Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Überprüfen wer, wann und was in einem bestimmten Ordner macht.

Frage Sicherheit Erkennung und -Abwehr

Mitglied: nexutron

nexutron (Level 1) - Jetzt verbinden

05.07.2010 um 17:36 Uhr, 5270 Aufrufe, 5 Kommentare

Nachweis erbringen über das lesen, ändern oder löschen von Dateien.

Hallo zusammen,

In einem bestimmeten Odner auf einem NAS-Laufwerk passieren "angeblich" komische Dinge.
Es wurde der Verdacht ausgesprochen das "jemand" in dem Ordner rumfingert und Daten ändert oder gar löscht.
Wie kann ich die Aktionen für einem Bestimmten Ordner loggen.
Wichtig wäre für mich wann wer welche Datei "angefasst" hat (egal ob gelesen gelöscht oder editiert.

Es kann nicht über die "Rechte" geregelt werden, da alle "Verdächtigen" Vollzugriff benötigen.
IM ADS in der Gruppenrichtlinie hatte ich das überwachen von Objektzugriffsversuchen (erfolgreich / fehlgeschlagen ) aktiviert.
Dennoch kann ich in dem überwachten Ordner die Gruppe "Authentifizierte Benutzer" eintragen und sehe keine aktion im Sicherheistprotokoll am Server.
Ein loggen von testeweise erstellten (und wieder gelöschten) Ordner war nicht zu erkennen.

Was mache ich falsch oder hat jemand eine andere Gute Idee.
Wichtig ist dem Übertäter genau beweisen zu können wann er was geändert oder gelöscht hat.

Gruß Nex
Mitglied: 60730
05.07.2010 um 17:49 Uhr
Moin,

speziel in deinem Fall -wobei es eigentlich immer gilt:

Ross & Reiter ;-(

Wie das Nas und welches NAS am AD angeschlossen ist - macht so einiges aus.
Ob es am User oder am NAS liegt auch da wäre der Typ vom Nas evtl. etwas hilfreich...
AFAIK kann man in der AD keine nicht M$ Server protokollieren.

[OT]
Ps: Fragt der eine Bauarbeiter den anderen - und wie ist deine neue Freundin im Bett? - die einen sagen so, die anderen so....
[/OT]
Gruß
Bitte warten ..
Mitglied: Weasel1969
05.07.2010 um 19:36 Uhr
Hy,

stand mal vor einem ähnlichen Problem , es ging aber Primär darum zu überwachen ob Logdateien erstellt oder gelöscht wurden.
Hab auch mit diversen GPO's , VB-Scripten u.ä getestet ...
Am Ende konnte ich die 50€ dem Kunde aus dem Kreuz leiern und habe mich für die Software: Watchdirectory - Link: http://de.watchdirectory.net/index.html entschieden.
Die macht das, was sie soll, hat eingebauten SMTP-Mailer und macht das, was sie soll ...

Gruß,
Andy
Bitte warten ..
Mitglied: nexutron
05.07.2010 um 20:33 Uhr
Hi,

Das NAS ist aufgeteilt. ein Hälfte als Netzwerkfreigabe, welches die Mitarbeiter per Script als Laufwerk gemappt bekommen. Die ander Hälfte als ISCI direkt an einem Win 2K3 Server angebunden und ebenfalls freigegeben.
Die Freigabe vom NAS "sehen" die Mitarbeiter wie die ISCSI Freigabe und bekommen die Berichtingen vom AD (das NAS liest das AD mit User und Gruppen aus)
Durch die Anbindung per ISCSI "sollte" sich der Netzwerkspeicher wie eine lokale Festplatten am Server verhalten (wird ja im Windows auch als solche eingebunden) aber bei beiden kann ich keine Objektzugriffe in dem Sicherheitsprotokol loggen.

Vielen Dank schon mal mit dem Tipp über watchdirectory, die schreiben aber ausdrücklich da rein, das ihre Software nur geht wenn es in dem MS Sicherheitsprotokoll was findet.
Und da liegt mein Problem, da trägt sich nichts ein.
Möglich das ich einen Konfigurationsfehler bei der Überwachungsrichtlinie habe.
Im ADS habe ich Objektzugriffsversuche Überwachen aktiviert.
An dem besagten Ordner habe ich für für das zu protokolierende (zulassen und verweigern) beides auf Vollzugriff gesetzt.
(siehe Bild von der Watchdirectory Webseite) Link: http://de.watchdirectory.net/wdhelp/plugins/lspenableauditfile_deu.gif
Für die Usergruppe die überwacht werden soll, habe ich testweise alle authentifizierten User eingetragen.

Gruß Nex
Bitte warten ..
Mitglied: Weasel1969
05.07.2010 um 20:49 Uhr
Hy,

also da kann ich nur kommentieren, das ich in dern vorherigen Testläufen keinerlei Objektüberwachungsrichtlinien aktiviert hatte.
WD hatte beim Setup jedoch Einstellungen diesbezüglich beim Setup durchgeführt.
Es gibt eine Trial Version. Teste mal, umschwenken kann man noch immer ...

Gruß,
Andy
Bitte warten ..
Mitglied: nexutron
05.07.2010 um 20:54 Uhr
Da ich ja glücklichwerweise über einen Testserver verfüge bin ich mal so mutig und lass morgen dies diese 3. Anbieter Software im ADS das ändern.
Möglicherweise setzt die diese Häckchen richtig (hoffe ich)


Gruß Nex
Bitte warten ..
Ähnliche Inhalte
Utilities
Google - Wann war ich an einem bestimmten Ort
gelöst Frage von YannoschUtilities2 Kommentare

Servus Leute, oft hört man ja, dass unser Handy loggt wo wir wann gewesen sind. unter bestimmten Konfigurationen & ...

Batch & Shell
Batch: Ordner auf Datei überprüfen
gelöst Frage von donmanolitoBatch & Shell4 Kommentare

Hallo Ich suche eine Möglichkeit alle Ordnernamen eines Verzeichnisses in eine Variable zu schieben um dann per Schleife ein ...

CPU, RAM, Mainboards
Ab wann macht ECC-RAM Sinn?
Frage von omnomeCPU, RAM, Mainboards5 Kommentare

Hallo, ich wollte mal zum besseren Verständnis meinerseits Fragen ab wann ECC-RAM Sinn macht, welche Einsatzszenarien ECC-RAM benötigen oder ...

Batch & Shell
Vor dem Verzeichniss erstellen überprüfen ob Ordner vorhanden sind
Frage von TommylikBatch & Shell12 Kommentare

Hallo, Ich habe mir folgendes geschrieben: Funktioniert ohne Probleme. Es wird immer das Laufwerk D genutzt. Könnte mir einer ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 12 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 14 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...