datei von wem gelöscht wurde. Mehr nicht. Scheinbar ist bei mir irgendetwas schiefgelaufen: die Überwachung loggt nicht nur "Löschen" und ist schon garnicht nur den von mir bestimmten Share beschränkt.
Konfiguration:
- SACL nur am Share in der Überwachung eingetragen, nur bei Löschen bzw. Dateien und Unterordner löschen
- GPO am DC, derzeit limitiert auf einen Server, mit aktivierter Objektüberwachung
Share:
GPO:
In der Ereignisanzeige finden sich dann pro Sekunde etliche Einträge, alleine von jedem Zugriffsversuch auf den Server (es laufen einige andere Sachen dorthin, die Zugriffe passen ansich).
Ereignisanzeige:
Habe mich schon auf etlichen Seiten umgesehen und auch hier ein paar Beiträge gefunden, nur ist das m.M.n. alles richtig eingestellt. Letztendlich laufen alle Anleitungen auf die bekannten Punkte raus:
1. lokale Richtlinie: Objektüberwachung
2. Aktivierung der Überwachung am zu überwachenden Objekt.
3. Fertig.
Habe ich da irgendwas übersehen?
Besten Dank für einen kleinen Tipp!
ich versuche seit geraumer Zeit, eine Freigabe mit Windows-Bordmitteln zu überwachen, sprich: Schreibe in die Ereignisanzeige\Sicherheit, wenn eine Datei von wem gelöscht wurde. Mehr nicht. Scheinbar ist bei mir irgendetwas schiefgelaufen: die Überwachung loggt nicht nur "Löschen" und ist schon garnicht nur den von mir bestimmten Share beschränkt.
Konfiguration:
- SACL nur am Share in der Überwachung eingetragen, nur bei Löschen bzw. Dateien und Unterordner löschen
- GPO am DC, derzeit limitiert auf einen Server, mit aktivierter Objektüberwachung
Share:
GPO:
In der Ereignisanzeige finden sich dann pro Sekunde etliche Einträge, alleine von jedem Zugriffsversuch auf den Server (es laufen einige andere Sachen dorthin, die Zugriffe passen ansich).
Ereignisanzeige:
Habe mich schon auf etlichen Seiten umgesehen und auch hier ein paar Beiträge gefunden, nur ist das m.M.n. alles richtig eingestellt. Letztendlich laufen alle Anleitungen auf die bekannten Punkte raus:
1. lokale Richtlinie: Objektüberwachung
2. Aktivierung der Überwachung am zu überwachenden Objekt.
3. Fertig.
Habe ich da irgendwas übersehen?
Besten Dank für einen kleinen Tipp!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191038
Url: https://administrator.de/contentid/191038
Printed on: April 18, 2024 at 08:04 o'clock
9 Comments
Latest comment
Hallo,
Wobei? Was ist deine eigentliche Frage? Das zu viele Meldungen im Ereignissprotokoll drin stehen (was aber normal ist)? Wo ist dein eigentliches Problem?
Gruß,
Peter
Wobei? Was ist deine eigentliche Frage? Das zu viele Meldungen im Ereignissprotokoll drin stehen (was aber normal ist)? Wo ist dein eigentliches Problem?
Gruß,
Peter
Vielleicht habe ich das auch komplett falsch verstanden aber bei der GPO steht:
daher wäre meine Frage:
Sollten nach o.g. Einstellungen nicht nur dann weitere Ereignisse generiert werden, wenn eine Datei im Ordner mit der SACL gelöscht wird?
Mit dieser Sicherheitseinstellung wird festgelegt, ob Benutzerzugriffe auf Nicht-Active-Directory-Objekte überwacht werden. Überwachung wird nur für Objekte generiert, für die eine eigene SACL (System Access Control List, Zugriffssteuerungsliste für das System) angegeben ist, und nur dann, falls der angeforderte Zugriffstyp (beispielsweise Schreiben, Lesen oder Ändern) und das Konto, von dem die Anforderung stammt, den Einstellungen in der SACL entsprechen.
daher wäre meine Frage:
Sollten nach o.g. Einstellungen nicht nur dann weitere Ereignisse generiert werden, wenn eine Datei im Ordner mit der SACL gelöscht wird?
Schon richtig, es sollten nur überwachte Files gemeldet werden. Prüf bitte erneut, ob die anderen Ordner, welche Einträge produzieren, nicht (evtl. per default) auch Überwachungseinstellungen besitzen.
Habe es eben sicherheitshalber nochmals überprüft: Weder im Root (hier D
noch im share2 ist irgendetwas unter Überwachung konfiguriert, auch nicht im share2\Ordner1 oder sonst einem Unterverzeichnis.
Dennoch bekomme ich im Log Meldungen wie:
Obwohl laut gpresult die GPO angekommen ist, habe ich sie auch schon aktualisiert - ohne Veränderung.
noch im share2 ist irgendetwas unter Überwachung konfiguriert, auch nicht im share2\Ordner1 oder sonst einem Unterverzeichnis.Dennoch bekomme ich im Log Meldungen wie:
Ein Netzwerkfreigabeobjekt wurde überprüft, um zu ermitteln, ob dem Client der gewünschte Zugriff gewährt werden kann.
Antragsteller:
Sicherheits-ID: domain\user
Kontoname: user
Kontodomäne: domain
Anmelde-ID: 0x***ID***
Netzwerkinformationen:
Objekttyp: File
Quelladresse: *** Remote IP ***
Quellport: 55449
Freigabeinformationen:
Freigabename: \\*\share2
Freigabepfad: \??\D:\share2
Relativer Zielname: ordner1\datei.txt
Zugriffsanforderungsinformationen:
Zugriffsmaske: 0x89
Zugriffe: Daten lesen (oder Verzeichnis auflisten)
EA lesen
Attribute lesen
Ergebnisse der Zugriffsprüfung:
Daten lesen (oder Verzeichnis auflisten): Gewährt durch D:(A;;FA;;;S-1-5-***SID***)
EA lesen: Gewährt durch D:(A;;FA;;;S-1-5-21-***SID***)
Attribute lesen: Gewährt durch D:(A;;FA;;;S-1-5-21-***SID***)Obwohl laut gpresult die GPO angekommen ist, habe ich sie auch schon aktualisiert - ohne Veränderung.
Ich schätze, ich kann Dir helfen. Zunächst mal: Ist das Dein Thread?
http://social.technet.microsoft.com/Forums/de-DE/sbsde/thread/b917c51b- ...
Wenn ja: immer mitteilen, der Ordnung halber.
Ich habe zwei weitere Threads dazu gefunden und einer sieht aus wie die Lösung: http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ... gefunden über http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ... (im letzten Kommentar wird die Lösung verlinkt).
http://social.technet.microsoft.com/Forums/de-DE/sbsde/thread/b917c51b- ...
Wenn ja: immer mitteilen, der Ordnung halber.
Ich habe zwei weitere Threads dazu gefunden und einer sieht aus wie die Lösung: http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ... gefunden über http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ... (im letzten Kommentar wird die Lösung verlinkt).
Nein, von mir ist der Thread nicht, habe nur hier einen aufgemacht.
ist es schonmal nicht. Die Audit Ordner sind jeweils leer.
Die anderen Sachen muss ich mir nochmal durchlesen, allerdings reicht mir die Zeit momentan nicht. Ich melde mich, sobald ich etwas neues weiß.
Danke!
// EDIT:
So, wenn ich das jetzt richtig gesehen habe, funktioniert es.
Lösung: GPO wieder zurückgesetzt und über Erweiterte Überwachungsrichtlinienkonfiguration\Objektzugriff konfiguriert: Dateisystem überwachen: Erfolgreich.
Kleiner Schönheitsfehler: Umbenennen wird scheinbar auch als Löschen gewertet:
Aber vielleicht krieg ich das auch noch irgendwie raus.
advanced audit policy dabbling and regretting
http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ...
http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ...
ist es schonmal nicht. Die Audit Ordner sind jeweils leer.
Die anderen Sachen muss ich mir nochmal durchlesen, allerdings reicht mir die Zeit momentan nicht. Ich melde mich, sobald ich etwas neues weiß.
Danke!
// EDIT:
So, wenn ich das jetzt richtig gesehen habe, funktioniert es.
Lösung: GPO wieder zurückgesetzt und über Erweiterte Überwachungsrichtlinienkonfiguration\Objektzugriff konfiguriert: Dateisystem überwachen: Erfolgreich.
Kleiner Schönheitsfehler: Umbenennen wird scheinbar auch als Löschen gewertet:
Es wurde versucht, auf ein Objekt zuzugreifen.
Antragsteller:
Sicherheits-ID: domain\user
Kontoname: user
Kontodomäne: domain
Anmelde-ID: 0x***ID***
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: D:\share1\dir2\dir3\test.txt
Handle-ID: 0x3ff8
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: DELETE
Zugriffsmaske: 0x10000
Ich hab noch nicht verstanden, was jetzt anders ist als vorher.
Stand vorher:
Richtlinie definiert über: GPO\Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\Objektzugriffsversuche überwachen
Einstellung: Erfolgreich
SACL: Löschen/Erfolgreich
Ergebnis: Log voll mit etlichen Zugriffen, auch in Verzeichnissen, die nicht über eine SACL verfügen.
Stand jetzt:
Richtlinie definiert über: GPO\Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungskonfiguration\Überwachungsrichtlinien\Objektzugriff\Dateisystem überwachen
Einstellung: Erfolgreich
SACL: Löschen/Erfolgreich (unverändert)
Ergebnis: Loggt nur die Löschungen im gewünschten Verzeichnis (und Umbenennungen werden als Löschung unter dem alten Dateinamen geloggt)
Richtlinie definiert über: GPO\Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\Objektzugriffsversuche überwachen
Einstellung: Erfolgreich
SACL: Löschen/Erfolgreich
Ergebnis: Log voll mit etlichen Zugriffen, auch in Verzeichnissen, die nicht über eine SACL verfügen.
Stand jetzt:
Richtlinie definiert über: GPO\Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungskonfiguration\Überwachungsrichtlinien\Objektzugriff\Dateisystem überwachen
Einstellung: Erfolgreich
SACL: Löschen/Erfolgreich (unverändert)
Ergebnis: Loggt nur die Löschungen im gewünschten Verzeichnis (und Umbenennungen werden als Löschung unter dem alten Dateinamen geloggt)
Ah jetzt, ja.
Seltsam, dass diese neue (ab win7/2008R2 verfügbare) Einstellung anders ist. Die alte hatte bislang immer geklappt, scheint wohl mit R2 einen Bug zu haben.
Seltsam, dass diese neue (ab win7/2008R2 verfügbare) Einstellung anders ist. Die alte hatte bislang immer geklappt, scheint wohl mit R2 einen Bug zu haben.
