Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Überprüfen wer, wann und was in einem bestimmten Ordner macht.

Mitglied: nexutron

nexutron (Level 1) - Jetzt verbinden

05.07.2010 um 17:36 Uhr, 5286 Aufrufe, 5 Kommentare

Nachweis erbringen über das lesen, ändern oder löschen von Dateien.

Hallo zusammen,

In einem bestimmeten Odner auf einem NAS-Laufwerk passieren "angeblich" komische Dinge.
Es wurde der Verdacht ausgesprochen das "jemand" in dem Ordner rumfingert und Daten ändert oder gar löscht.
Wie kann ich die Aktionen für einem Bestimmten Ordner loggen.
Wichtig wäre für mich wann wer welche Datei "angefasst" hat (egal ob gelesen gelöscht oder editiert.

Es kann nicht über die "Rechte" geregelt werden, da alle "Verdächtigen" Vollzugriff benötigen.
IM ADS in der Gruppenrichtlinie hatte ich das überwachen von Objektzugriffsversuchen (erfolgreich / fehlgeschlagen ) aktiviert.
Dennoch kann ich in dem überwachten Ordner die Gruppe "Authentifizierte Benutzer" eintragen und sehe keine aktion im Sicherheistprotokoll am Server.
Ein loggen von testeweise erstellten (und wieder gelöschten) Ordner war nicht zu erkennen.

Was mache ich falsch oder hat jemand eine andere Gute Idee.
Wichtig ist dem Übertäter genau beweisen zu können wann er was geändert oder gelöscht hat.

Gruß Nex
Mitglied: 60730
05.07.2010 um 17:49 Uhr
Moin,

speziel in deinem Fall -wobei es eigentlich immer gilt:

Ross & Reiter ;-(

Wie das Nas und welches NAS am AD angeschlossen ist - macht so einiges aus.
Ob es am User oder am NAS liegt auch da wäre der Typ vom Nas evtl. etwas hilfreich...
AFAIK kann man in der AD keine nicht M$ Server protokollieren.

[OT]
Ps: Fragt der eine Bauarbeiter den anderen - und wie ist deine neue Freundin im Bett? - die einen sagen so, die anderen so....
[/OT]
Gruß
Bitte warten ..
Mitglied: Weasel1969
05.07.2010 um 19:36 Uhr
Hy,

stand mal vor einem ähnlichen Problem , es ging aber Primär darum zu überwachen ob Logdateien erstellt oder gelöscht wurden.
Hab auch mit diversen GPO's , VB-Scripten u.ä getestet ...
Am Ende konnte ich die 50€ dem Kunde aus dem Kreuz leiern und habe mich für die Software: Watchdirectory - Link: http://de.watchdirectory.net/index.html entschieden.
Die macht das, was sie soll, hat eingebauten SMTP-Mailer und macht das, was sie soll ...

Gruß,
Andy
Bitte warten ..
Mitglied: nexutron
05.07.2010 um 20:33 Uhr
Hi,

Das NAS ist aufgeteilt. ein Hälfte als Netzwerkfreigabe, welches die Mitarbeiter per Script als Laufwerk gemappt bekommen. Die ander Hälfte als ISCI direkt an einem Win 2K3 Server angebunden und ebenfalls freigegeben.
Die Freigabe vom NAS "sehen" die Mitarbeiter wie die ISCSI Freigabe und bekommen die Berichtingen vom AD (das NAS liest das AD mit User und Gruppen aus)
Durch die Anbindung per ISCSI "sollte" sich der Netzwerkspeicher wie eine lokale Festplatten am Server verhalten (wird ja im Windows auch als solche eingebunden) aber bei beiden kann ich keine Objektzugriffe in dem Sicherheitsprotokol loggen.

Vielen Dank schon mal mit dem Tipp über watchdirectory, die schreiben aber ausdrücklich da rein, das ihre Software nur geht wenn es in dem MS Sicherheitsprotokoll was findet.
Und da liegt mein Problem, da trägt sich nichts ein.
Möglich das ich einen Konfigurationsfehler bei der Überwachungsrichtlinie habe.
Im ADS habe ich Objektzugriffsversuche Überwachen aktiviert.
An dem besagten Ordner habe ich für für das zu protokolierende (zulassen und verweigern) beides auf Vollzugriff gesetzt.
(siehe Bild von der Watchdirectory Webseite) Link: http://de.watchdirectory.net/wdhelp/plugins/lspenableauditfile_deu.gif
Für die Usergruppe die überwacht werden soll, habe ich testweise alle authentifizierten User eingetragen.

Gruß Nex
Bitte warten ..
Mitglied: Weasel1969
05.07.2010 um 20:49 Uhr
Hy,

also da kann ich nur kommentieren, das ich in dern vorherigen Testläufen keinerlei Objektüberwachungsrichtlinien aktiviert hatte.
WD hatte beim Setup jedoch Einstellungen diesbezüglich beim Setup durchgeführt.
Es gibt eine Trial Version. Teste mal, umschwenken kann man noch immer ...

Gruß,
Andy
Bitte warten ..
Mitglied: nexutron
05.07.2010 um 20:54 Uhr
Da ich ja glücklichwerweise über einen Testserver verfüge bin ich mal so mutig und lass morgen dies diese 3. Anbieter Software im ADS das ändern.
Möglicherweise setzt die diese Häckchen richtig (hoffe ich)


Gruß Nex
Bitte warten ..
Ähnliche Inhalte
Utilities

Google - Wann war ich an einem bestimmten Ort

gelöst Frage von YannoschUtilities2 Kommentare

Servus Leute, oft hört man ja, dass unser Handy loggt wo wir wann gewesen sind. unter bestimmten Konfigurationen & ...

Batch & Shell

Batch: Ordner auf Datei überprüfen

gelöst Frage von donmanolitoBatch & Shell4 Kommentare

Hallo Ich suche eine Möglichkeit alle Ordnernamen eines Verzeichnisses in eine Variable zu schieben um dann per Schleife ein ...

CPU, RAM, Mainboards

Ab wann macht ECC-RAM Sinn?

Frage von omnomeCPU, RAM, Mainboards5 Kommentare

Hallo, ich wollte mal zum besseren Verständnis meinerseits Fragen ab wann ECC-RAM Sinn macht, welche Einsatzszenarien ECC-RAM benötigen oder ...

Batch & Shell

Vor dem Verzeichniss erstellen überprüfen ob Ordner vorhanden sind

Frage von TommylikBatch & Shell12 Kommentare

Hallo, Ich habe mir folgendes geschrieben: Funktioniert ohne Probleme. Es wird immer das Laufwerk D genutzt. Könnte mir einer ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 8 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 9 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 12 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...