Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Auditpolicy bzw. Überwachungsrichtline richtig anwenden

Frage Microsoft Windows Server

Mitglied: Xandros

Xandros (Level 1) - Jetzt verbinden

21.12.2009, aktualisiert 28.12.2009, 5310 Aufrufe, 12 Kommentare

Sali zusammen,

ich spiele mich gerade mit der Auditpolicy. dazu habe ich eine Testdomain erstellt (1DC, 1Filesvr und 1 Client). Auf dem Filesvr habe ich einen Ordner freigegeben und dort die Audit Option für die User aktiviert. Dann habe ich in der local Policy group / Audit object access aktiviert.

Wenn ich nun mit dem Client auf eine Datei gehe und die lösche bekomme ich folgende Einträge im Eventviewer:

f5647c8a9c96e2759db0bda7717b1aa2 - Klicke auf das Bild, um es zu vergrößern

Das ist ja soweit super, ich sehe:

Wer auf
Welche Datei zugegriffen hat.

Wenn ich nun die Datei lösche



8e0dc36751acae4bff9de00785739e58 - Klicke auf das Bild, um es zu vergrößern

sehe ich zwar wer etwas gelöscht hat, weiß jedoch nicht was er gelöscht hat. Gibt es es ne möglichkeit, sich da ebenfalls den Pfad anzeigen zu lassen?

Merci
Mitglied: DerWoWusste
21.12.2009 um 17:24 Uhr
Und Du bist sicher, dass er nicht schon da steht, wenn Du runterscrollst? Ist standardäßig ohne Weiteres sichtbar.
Bitte warten ..
Mitglied: Xandros
21.12.2009 um 17:26 Uhr
Ja bin ich xD

Pfad stand jedoch nur bei Object Access da aber nicht wenn ein Object gelöscht wurde. Habs mit mehreren Files kontrolliert.
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 17:51 Uhr
Es gibt immer mehrere Einträge pro Löschung. In mindestens einem steht das Objekt benannt drin, hab ich eben zur Sicherheit nochmal gemacht auf 2008.
Bitte warten ..
Mitglied: Xandros
21.12.2009 um 20:14 Uhr
Hey,

kannst du mir zufällig die Event ID nennen? Danke
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 20:27 Uhr
ID 4663
Bitte warten ..
Mitglied: Xandros
21.12.2009 um 20:49 Uhr
besten Dank, werde ich morgen mal danach suchen ^^
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 21:00 Uhr
Wie Du siehst, ist es die selbe ID, die Du oben offen hast. Keine Ahnung, was bei Dir nicht läuft.
Bitte warten ..
Mitglied: Xandros
21.12.2009 um 21:06 Uhr
Ja aber das ist nur ein Eintrag dafür, dass jemand auf die Datei zugegriffen hat. Bei dir steht bei: An Object was deleted der Pfad???
Bitte warten ..
Mitglied: DerWoWusste
21.12.2009 um 21:13 Uhr
Ja, sag ich doch die ganze Zeit
Bitte warten ..
Mitglied: Xandros
23.12.2009 um 09:49 Uhr
morgen,

hab jetzt mal nen win2k3 aufgesetzt, dort bekomm ich folgenden Eintrag

Object Open:
Object Server: Security
Object Type: File
Object Name: C:\Files\Backup rohbresy\D\01_Data\Copy of Access Connections
Handle ID: 1436
Operation ID: {0,210456}
Process ID: 4
Image File Name:
Primary User Name: WIN2K3$
Primary Domain: CONTOSO
Primary Logon ID: (0x0,0x3E7)
Client User Name: User1
Client Domain: CONTOSO
Client Logon ID: (0x0,0x3287B)
Accesses: DELETE

Privileges: -
Restricted Sid Count: 0
Access Mask: 0x10000

sieht gut aus

ich installier jetzt mal testweise den win2k8 neu, glaub aber nicht das daran liegt.

---

so also neuen Server installiert, gleiches Problem

wenn ich in den Ordner navigiere:

Keywords Date and Time Source Event ID Task Category
Audit Success 23.12.2009 11:33:41 Microsoft-Windows-Security-Auditing 4663 File System "An attempt was made to access an object.

Subject:
Security ID: CONTOSO\User1
Account Name: User1
Account Domain: CONTOSO
Logon ID: 0x71978

Object:
Object Server: Security
Object Type: File
Object Name: C:\folder\Internet Explorer\iessetup.ceb
Handle ID: 0x77c

Process Information:
Process ID: 0x4
Process Name:

Access Request Information:
Accesses: DELETE

Access Mask: 0x10000"


wenn ich dann die Datei lösche:

Keywords Date and Time Source Event ID Task Category
Audit Success 23.12.2009 11:33:41 Microsoft-Windows-Security-Auditing 4660 File System "An object was deleted.

Subject:
Security ID: CONTOSO\User1
Account Name: User1
Account Domain: CONTOSO
Logon ID: 0x71978

Object:
Object Server: Security
Handle ID: 0x77c

Process Information:
Process ID: 0x4
Process Name:
Transaction ID: {00000000-0000-0000-0000-000000000000}"
Bitte warten ..
Mitglied: DerWoWusste
23.12.2009 um 14:16 Uhr
Kann ich nicht viel zu sagen. Wenn unter NTFS - Überwachung für diese Datei löschen überwacht wird (für jeder) und die Überwachungsrichtlinie für Objektzugriffe an ist (Erfolg und Fehlschlag), dann ist es wie bei mir - und da geht es.
Bitte warten ..
Mitglied: Xandros
23.12.2009 um 16:45 Uhr
ich verstehs ned

hab bei der Freigabe everyone auf Change und Read
und beim Audit everyone auf
Delete File - Success / Failed
Delete Folder - Success / Failed

So eine Beim 2k3 gings. Naja werd jetzt nicht mehr viel Zeit investieren und dann erst nach Weihnachten weitermachen.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Windows Netzwerk
gelöst GPO auf alle PCs mit bestimmtes Computernamen Schema anwenden lassen (5)

Frage von Michael-ITler zum Thema Windows Netzwerk ...

Outlook & Mail
gelöst Kompletter Export von Postfach in Outlook. wie mache ich es richtig? (30)

Frage von fireskyer zum Thema Outlook & Mail ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...