5
Überprüfen wer, wann und was in einem bestimmten Ordner macht.
Nachweis erbringen über das lesen, ändern oder löschen von Dateien.
Hallo zusammen,
In einem bestimmeten Odner auf einem NAS-Laufwerk passieren "angeblich" komische Dinge.
Es wurde der Verdacht ausgesprochen das "jemand" in dem Ordner rumfingert und Daten ändert oder gar löscht.
Wie kann ich die Aktionen für einem Bestimmten Ordner loggen.
Wichtig wäre für mich wann wer welche Datei "angefasst" hat (egal ob gelesen gelöscht oder editiert.
Es kann nicht über die "Rechte" geregelt werden, da alle "Verdächtigen" Vollzugriff benötigen.
IM ADS in der Gruppenrichtlinie hatte ich das überwachen von Objektzugriffsversuchen (erfolgreich / fehlgeschlagen ) aktiviert.
Dennoch kann ich in dem überwachten Ordner die Gruppe "Authentifizierte Benutzer" eintragen und sehe keine aktion im Sicherheistprotokoll am Server.
Ein loggen von testeweise erstellten (und wieder gelöschten) Ordner war nicht zu erkennen.
Was mache ich falsch oder hat jemand eine andere Gute Idee.
Wichtig ist dem Übertäter genau beweisen zu können wann er was geändert oder gelöscht hat.
Gruß Nex
In einem bestimmeten Odner auf einem NAS-Laufwerk passieren "angeblich" komische Dinge.
Es wurde der Verdacht ausgesprochen das "jemand" in dem Ordner rumfingert und Daten ändert oder gar löscht.
Wie kann ich die Aktionen für einem Bestimmten Ordner loggen.
Wichtig wäre für mich wann wer welche Datei "angefasst" hat (egal ob gelesen gelöscht oder editiert.
Es kann nicht über die "Rechte" geregelt werden, da alle "Verdächtigen" Vollzugriff benötigen.
IM ADS in der Gruppenrichtlinie hatte ich das überwachen von Objektzugriffsversuchen (erfolgreich / fehlgeschlagen ) aktiviert.
Dennoch kann ich in dem überwachten Ordner die Gruppe "Authentifizierte Benutzer" eintragen und sehe keine aktion im Sicherheistprotokoll am Server.
Ein loggen von testeweise erstellten (und wieder gelöschten) Ordner war nicht zu erkennen.
Was mache ich falsch oder hat jemand eine andere Gute Idee.
Wichtig ist dem Übertäter genau beweisen zu können wann er was geändert oder gelöscht hat.
Gruß Nex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146272
Url: https://administrator.de/contentid/146272
Printed on: April 23, 2024 at 22:04 o'clock
5 Comments
Latest comment
Moin,
speziel in deinem Fall -wobei es eigentlich immer gilt:
Ross & Reiter ;-(
Wie das Nas und welches NAS am AD angeschlossen ist - macht so einiges aus.
Ob es am User oder am NAS liegt auch da wäre der Typ vom Nas evtl. etwas hilfreich...
AFAIK kann man in der AD keine nicht M$ Server protokollieren.
[OT]
Ps: Fragt der eine Bauarbeiter den anderen - und wie ist deine neue Freundin im Bett? - die einen sagen so, die anderen so....
[/OT]
Gruß
speziel in deinem Fall -wobei es eigentlich immer gilt:
Ross & Reiter ;-(
Wie das Nas und welches NAS am AD angeschlossen ist - macht so einiges aus.
Ob es am User oder am NAS liegt auch da wäre der Typ vom Nas evtl. etwas hilfreich...
AFAIK kann man in der AD keine nicht M$ Server protokollieren.
[OT]
Ps: Fragt der eine Bauarbeiter den anderen - und wie ist deine neue Freundin im Bett? - die einen sagen so, die anderen so....
[/OT]
Gruß
Hy,
stand mal vor einem ähnlichen Problem , es ging aber Primär darum zu überwachen ob Logdateien erstellt oder gelöscht wurden.
Hab auch mit diversen GPO's , VB-Scripten u.ä getestet ...
Am Ende konnte ich die 50€ dem Kunde aus dem Kreuz leiern und habe mich für die Software: Watchdirectory - Link: http://de.watchdirectory.net/index.html entschieden.
Die macht das, was sie soll, hat eingebauten SMTP-Mailer und macht das, was sie soll ...
Gruß,
Andy
stand mal vor einem ähnlichen Problem , es ging aber Primär darum zu überwachen ob Logdateien erstellt oder gelöscht wurden.
Hab auch mit diversen GPO's , VB-Scripten u.ä getestet ...
Am Ende konnte ich die 50€ dem Kunde aus dem Kreuz leiern und habe mich für die Software: Watchdirectory - Link: http://de.watchdirectory.net/index.html entschieden.
Die macht das, was sie soll, hat eingebauten SMTP-Mailer und macht das, was sie soll ...
Gruß,
Andy
Hi,
Das NAS ist aufgeteilt. ein Hälfte als Netzwerkfreigabe, welches die Mitarbeiter per Script als Laufwerk gemappt bekommen. Die ander Hälfte als ISCI direkt an einem Win 2K3 Server angebunden und ebenfalls freigegeben.
Die Freigabe vom NAS "sehen" die Mitarbeiter wie die ISCSI Freigabe und bekommen die Berichtingen vom AD (das NAS liest das AD mit User und Gruppen aus)
Durch die Anbindung per ISCSI "sollte" sich der Netzwerkspeicher wie eine lokale Festplatten am Server verhalten (wird ja im Windows auch als solche eingebunden) aber bei beiden kann ich keine Objektzugriffe in dem Sicherheitsprotokol loggen.
Vielen Dank schon mal mit dem Tipp über watchdirectory, die schreiben aber ausdrücklich da rein, das ihre Software nur geht wenn es in dem MS Sicherheitsprotokoll was findet.
Und da liegt mein Problem, da trägt sich nichts ein.
Möglich das ich einen Konfigurationsfehler bei der Überwachungsrichtlinie habe.
Im ADS habe ich Objektzugriffsversuche Überwachen aktiviert.
An dem besagten Ordner habe ich für für das zu protokolierende (zulassen und verweigern) beides auf Vollzugriff gesetzt.
(siehe Bild von der Watchdirectory Webseite) Link: http://de.watchdirectory.net/wdhelp/plugins/lspenableauditfile_deu.gif
Für die Usergruppe die überwacht werden soll, habe ich testweise alle authentifizierten User eingetragen.
Gruß Nex
Das NAS ist aufgeteilt. ein Hälfte als Netzwerkfreigabe, welches die Mitarbeiter per Script als Laufwerk gemappt bekommen. Die ander Hälfte als ISCI direkt an einem Win 2K3 Server angebunden und ebenfalls freigegeben.
Die Freigabe vom NAS "sehen" die Mitarbeiter wie die ISCSI Freigabe und bekommen die Berichtingen vom AD (das NAS liest das AD mit User und Gruppen aus)
Durch die Anbindung per ISCSI "sollte" sich der Netzwerkspeicher wie eine lokale Festplatten am Server verhalten (wird ja im Windows auch als solche eingebunden) aber bei beiden kann ich keine Objektzugriffe in dem Sicherheitsprotokol loggen.
Vielen Dank schon mal mit dem Tipp über watchdirectory, die schreiben aber ausdrücklich da rein, das ihre Software nur geht wenn es in dem MS Sicherheitsprotokoll was findet.
Und da liegt mein Problem, da trägt sich nichts ein.
Möglich das ich einen Konfigurationsfehler bei der Überwachungsrichtlinie habe.
Im ADS habe ich Objektzugriffsversuche Überwachen aktiviert.
An dem besagten Ordner habe ich für für das zu protokolierende (zulassen und verweigern) beides auf Vollzugriff gesetzt.
(siehe Bild von der Watchdirectory Webseite) Link: http://de.watchdirectory.net/wdhelp/plugins/lspenableauditfile_deu.gif
Für die Usergruppe die überwacht werden soll, habe ich testweise alle authentifizierten User eingetragen.
Gruß Nex
Hy,
also da kann ich nur kommentieren, das ich in dern vorherigen Testläufen keinerlei Objektüberwachungsrichtlinien aktiviert hatte.
WD hatte beim Setup jedoch Einstellungen diesbezüglich beim Setup durchgeführt.
Es gibt eine Trial Version. Teste mal, umschwenken kann man noch immer ...
Gruß,
Andy
also da kann ich nur kommentieren, das ich in dern vorherigen Testläufen keinerlei Objektüberwachungsrichtlinien aktiviert hatte.
WD hatte beim Setup jedoch Einstellungen diesbezüglich beim Setup durchgeführt.
Es gibt eine Trial Version. Teste mal, umschwenken kann man noch immer ...
Gruß,
Andy
Da ich ja glücklichwerweise über einen Testserver verfüge bin ich mal so mutig und lass morgen dies diese 3. Anbieter Software im ADS das ändern.
Möglicherweise setzt die diese Häckchen richtig
(hoffe ich)
Gruß Nex
Möglicherweise setzt die diese Häckchen richtig
(hoffe ich)Gruß Nex
