Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Überprüfen wer, wann und was in einem bestimmten Ordner macht.

Frage Sicherheit Erkennung und -Abwehr

Mitglied: nexutron

nexutron (Level 1) - Jetzt verbinden

05.07.2010 um 17:36 Uhr, 5205 Aufrufe, 5 Kommentare

Nachweis erbringen über das lesen, ändern oder löschen von Dateien.

Hallo zusammen,

In einem bestimmeten Odner auf einem NAS-Laufwerk passieren "angeblich" komische Dinge.
Es wurde der Verdacht ausgesprochen das "jemand" in dem Ordner rumfingert und Daten ändert oder gar löscht.
Wie kann ich die Aktionen für einem Bestimmten Ordner loggen.
Wichtig wäre für mich wann wer welche Datei "angefasst" hat (egal ob gelesen gelöscht oder editiert.

Es kann nicht über die "Rechte" geregelt werden, da alle "Verdächtigen" Vollzugriff benötigen.
IM ADS in der Gruppenrichtlinie hatte ich das überwachen von Objektzugriffsversuchen (erfolgreich / fehlgeschlagen ) aktiviert.
Dennoch kann ich in dem überwachten Ordner die Gruppe "Authentifizierte Benutzer" eintragen und sehe keine aktion im Sicherheistprotokoll am Server.
Ein loggen von testeweise erstellten (und wieder gelöschten) Ordner war nicht zu erkennen.

Was mache ich falsch oder hat jemand eine andere Gute Idee.
Wichtig ist dem Übertäter genau beweisen zu können wann er was geändert oder gelöscht hat.

Gruß Nex
Mitglied: 60730
05.07.2010 um 17:49 Uhr
Moin,

speziel in deinem Fall -wobei es eigentlich immer gilt:

Ross & Reiter ;-(

Wie das Nas und welches NAS am AD angeschlossen ist - macht so einiges aus.
Ob es am User oder am NAS liegt auch da wäre der Typ vom Nas evtl. etwas hilfreich...
AFAIK kann man in der AD keine nicht M$ Server protokollieren.

[OT]
Ps: Fragt der eine Bauarbeiter den anderen - und wie ist deine neue Freundin im Bett? - die einen sagen so, die anderen so....
[/OT]
Gruß
Bitte warten ..
Mitglied: Weasel1969
05.07.2010 um 19:36 Uhr
Hy,

stand mal vor einem ähnlichen Problem , es ging aber Primär darum zu überwachen ob Logdateien erstellt oder gelöscht wurden.
Hab auch mit diversen GPO's , VB-Scripten u.ä getestet ...
Am Ende konnte ich die 50€ dem Kunde aus dem Kreuz leiern und habe mich für die Software: Watchdirectory - Link: http://de.watchdirectory.net/index.html entschieden.
Die macht das, was sie soll, hat eingebauten SMTP-Mailer und macht das, was sie soll ...

Gruß,
Andy
Bitte warten ..
Mitglied: nexutron
05.07.2010 um 20:33 Uhr
Hi,

Das NAS ist aufgeteilt. ein Hälfte als Netzwerkfreigabe, welches die Mitarbeiter per Script als Laufwerk gemappt bekommen. Die ander Hälfte als ISCI direkt an einem Win 2K3 Server angebunden und ebenfalls freigegeben.
Die Freigabe vom NAS "sehen" die Mitarbeiter wie die ISCSI Freigabe und bekommen die Berichtingen vom AD (das NAS liest das AD mit User und Gruppen aus)
Durch die Anbindung per ISCSI "sollte" sich der Netzwerkspeicher wie eine lokale Festplatten am Server verhalten (wird ja im Windows auch als solche eingebunden) aber bei beiden kann ich keine Objektzugriffe in dem Sicherheitsprotokol loggen.

Vielen Dank schon mal mit dem Tipp über watchdirectory, die schreiben aber ausdrücklich da rein, das ihre Software nur geht wenn es in dem MS Sicherheitsprotokoll was findet.
Und da liegt mein Problem, da trägt sich nichts ein.
Möglich das ich einen Konfigurationsfehler bei der Überwachungsrichtlinie habe.
Im ADS habe ich Objektzugriffsversuche Überwachen aktiviert.
An dem besagten Ordner habe ich für für das zu protokolierende (zulassen und verweigern) beides auf Vollzugriff gesetzt.
(siehe Bild von der Watchdirectory Webseite) Link: http://de.watchdirectory.net/wdhelp/plugins/lspenableauditfile_deu.gif
Für die Usergruppe die überwacht werden soll, habe ich testweise alle authentifizierten User eingetragen.

Gruß Nex
Bitte warten ..
Mitglied: Weasel1969
05.07.2010 um 20:49 Uhr
Hy,

also da kann ich nur kommentieren, das ich in dern vorherigen Testläufen keinerlei Objektüberwachungsrichtlinien aktiviert hatte.
WD hatte beim Setup jedoch Einstellungen diesbezüglich beim Setup durchgeführt.
Es gibt eine Trial Version. Teste mal, umschwenken kann man noch immer ...

Gruß,
Andy
Bitte warten ..
Mitglied: nexutron
05.07.2010 um 20:54 Uhr
Da ich ja glücklichwerweise über einen Testserver verfüge bin ich mal so mutig und lass morgen dies diese 3. Anbieter Software im ADS das ändern.
Möglicherweise setzt die diese Häckchen richtig (hoffe ich)


Gruß Nex
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Batch & Shell
überprüfen ob 3 Ordner in den jeweiligen Unterordnern existieren (2)

Frage von functionstrut zum Thema Batch & Shell ...

Batch & Shell
Ordner inkl. Unterordner nach Dateien überprüfen (4)

Frage von belfry zum Thema Batch & Shell ...

Outlook & Mail
gelöst Outlook 2010 Dateianhänge von bestimmten Exchange Mails in Ordner verschieben (5)

Frage von Kineas zum Thema Outlook & Mail ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...