Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Überprüfen wer, wann und was in einem bestimmten Ordner macht.

Frage Sicherheit Erkennung und -Abwehr

Mitglied: nexutron

nexutron (Level 1) - Jetzt verbinden

05.07.2010 um 17:36 Uhr, 5226 Aufrufe, 5 Kommentare

Nachweis erbringen über das lesen, ändern oder löschen von Dateien.

Hallo zusammen,

In einem bestimmeten Odner auf einem NAS-Laufwerk passieren "angeblich" komische Dinge.
Es wurde der Verdacht ausgesprochen das "jemand" in dem Ordner rumfingert und Daten ändert oder gar löscht.
Wie kann ich die Aktionen für einem Bestimmten Ordner loggen.
Wichtig wäre für mich wann wer welche Datei "angefasst" hat (egal ob gelesen gelöscht oder editiert.

Es kann nicht über die "Rechte" geregelt werden, da alle "Verdächtigen" Vollzugriff benötigen.
IM ADS in der Gruppenrichtlinie hatte ich das überwachen von Objektzugriffsversuchen (erfolgreich / fehlgeschlagen ) aktiviert.
Dennoch kann ich in dem überwachten Ordner die Gruppe "Authentifizierte Benutzer" eintragen und sehe keine aktion im Sicherheistprotokoll am Server.
Ein loggen von testeweise erstellten (und wieder gelöschten) Ordner war nicht zu erkennen.

Was mache ich falsch oder hat jemand eine andere Gute Idee.
Wichtig ist dem Übertäter genau beweisen zu können wann er was geändert oder gelöscht hat.

Gruß Nex
Mitglied: 60730
05.07.2010 um 17:49 Uhr
Moin,

speziel in deinem Fall -wobei es eigentlich immer gilt:

Ross & Reiter ;-(

Wie das Nas und welches NAS am AD angeschlossen ist - macht so einiges aus.
Ob es am User oder am NAS liegt auch da wäre der Typ vom Nas evtl. etwas hilfreich...
AFAIK kann man in der AD keine nicht M$ Server protokollieren.

[OT]
Ps: Fragt der eine Bauarbeiter den anderen - und wie ist deine neue Freundin im Bett? - die einen sagen so, die anderen so....
[/OT]
Gruß
Bitte warten ..
Mitglied: Weasel1969
05.07.2010 um 19:36 Uhr
Hy,

stand mal vor einem ähnlichen Problem , es ging aber Primär darum zu überwachen ob Logdateien erstellt oder gelöscht wurden.
Hab auch mit diversen GPO's , VB-Scripten u.ä getestet ...
Am Ende konnte ich die 50€ dem Kunde aus dem Kreuz leiern und habe mich für die Software: Watchdirectory - Link: http://de.watchdirectory.net/index.html entschieden.
Die macht das, was sie soll, hat eingebauten SMTP-Mailer und macht das, was sie soll ...

Gruß,
Andy
Bitte warten ..
Mitglied: nexutron
05.07.2010 um 20:33 Uhr
Hi,

Das NAS ist aufgeteilt. ein Hälfte als Netzwerkfreigabe, welches die Mitarbeiter per Script als Laufwerk gemappt bekommen. Die ander Hälfte als ISCI direkt an einem Win 2K3 Server angebunden und ebenfalls freigegeben.
Die Freigabe vom NAS "sehen" die Mitarbeiter wie die ISCSI Freigabe und bekommen die Berichtingen vom AD (das NAS liest das AD mit User und Gruppen aus)
Durch die Anbindung per ISCSI "sollte" sich der Netzwerkspeicher wie eine lokale Festplatten am Server verhalten (wird ja im Windows auch als solche eingebunden) aber bei beiden kann ich keine Objektzugriffe in dem Sicherheitsprotokol loggen.

Vielen Dank schon mal mit dem Tipp über watchdirectory, die schreiben aber ausdrücklich da rein, das ihre Software nur geht wenn es in dem MS Sicherheitsprotokoll was findet.
Und da liegt mein Problem, da trägt sich nichts ein.
Möglich das ich einen Konfigurationsfehler bei der Überwachungsrichtlinie habe.
Im ADS habe ich Objektzugriffsversuche Überwachen aktiviert.
An dem besagten Ordner habe ich für für das zu protokolierende (zulassen und verweigern) beides auf Vollzugriff gesetzt.
(siehe Bild von der Watchdirectory Webseite) Link: http://de.watchdirectory.net/wdhelp/plugins/lspenableauditfile_deu.gif
Für die Usergruppe die überwacht werden soll, habe ich testweise alle authentifizierten User eingetragen.

Gruß Nex
Bitte warten ..
Mitglied: Weasel1969
05.07.2010 um 20:49 Uhr
Hy,

also da kann ich nur kommentieren, das ich in dern vorherigen Testläufen keinerlei Objektüberwachungsrichtlinien aktiviert hatte.
WD hatte beim Setup jedoch Einstellungen diesbezüglich beim Setup durchgeführt.
Es gibt eine Trial Version. Teste mal, umschwenken kann man noch immer ...

Gruß,
Andy
Bitte warten ..
Mitglied: nexutron
05.07.2010 um 20:54 Uhr
Da ich ja glücklichwerweise über einen Testserver verfüge bin ich mal so mutig und lass morgen dies diese 3. Anbieter Software im ADS das ändern.
Möglicherweise setzt die diese Häckchen richtig (hoffe ich)


Gruß Nex
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
POS Hardware und alternativen zu Raid 1? (21)

Frage von Brotkasten zum Thema Festplatten, SSD, Raid ...

Viren und Trojaner
Verschlüsselungstrojaner simulieren (18)

Frage von AlbertMinrich zum Thema Viren und Trojaner ...

Ubuntu
gelöst Nextcloud 12 Antivirus App for Files (10)

Frage von horstvogel zum Thema Ubuntu ...

SAN, NAS, DAS
+100tb Storagelösung (10)

Frage von Data-Fabi zum Thema SAN, NAS, DAS ...