tomtest
Goto Top

Alle SACL s auf dem Server auflisten und mögliches Sicherheitsproblem abklären in Zusammenhang mit Objektüberwachung

Hallo allerseits,

folgende Einträge hatte ich im eventvwr:

1.
Die Systemüberwachungsrichtlinie wurde geändert.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne:
Anmelde-ID: 0x3e7

Änderung der Überwachungsrichtlinie:
Kategorie: Objektzugriff
Unterkategorie: Handleänderung
Unterkategorie-GUID: {0cce9223-69ae-11d9-bed3-505054503030}
Änderungen: Erfolg entfernt, Fehler entfern


2.
Ein Netzwerkfreigabeobjekt wurde überprüft, um zu ermitteln, ob dem Client der gewünschte Zugriff gewährt werden kann.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne:
Anmelde-ID: 0xcb924

Netzwerkinformationen:
Objekttyp: File
Quelladresse: *
Quellport: 10275

Freigabeinformationen:
Freigabename: \\*\SYSVOL
Freigabepfad: \??\C:\Windows\sysvol\sysvol
Relativer Zielname: XXXXXX.LOCAL\POLICIES\{24BA4539-6CAD-46A5-8774-4FF851A3B145}\MACHINE\Microsoft\Windows NT\Audit\audit.csv

Zugriffsanforderungsinformationen:
Zugriffsmaske: 0x120089
Zugriffe: READ_CONTROL
SYNCHRONIZE
Daten lesen (oder Verzeichnis auflisten)
EA lesen
Attribute lesen

Ergebnisse der Zugriffsprüfung:
READ_CONTROL: Gewährt durch Besitz
SYNCHRONIZE: Gewährt durch Dface-sadA;;0x1200a9;;;WD)
Daten lesen (oder Verzeichnis auflisten): Gewährt durch Dface-sadA;;0x1200a9;;;WD)
EA lesen: Gewährt durch Dface-sadA;;0x1200a9;;;WD)
Attribute lesen: Gewährt durch Dface-sadA;;0x1200a9;;;WD)
3.
Die Systemüberwachungsrichtlinie wurde geändert.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne: xyz
Anmelde-ID: 0x3e7

Änderung der Überwachungsrichtlinie:
Kategorie: Objektzugriff
Unterkategorie: SAM
Unterkategorie-GUID: {0cce9220-69ae-11d9-bed3-505054503030}
Änderungen: Erfolg hinzugefügt, Fehler hinzugefügt


Der Hintergrund ist, ich habe für 2 Ordner auf dem Server die Objektüberwachung aktiviert durch geänderte Gruppenrichtline mit WMI Filter auf Server OS, der so aussieht > select * from Win32_OperatingSystem where (ProductType = "2") OR (ProductType = "3")

Dies ist ein paar Tage her, Anfang der Woche.

damit wollte ich bewirken das nur der Server angesprochen wird mit der Gruppenrichtlinie da sich die Ordner die Überwacht werden sollen auf diesem befinden.
Die Einstellung ist die:
Computerkonfiguration (Aktiviert) --> Richtlinien-->Windows-Einstellungen-->Sicherheitseinstellungen-->Lokale Richtlinien/Überwachungsrichtlinie--
Richtlinie Einstellung
Objektzugriffsversuche überwachen Erfolgreich, Gescheitert

danach habe ich für besagte Ordner die SACL aktiviert über Eigenschaften--> Sicherheit--> Erweitert--> Reiter Überwachung und dort Ordner/Dateien löschen, Dateien/ordner erstellen u.ä. aktiviert.
Streng nach Lehrbuch

Aber wenn ich dort dann beispielsweise einen Ordner erstelle wird dies nicht angezeigt. Im Gegenteil, normalerweise habe ich im eventvwr zig Einträge zu Anmeldungen u.ä. die sind nun weg. Tägliche kommen einige dazu wie die oben beschriebenen aber ich habe nichts um 01.37 Uhr morgens gemacht und mir ist nicht bekannt das das system selbst diese erstellt.

Ich vermute das ich den WMI falsch gesetzt habe ( wollte das mal durchgeführt haben, lerne immer noch dazu) habs jetzt geändert und für den Bereich stumpf wieder den Server genommen aber auch das bringt nichts. Nach dem Ändern auf den Server als Objekt des Bereichs wurden einige Einträge wie die oben generiert und sonst nichts. Ordner erstellt und gelöscht in überwachten Ordner wird nicht angezeigt.

Habt ihr ne Idee was Falsch gelaufen ist mit meinem WMI Filter?

Zum anderen, habt ihr eine Idee wie ich mir anzeigen lassen kann bei welchen Ordnern eine SACL aktiv ist? Im Netz und in der Literatur finde ich nichts oder suche nicht nach den richtigen Stichwörtern.


Aber davon mal abgesehen, muss ich mir Sorgen machen wegen den Einträgen oben von 01:37 heute früh?

Gruß Tom

Content-Key: 278898

Url: https://administrator.de/contentid/278898

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: emeriks
emeriks 31.07.2015 um 22:28:54 Uhr
Goto Top
Hi,
Zum anderen, habt ihr eine Idee wie ich mir anzeigen lassen kann bei welchen Ordnern eine SACL aktiv ist? Im Netz und in der Literatur finde ich nichts oder suche nicht nach den richtigen Stichwörtern.
Powershell
Schau Dir da mal Get-Acl und den Parameter "-Audit" an.
Powershell "als Administrator starten"

E.