7
Objektzugriff-Überwachung Windows Server
Hallo zusammen,
ich bekomme die Überwachung des Objektzugriffs nicht richtig hin..
ich habe einen Ordner "Home" in dem die Homelaufwerke der AD-User liegen. Diese werden über das AD-Profil verbunden.
Der Ordner "Home" liegt momentan noch auf einem Fileserver mit Windows Server 2003 R2...(ja ich weiß, ist alt).
Ich möchte, dass protokolliert wird wenn eine bestimmte Usergruppe (Admins) in eines der persönliche Homelaufwerke reinsieht,
darin etwas ändert, löscht, oder öffnet. Den "Home" Ordner selber möchte ich davon ausschließen, d.h. der Admin darf ohne Protokollierung
die Ordner darin auflisten.
Auf dem Fileserver habe ich die lokale Gruppenrichtlinie "Objektzugriffsversuche überwachen" auf Erfolgreich gesetzt.
Im "Home" Ordner habe ich unter Sicherheit -> Erweitert -> Überwachung die Gruppe für die Admins hinzugefügt.
Und nun zum Problem:
ich bekomme hunderte Logs in denen ein Zugriff auf irgendwelche Dateien (meist die Desktop.ini) in den
Homelaufwerken protokolliert wird...nur beim Öffnen des "Home" Ordners. Im Ereignis 560 steht dann folgendes:
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Objektzugriff
Ereigniskennung: 560
Datum: 29.11.2017
Zeit: 11:55:38
Benutzer: xxxxx\xxxxxx
Computer: DATEN
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security
Objekttyp: File
Objektname: D:\UserDaten\Home\xxxxx.xxxxxxxx\desktop.ini
Handlekennung: 1564
Vorgangskennung: {40,1153951916}
Prozesskennung: 611980
Abbilddateiname: C:\WINDOWS\explorer.exe
Primärer Benutzername: xxxxxx
Primäre Domäne: xxxxxxxxxxxx
Primäre Anmeldekennung: (0x28,0x44C33F28)
Clientbenutzername: -
Clientdomäne: -
Clientanmeldekennung: -
Zugriffe: READ_CONTROL
SYNCHRONIZE
Daten lesen (oder Verzeichnis auflisten)
EA lesen
Attribute lesen
Rechte: -
Beschränkte SID-Anzahl: 0
Zugriffsmaske: 0x120089
Was muss ich noch ändern, dass ich die gewünschten Logs ins Security Logfile geschrieben bekomme?
Danke für eure Hilfe
Gruß
ich bekomme die Überwachung des Objektzugriffs nicht richtig hin..
ich habe einen Ordner "Home" in dem die Homelaufwerke der AD-User liegen. Diese werden über das AD-Profil verbunden.
Der Ordner "Home" liegt momentan noch auf einem Fileserver mit Windows Server 2003 R2...(ja ich weiß, ist alt).
Ich möchte, dass protokolliert wird wenn eine bestimmte Usergruppe (Admins) in eines der persönliche Homelaufwerke reinsieht,
darin etwas ändert, löscht, oder öffnet. Den "Home" Ordner selber möchte ich davon ausschließen, d.h. der Admin darf ohne Protokollierung
die Ordner darin auflisten.
Auf dem Fileserver habe ich die lokale Gruppenrichtlinie "Objektzugriffsversuche überwachen" auf Erfolgreich gesetzt.
Im "Home" Ordner habe ich unter Sicherheit -> Erweitert -> Überwachung die Gruppe für die Admins hinzugefügt.
Und nun zum Problem:
ich bekomme hunderte Logs in denen ein Zugriff auf irgendwelche Dateien (meist die Desktop.ini) in den
Homelaufwerken protokolliert wird...nur beim Öffnen des "Home" Ordners. Im Ereignis 560 steht dann folgendes:
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Objektzugriff
Ereigniskennung: 560
Datum: 29.11.2017
Zeit: 11:55:38
Benutzer: xxxxx\xxxxxx
Computer: DATEN
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security
Objekttyp: File
Objektname: D:\UserDaten\Home\xxxxx.xxxxxxxx\desktop.ini
Handlekennung: 1564
Vorgangskennung: {40,1153951916}
Prozesskennung: 611980
Abbilddateiname: C:\WINDOWS\explorer.exe
Primärer Benutzername: xxxxxx
Primäre Domäne: xxxxxxxxxxxx
Primäre Anmeldekennung: (0x28,0x44C33F28)
Clientbenutzername: -
Clientdomäne: -
Clientanmeldekennung: -
Zugriffe: READ_CONTROL
SYNCHRONIZE
Daten lesen (oder Verzeichnis auflisten)
EA lesen
Attribute lesen
Rechte: -
Beschränkte SID-Anzahl: 0
Zugriffsmaske: 0x120089
Was muss ich noch ändern, dass ich die gewünschten Logs ins Security Logfile geschrieben bekomme?
Danke für eure Hilfe
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 356499
Url: https://administrator.de/contentid/356499
Printed on: April 19, 2024 at 12:04 o'clock
7 Comments
Latest comment
ich bekomme hunderte Logs in denen ein Zugriff auf irgendwelche Dateien (meist die Desktop.ini) in den Homelaufwerken protokolliert wird...nur beim Öffnen des "Home" Ordners
Das ist normal weil Windows sich die lokalisierten Namen und Icons aus der Desktop.ini aus allen direkten Unterordnern für die Ordner holen will 
. Deswegen der Zugriff bereits schon im Überordner.Mach dir einen XPATH-Filter im Eventlog der nicht relevante Zugriffe ausfiltert.
1
XPATH-Filter sagt mir leider nichts...
woran erkenne ich denn aus den ganzen Einträgen welcher der richtige ist?
woran erkenne ich denn aus den ganzen Einträgen welcher der richtige ist?
XPATH-Filter sagt mir leider nichts...
Dann solltest du dir mal folgende Threads aufmerksam durchlesen:Protokollierung gelöschter Dateien auf einem Fileserver
Ereignisanzeige genauer filtern
https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filter ...
Automatische Eventlogauswertung mit Filterung
1
Ok, aber bevor ich mich in diese Thematik einlesen möchte ich noch gern wissen
woran ich den richtigen Eintrag erkenne. Steht dann bei Zugriff: etwas anderes als SYNCHRONIZE ?
woran ich den richtigen Eintrag erkenne. Steht dann bei Zugriff: etwas anderes als SYNCHRONIZE ?
Zitat von @passau:
Ok, aber bevor ich mich in diese Thematik einlesen möchte ich noch gern wissen
woran ich den richtigen Eintrag erkenne. Steht dann bei Zugriff: etwas anderes als SYNCHRONIZE ?
Für jede Art Zugriff findest du unterschiedliche Zugriffe. Z.B. besteht ein einziger Office-Dokumentschreibzugriff aus mehreren Vorgängen die da wären Lesen,Neu erstellen, Schreiben und löschen.Ok, aber bevor ich mich in diese Thematik einlesen möchte ich noch gern wissen
woran ich den richtigen Eintrag erkenne. Steht dann bei Zugriff: etwas anderes als SYNCHRONIZE ?
Ich wünsche dir viel Spaß wenn der Admin mal ein Backup mit Robocopy ziehen muss ;-P.
Setze die Zugriffsrechte entsprechend das die Admins dort nicht rein dürfen und logge statt den Zugriffen, Änderungen an den ACLs in diesen Ordnern.
Denke bei Delegation unbedingt an "Least Privilege".
Den Zugriff auf die Ordner sperren halte ich nicht für sinnvoll. Gerade letzte Woche mussten wir bei einigen Usern im Profil etwas ändern..Wie hätten wir das ohne den Zugriff machen sollen?
Zitat von @passau:
Den Zugriff auf die Ordner sperren halte ich nicht für sinnvoll. Gerade letzte Woche mussten wir bei einigen Usern im Profil etwas ändern..Wie hätten wir das ohne den Zugriff machen sollen?
Deswegen Delegation jedem Admin seine Rechte zuweisen die er für seine Arbeit braucht.Den Zugriff auf die Ordner sperren halte ich nicht für sinnvoll. Gerade letzte Woche mussten wir bei einigen Usern im Profil etwas ändern..Wie hätten wir das ohne den Zugriff machen sollen?
Nicht jeder Admin braucht auf alles Zugriff.
Bei Bedarf kann natürlich ein lokaler Admin sich die Rechte selbst nehmen aber deswegen nannte ich die Alternative das die Änderungen an den Berechtigungen geloggt werden.
Sinnvolles Logging von einzelnen Lese und Schreibzugriffen macht man stattdessen z.B. mit Filesystemwatchern.
