Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Auditpolicy bzw. Überwachungsrichtline richtig anwenden

Frage Microsoft Windows Server

Mitglied: Xandros

Xandros (Level 1) - Jetzt verbinden

21.12.2009, aktualisiert 28.12.2009, 5361 Aufrufe, 12 Kommentare

Sali zusammen,

ich spiele mich gerade mit der Auditpolicy. dazu habe ich eine Testdomain erstellt (1DC, 1Filesvr und 1 Client). Auf dem Filesvr habe ich einen Ordner freigegeben und dort die Audit Option für die User aktiviert. Dann habe ich in der local Policy group / Audit object access aktiviert.

Wenn ich nun mit dem Client auf eine Datei gehe und die lösche bekomme ich folgende Einträge im Eventviewer:

f5647c8a9c96e2759db0bda7717b1aa2 - Klicke auf das Bild, um es zu vergrößern

Das ist ja soweit super, ich sehe:

Wer auf
Welche Datei zugegriffen hat.

Wenn ich nun die Datei lösche



8e0dc36751acae4bff9de00785739e58 - Klicke auf das Bild, um es zu vergrößern

sehe ich zwar wer etwas gelöscht hat, weiß jedoch nicht was er gelöscht hat. Gibt es es ne möglichkeit, sich da ebenfalls den Pfad anzeigen zu lassen?

Merci
Mitglied: DerWoWusste
21.12.2009 um 17:24 Uhr
Und Du bist sicher, dass er nicht schon da steht, wenn Du runterscrollst? Ist standardäßig ohne Weiteres sichtbar.
Bitte warten ..
Mitglied: Xandros
21.12.2009 um 17:26 Uhr
Ja bin ich xD

Pfad stand jedoch nur bei Object Access da aber nicht wenn ein Object gelöscht wurde. Habs mit mehreren Files kontrolliert.
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 17:51 Uhr
Es gibt immer mehrere Einträge pro Löschung. In mindestens einem steht das Objekt benannt drin, hab ich eben zur Sicherheit nochmal gemacht auf 2008.
Bitte warten ..
Mitglied: Xandros
21.12.2009 um 20:14 Uhr
Hey,

kannst du mir zufällig die Event ID nennen? Danke
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 20:27 Uhr
ID 4663
Bitte warten ..
Mitglied: Xandros
21.12.2009 um 20:49 Uhr
besten Dank, werde ich morgen mal danach suchen ^^
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 21:00 Uhr
Wie Du siehst, ist es die selbe ID, die Du oben offen hast. Keine Ahnung, was bei Dir nicht läuft.
Bitte warten ..
Mitglied: Xandros
21.12.2009 um 21:06 Uhr
Ja aber das ist nur ein Eintrag dafür, dass jemand auf die Datei zugegriffen hat. Bei dir steht bei: An Object was deleted der Pfad???
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 21:13 Uhr
Ja, sag ich doch die ganze Zeit
Bitte warten ..
Mitglied: Xandros
23.12.2009 um 09:49 Uhr
morgen,

hab jetzt mal nen win2k3 aufgesetzt, dort bekomm ich folgenden Eintrag

Object Open:
Object Server: Security
Object Type: File
Object Name: C:\Files\Backup rohbresy\D\01_Data\Copy of Access Connections
Handle ID: 1436
Operation ID: {0,210456}
Process ID: 4
Image File Name:
Primary User Name: WIN2K3$
Primary Domain: CONTOSO
Primary Logon ID: (0x0,0x3E7)
Client User Name: User1
Client Domain: CONTOSO
Client Logon ID: (0x0,0x3287B)
Accesses: DELETE

Privileges: -
Restricted Sid Count: 0
Access Mask: 0x10000

sieht gut aus

ich installier jetzt mal testweise den win2k8 neu, glaub aber nicht das daran liegt.

---

so also neuen Server installiert, gleiches Problem

wenn ich in den Ordner navigiere:

Keywords Date and Time Source Event ID Task Category
Audit Success 23.12.2009 11:33:41 Microsoft-Windows-Security-Auditing 4663 File System "An attempt was made to access an object.

Subject:
Security ID: CONTOSO\User1
Account Name: User1
Account Domain: CONTOSO
Logon ID: 0x71978

Object:
Object Server: Security
Object Type: File
Object Name: C:\folder\Internet Explorer\iessetup.ceb
Handle ID: 0x77c

Process Information:
Process ID: 0x4
Process Name:

Access Request Information:
Accesses: DELETE

Access Mask: 0x10000"


wenn ich dann die Datei lösche:

Keywords Date and Time Source Event ID Task Category
Audit Success 23.12.2009 11:33:41 Microsoft-Windows-Security-Auditing 4660 File System "An object was deleted.

Subject:
Security ID: CONTOSO\User1
Account Name: User1
Account Domain: CONTOSO
Logon ID: 0x71978

Object:
Object Server: Security
Handle ID: 0x77c

Process Information:
Process ID: 0x4
Process Name:
Transaction ID: {00000000-0000-0000-0000-000000000000}"
Bitte warten ..
Mitglied: DerWoWusste
23.12.2009 um 14:16 Uhr
Kann ich nicht viel zu sagen. Wenn unter NTFS - Überwachung für diese Datei löschen überwacht wird (für jeder) und die Überwachungsrichtlinie für Objektzugriffe an ist (Erfolg und Fehlschlag), dann ist es wie bei mir - und da geht es.
Bitte warten ..
Mitglied: Xandros
23.12.2009 um 16:45 Uhr
ich verstehs ned

hab bei der Freigabe everyone auf Change und Read
und beim Audit everyone auf
Delete File - Success / Failed
Delete Folder - Success / Failed

So eine Beim 2k3 gings. Naja werd jetzt nicht mehr viel Zeit investieren und dann erst nach Weihnachten weitermachen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
A G dL P Richtig anwenden. Wie mach ich das ?
Frage von Windows10PROWindows Server11 Kommentare

Guten Abend, ich verzweifle mittlerweile an einem wahrscheinlich relativ simplen Problem. Vielleicht kann mir hier jemand helfen. Auf einem ...

Entwicklung
Mockup - Tool für Anwender
gelöst Frage von ernownEntwicklung2 Kommentare

Hi Community, habe mal eine Frage, da ich auf der Suche nach einem einfachen, möglichst kostengünstigen Mockup- bzw. Storytelling-Tool ...

Batch & Shell
Batchdatei auch in den Unterverzeichnissen anwenden
Frage von joejoestoBatch & Shell7 Kommentare

Hallo aus Norddeutschland Ich habe eine Batchdatei mit folgendem Inhalt erstll : diese liegt in dem Verzeichniss in dem ...

Windows Userverwaltung
GPO: Benutzerkonfiguration nicht auf Server anwenden
gelöst Frage von KMUlifeWindows Userverwaltung9 Kommentare

Hallo zusammen! Ich habe eine Frage bezüglich den Computer/Benutzerkonfigurationen. Ich weiss nicht ob ich was Grundlegendes an der OU-Struktur ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 7 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 9 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 23 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server12 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...