Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2003 (Fileserver) - Logfiles zum Erkennen wer was gelöscht hat?!

Mitglied: 17566

17566 (Level 1)

19.09.2005, aktualisiert 21.09.2005, 13264 Aufrufe, 15 Kommentare

Hallo Leute,
wir haben hier bei uns in der Firma einen W2k3-Server als Fileserver im Einsatz.

Es kommt in letzter Zeit vermehrt vor, dass auf einmal Daten weg sind, ich diese zurücksichern
muss und keiner wills gewesen sein!
Kennt ihr ja bestimmt...

Gibts Tools oder Programme die jede Bewegung in der "File-Umgebung" loggen können?
D. h. ich will sehen: Wer hat die Datei geöffnet? Wer hat sie verändert? Wer hat sie gelöscht?
Sowas gibts doch mit Sicherheit.

Eine einfache TXT-Datei in der die Logs enthalten sind wäre schon traumhaft. Mehr will ich gar nicht.
Vor allem will ich nicht den Server mit unötig, großen Programmen belasten...

Noch kurze Info: Die Clients (alle Win2k) melden sich an einem DC (Win2k3) an.

Vielen Dank schonmal.

mfg
Steffen_1985
Mitglied: Metzger-MCP
19.09.2005 um 16:29 Uhr
Du kannst in den NTFS Sicherheitseinstellungen User / Gruppen und so überwachen lassen. Das ist in Windows schon drin und braucht nicht viel Ressorcen, und wird auch noch "Praktischer Weise" im Ereignisprotokoll hinterlegt. Du solltest aber die Logs dann aber ein bissel aufschrauben, so auf 1-2 MB je nach Zugriffen und so ...

Mfg Metzger
Bitte warten ..
Mitglied: Leobuck64
19.09.2005 um 16:32 Uhr
Hallo Steffen,


das kannste mit Bordmitteln machen.

Computerrichtlinie (lokale oder wenn Du AD hast eine neue Policy) - Überwachung aktivieren.

Danach das Verzeichnis auf dem Server - Eigenschaften - Überwachung - für jeden die Überwachung der Zugriffe einstellen so wie du es willst - ob nur Ändern oder auch lesen oder löschen überwacht wird - Ergebnisse findest Du dann in der Ereignisanzeige des Servers, wer wo wan wie zugegriffen hat.


Tip: Überwach nicht zu viel und überwach nur Erfolgreiches - sonst wirste nicht wieder froh beim Lesen.

Gruß Leo
Bitte warten ..
Mitglied: 17566
19.09.2005 um 16:44 Uhr
Sorry,
aber kannste du mir den Weg wie ich zu diesen Einstellungen komme
vielleicht genauer beschreiben?
Bitte warten ..
Mitglied: Leobuck64
19.09.2005 um 16:54 Uhr
Hey Steffen - bin mir jetzt nicht sicher, ob Du mich nochmal meinst - dein letzter Beitrag kam zwar nach meinem - steht aber in meiner Ansicht drüber.

Wenn ja - dann bitte nochmal melden - wird aber eventuell bis morgen dauern, bis nochmal Antwort kommt. Weiß nicht, ob ich heute noch dazu komme, nochmal rein zu schauen - sonst spätestens morgen mehr.

So long - Leo
Bitte warten ..
Mitglied: 17566
19.09.2005 um 17:34 Uhr
Ich habe AD, aber wie erstelle ich eine Policy?
Bitte warten ..
Mitglied: vonHohenstein
19.09.2005 um 18:03 Uhr
Tip: Überwach nicht zu viel und
überwach nur Erfolgreiches - sonst
wirste nicht wieder froh beim Lesen.

Gruß Leo

Dem kann ich nur zustimmen!
Ich hatte das früher auch drin.
Aber 1. frist das Performance ohne Ende
und 2. wie LEO schon sagt: das Auswerten kannst du einfach vergessen!

Wenn Du keine richtige Dokumentenmanagementsoftware einsetzt, wirst du das vermutlich nicht so hinbekommen wie du dir das vielleicht vorstellst.

Grüße Michael
Bitte warten ..
Mitglied: 17566
19.09.2005 um 19:21 Uhr
Ihr versteht mich vielleicht falsch.

Ich will diese erzeugten Logs nicht permanent überwachen, sondern
nur wenn mal wieder ein Kollege anruft und sagt:
"Hier Steffen mir fehlen einige Dateien."

Dann schau ich mir das in den Logs an wann diese gelöscht wurden und
auch nur dann, im Fall der Fälle.

Deswegen wäre ich dankbar wenn mir das einer von euch näher bringen
könnte wie ich dies einstellen kann. Oder hat jemand einen hilfreichen Link parat?
Bitte warten ..
Mitglied: vonHohenstein
20.09.2005 um 07:46 Uhr
Hi Steffen,

ich glaube ich hab dich schon verstanden: Ich hatte den gleichen Anreiz:
http://www.mcseboard.de/showthread.php?s=&threadid=24407

Das Problem besteht nach wie vor: Du brauchst zu lange um daraus etwas abzulesen.
Ich habe eine andere Methode gewählt um die "LÖSCHER" zu bekämpfen.
Auf dem 2k3 Server kannst du mit Volumenschattenkopien ja superschnelle restores fahren.
Ich komm damit momentan ganz gut zurecht.

Grüße Michael
Bitte warten ..
Mitglied: Leobuck64
20.09.2005 um 07:50 Uhr
Hallo Steffen,

die Logs brauchst Du ja auch nicht ständig überwachen - die werden ja nur ständig mitgeschrieben.

Möglicherweise solltest Du die Protokollgröße in den Eigenschaften der Ereignisanzeige (Sicherheitsprotokoll) erhöhen und die Einstellung wählen - bei Bedarf überschreiben. Dann mußt Du mal beobachten, wieviele Tage rückwirkend dann weiterhin Einträge angezeigt werden.

Dann solltest Du eventuell die Logfiles regelmäßig exportieren, damit Du auch später noch auf Ereignisse zugreifen kannst. Das geht alles in der Computerverwaltung - Ereignisprotokoll.

Dann mußt Du wie gesagt eine Richtlinie erstellen - entweder eine lokale Richtlinie über Verwaltung - Lokale Sicherheitsrichtlinie - und zwar auf der Maschine, auf der die Daten liegen - hier mußt Du die Überwachung für erfolgreiche Zugriffsversuche auf Ressorcen aktivieren.
Man kann das auch über`s AD machen, wenn es mehrere Fileserver betrifft. Aber da solltest Du Dir wirklich erst die Mühe machen und dich mit der Thematik auseinandersetzen.

Dann gehst Du in die Eigenschaften der Freigaben ( bzw. Ordner), die Du überwachen willst und gibst hier ein, wessen Zugriff überwacht werden soll (entweder eine Gruppe oder einzelne Benutzer oder Jeder).

Aber wie gesagt - mach nicht zuviel, sonst wird dir jeder Mausklick protokolliert.

Wenn Du dich mit Gruppenrichtlinien auseinandersetzen willst, empfehle ich Dir erstmal folgende Links :

http://www.microsoft.com/germany/technet/datenbank/articles/600884.mspx
http://www.gruppenrichtlinien.de

Viel Erfolg - Gruß Leo
Bitte warten ..
Mitglied: 17566
20.09.2005 um 17:37 Uhr
Erstmal Danke für eure Mühe.

Ich habe jetzt folgendes gemacht:

1. Systemsteuerung
2. Verwaltung
3. Sicherheitsrichtlinie für Domänen
4. Sicherheitseinstellungen
5. Logale Richtlinien
6. Objektzugriffsversuche überwachen auf Erfolgreich und Fehlgeschlagen gestellt.
7. Rechte Maustaste auf den zu überwachenden Ordner
8. Erweiterte Sicherheitseinstellungen für ***
9. Objektname: JEDER
10. Löschen - Häckchen gesetzt, Unterordner und Dateien - Häckchen gesetzt

Laut eurer Hilfe muss dies ja der richtige Weg sein.

Jetzt habe ich testweise ein paar Dateien auf dem Fileserver gelöscht. (Natürlich alte Dateien)

In den Event-Logs unter Sicherheit wird aber mein Löschverhalten nicht geloggt?

mfg
Steffen
Bitte warten ..
Mitglied: Leobuck64
21.09.2005 um 08:54 Uhr
Hallo Steffen,

wenn ich Dich richtig verstehe, ist Dein Fileserver auch Domänencontroller.
Auf Domänencontroller wirkt sich die Default Domaincontroller Policy aus und überschreibt die Einstellungen aus der Default Domain Policy.
Standardmäßig ist in Domaincontrollerpolicy die Überwachung deaktiviert - deshalb geht es auf DC`s nicht - mußt du dort auch aktivieren.

Gruß Leo
Bitte warten ..
Mitglied: 17566
21.09.2005 um 12:26 Uhr
Jetzt gehts.

Ich bin jetzt anstatt auf "Sicherheitsrichtlinien für Domänen" auf "Sicherheitsrichtlinie für Domänencontroller" gegangen .

Warscheinlich hast du das mit deinen Policys gemeint.

Was genau bedeutet jetzt Policy? Versteh ich immer noch nicht ganz.

Danke und Gruss
Steffen
Bitte warten ..
Mitglied: Leobuck64
21.09.2005 um 12:52 Uhr
Hery Steffen,

Policys sind Richtlinien (Gruppenrichtlinien), die auf alle oder ausgewählte Computer oder Benutzer angewendet werden können.

Ab W2000 gibt es lokale Richtlinien - die wirken dann nur auf die Maschine, an der sie konfiguriert werden. Wenn man ein AD hat, dann kann man Gruppenrichtlinien von zentraler Stelle aus konfigurieren.

Standardmäßig gibt es sofort nach der Installation des AD eine Richtlinie für Domänen und eine Richtlinie für Domänencontroller. Diese sollten eigentlich auch unverändert bleiben.

Über die Gruppenrichtlinienkonsole kann man dann weitere Richtlinien definieren und auf
bestimmte Strukturen im AD anwenden, wobei hier die Reihenfolge der Verarbeitung der Richtlinien und die Priorität, die diese haben wichtig ist, ob eine Einstellung greift oder nicht.

Das hast Du ja eben selbst gemerkt. Die Domänenpolicy wirkt zwar auf alle Computer der Domäne, aber DC verarbeiten anschließend noch die Domänencontrollerrichtlinie, und die setzt dann einige Einstellungen der ersten Policy wieder außer Kraft.

Vielleicht wirfst Du mal einen Blick auf "gruppenrichtlinien.de" oder bei Microsoft.

Man kann ne Menge mit Richtlinien machen - aber man kann sich auch das Leben schwer damit machen wenn man den Überblick nicht behält.

Gruß Leo
Bitte warten ..
Mitglied: 17566
21.09.2005 um 13:29 Uhr
Werde mich auf jedenfall nochmal genauer mit Thema auseinandersetzen.

Danke nochmal für die Erläuterung.

mfg
Steffen
Bitte warten ..
Mitglied: Leobuck64
21.09.2005 um 13:31 Uhr
Na dann viel Erfolg !!

Gruß Leo
Bitte warten ..
Ähnliche Inhalte
Windows Server

Protokollierung gelöschter Dateien auf einem Fileserver

Frage von VoDa81Windows Server7 Kommentare

Hallo Zusammen, ich habe mal eine Frage. Es sind uns auf einem unserer DFS-Fileserver Daten verloren gegangen, die absichtlich ...

Exchange Server

Nach Windows Server Sicherung am Exchange 2010, werden die Logfiles nicht gelöscht?!

Frage von Kalma73Exchange Server3 Kommentare

Hallo, habe mal eine Frage zum Backup eines exchange 2010 Servers. Habe bei unserem Exchange 2010 Server die Windows ...

Windows Server

Rechtevergabe Fileserver Windows 2003

Frage von bluepythonWindows Server1 Kommentar

Hallo zusammen, wir betreiben einen Windows Server 2003 Fileserver mit einem DFS. Im DFS sind alle freigegebenen Ordner verlinkt. ...

Windows Server

Windows Server 2003 Fileserver Datei gelöscht , direkt wieder vorhanden

Frage von xbast1xWindows Server4 Kommentare

Hallo, merkwürdiges Verhalten. Wenn ich eine Datei in Verzeichnis X löschen und aktualisieren drücke ist die Datei direkt wieder ...

Neue Wissensbeiträge
Humor (lol)
Wieder mal DSGVO
Information von brammer vor 4 StundenHumor (lol)2 Kommentare

Mal was zum Lachen: Der Countdown zur Datenschutz-Grundverordnung läuft. Ab 25. Mai sollte man folgende Regeln beachten: Visitenkarten nur ...

Router & Routing

Cisco Talos deckt riesiges Router- und NAS-Botnetz auf

Tipp von Bosnigel vor 4 StundenRouter & Routing

Anscheinend kommt da wieder was auf uns zu: Gruß Bosnigel

SAN, NAS, DAS
QNAP NAS Datenschutz-Loop nach Firmware-Update
Tipp von vanTast vor 1 TagSAN, NAS, DAS2 Kommentare

Moin, im allgemeinen Trend seine geänderten Datenschutzbedingungen den Kunden zukommen zu lassen kam die Firma QNAP auf die glorreiche ...

Datenschutz
DSGVO Datenschutzgesetz
Anleitung von 1Werner1 vor 1 TagDatenschutz6 Kommentare

Moin, ja was ist das, da ist die DSGVO Datenschutzverordnung. Wie das Gesetz gibt es schon 2 Jahre? Nun ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Powerline über zwei Stockwerke optimieren
gelöst Frage von DultusLAN, WAN, Wireless45 Kommentare

Guten Morgen liebes Forum, ich hätte einmal eine Frage bezüglich Powerline Adapter: Mein Problem ist seit gestern präsent, da ...

HTML
Link nicht vollständig
Frage von jensgebkenHTML26 Kommentare

Hallo Gemeinschaft, ich erstelle mit Word einen Serienbrief, den ich per Mail versende. Nun mein Problem der Wordserienbrief holt ...

Datenschutz
E-Mail Verschlüsselung DSGVO 2018
Frage von SoccerdeluxDatenschutz25 Kommentare

Hallo zusammen, ich verzweifele langsam und wende mich an euch und hoffe vielleicht ein paar Antworten zu finden. Ich ...

Rechtliche Fragen
DISKUSSION: Was bringt der Disclaimer "Wenn Sie nicht der Empfänger sind."
Frage von N8DragonRechtliche Fragen22 Kommentare

So oder ähnlich, lese ich immer wieder Kleingedrucktes am Ende diverser Mails. Letzten Endes wollen sie mir alle sagen, ...