Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Automatische Eventlogauswertung mit Filterung

Frage Microsoft

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

05.05.2014, aktualisiert 21:20 Uhr, 2945 Aufrufe, 12 Kommentare, 1 Danke

Moin Kollegen.

Ich möchte die Machbarkeit von folgendem prüfen: kann ich per Skript das Sicherheitseventlog auf Vorhandensein von Events mit folgenden Kriterien prüfen:

Source: Microsoft Windows security auditing
Task category: Removable storage
Process name: C:\Windows\explorer.exe
Accesses: WriteData

Wie geht das? Kann ich per Powershell all diese Merkmale abfragen?

Sinn und Zweck: mit Win8 kann man ja Auditing auf USB-Sticks machen. Ich möchte gerne feststellen, ob unsere Verschlüsselung, die wir den Nutzern für USB-Sticks anbieten, auch genutzt wird, oder ob verbotenerweise Dateien per Explorer (und somit unverschlüsselt) drauf geschrieben werden.

PS: Nein, den Stick komplett zu verschlüsseln ist nicht möglich, da Kundensysteme diesen nicht lesen könnten.
Mitglied: colinardo
05.05.2014, aktualisiert um 17:33 Uhr
Hi dww,
das lässt sich machen:
http://blogs.technet.com/b/ashleymcglone/archive/2013/08/28/powershell- ...

hier ein rudimentäres Beispiel (ungetestet, habe hier keine Beispieldaten zur Verfügung):
Get-WinEvent -LogName Security | ?{$_.ProviderName -eq "Microsoft-Windows-Security-Auditing" -and $_.ID -eq 4656 -and $_.Message -match "Prozessname:\s+C:\\Windows\\explorer.exe"}
Die weiteren Eigenschaften muss man dann noch mit -and anhängen und mit Regex filtern.

Wäre super wenn du mal den XML-Result oder die vollständige Powershell-Ausgabe eines Events posten könntest, den du filtern willst.

Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
05.05.2014 um 17:38 Uhr
Danke Uwe. Sieht ganz gut aus, wenn ich verbessere auf
01.
 Get-WinEvent -LogName Security | ?{$_.ProviderName -eq "Microsoft-Windows-Security-Auditing" -and $_.ID -eq 4656 -and $_.Message -match "Process name:\s+C:\\Windows\\explorer.exe"}
Ich kriege einen kleineren (=genaueren) Output, wenn ich nur nach explorer.exe und nach $_.Message.Contains("4417") filtere, zum Beispiel
01.
Get-EventLog -log Security | Where {$_.Message.Contains("4417")} |Where {$_.Message.Contains("explorer.exe")}
Die 4417 steht hierbei für WriteData (so steht es in der xml-View des Events)
Ich humpele mir gerade einen ab, deins und meins zu verbinden... aber mein Ziel ist schon erreicht, es ginge!

Wenn Du Test-Events brauchst: advanced auditing ("audit removable storage") auf win8 (hier 8.1) aktivieren und ein paar Dateien auf den USB-Stick kopieren.
Bitte warten ..
Mitglied: colinardo
05.05.2014, aktualisiert um 18:28 Uhr
bis dahin kannst du es so machen:
01.
Get-WinEvent -LogName Security | ?{$_.ProviderName -eq "Microsoft-Windows-Security-Auditing" -and $_.Task -eq "12812" -and $_.Message -match "\s+0x2" -and $_.Message.contains("explorer.exe")}
Bitte warten ..
Mitglied: colinardo
LÖSUNG 05.05.2014, aktualisiert um 21:20 Uhr
habe das ganze mal mit einer zuverlässigen XPATH Query abgekürzt ... hatte ich ganz vergessen... im Oberstübchen ist halt langsam kein Speicherplatz mehr frei , da muss ich wohl mal meine "Garbage Collection" drüber laufen lassen
Get-WinEvent -LogName Security -FilterXPath 'Event[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12812"] and EventData[Data[@Name="ProcessName"]="C:\Windows\explorer.exe" and Data[@Name="AccessMask"]="0x2"]]'
Viel Erfolg und schönen Abend
Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
05.05.2014, aktualisiert um 19:09 Uhr
Schön. Liefert 2 Zeilen bei 2 kopierten Dateien, astrein. Und wofür steht Task 12812?
0x2 steht für write?

Am Schönsten wäre es natürlich, einen eventgetriggerten Task loszulassen, der bei diesen Entries Alarm schlägt. Aber mit dem custom trigger hab ich mir noch schwerer getan als mit der Eventlogsuche.
Bitte warten ..
Mitglied: colinardo
05.05.2014 um 20:31 Uhr
Zitat von DerWoWusste:
Und wofür steht Task 12812?
Das ist die Konstante für die Task Category "Removable storage" oder in Deutsch "Wechselmedien" ; durch die Konstante ist es sprachunabhängiger
0x2 steht für write?
Genau, das ist die Bitmaske für Write. Die benötigten Zugriffsattribute werden in der Maske mit OR verknüpft. Das alleinige Vorhandensein des Wertes 0x2 ist der eigentliche Schreibvorgang dem natürlich vorher noch andere Zugriffsanforderungen im LOG voraus gehen.
Am Schönsten wäre es natürlich, einen eventgetriggerten Task loszulassen, der bei diesen Entries Alarm
schlägt. Aber mit dem custom trigger hab ich mir noch schwerer getan als mit der Eventlogsuche.
Das ist eigentlich ähnlich aufgebaut wie die XPath Query im obigen Beispiel. Poste dir dazu noch die entsprechende XML Query...
Bitte warten ..
Mitglied: DerWoWusste
05.05.2014 um 20:42 Uhr
Poste dir dazu noch die entsprechende XML Query
Fett. Du solltest langsam über einen Donate-Button nachdenken
Bitte warten ..
Mitglied: colinardo
LÖSUNG 05.05.2014, aktualisiert um 21:20 Uhr
Zitat von DerWoWusste:

> Poste dir dazu noch die entsprechende XML Query
Fett. Du solltest langsam über einen Donate-Button nachdenken
gute Idee

probiers mal hiermit:
01.
<QueryList> 
02.
  <Query Id="0" Path="Security"> 
03.
    <Select Path="Security">*[System[Provider[@Name="Microsoft-Windows-Security-Auditing"] and Task="12812"] and EventData[Data[@Name="ProcessName"]="C:\Windows\explorer.exe" and Data[@Name="AccessMask"]="0x2"]]</Select> 
04.
  </Query> 
05.
</QueryList>
kanns leider heute nicht mehr testen.
http://blogs.technet.com/b/askds/archive/2011/09/26/advanced-xml-filter ...
Bitte warten ..
Mitglied: DerWoWusste
05.05.2014 um 21:20 Uhr
Bravo. Klappt auf Anhieb, danke!
Mutet zwar nach BigBrother an, aber wir können auf diese Weise den Nutzern per Popup Bescheid stoßen, dass sie den Stick falsch benutzen und dass dies bemerkt wird.
Bitte warten ..
Mitglied: Scoby2
31.03.2017 um 16:37 Uhr
Hallo Leute,
wenn ich das richtig verstehe geht es hier darum, herauszufinden, wenn jemand mit dem Windows-Explorer Dateien auf einen USB-Stick schreibt.

Leider weis ich nicht so richtig, wie ich den geposteten Code verwenden muss. Könnt ihr mit helfen?

Danke
Bitte warten ..
Mitglied: colinardo
31.03.2017 um 16:44 Uhr
Zitat von Scoby2:
Leider weis ich nicht so richtig, wie ich den geposteten Code verwenden muss. Könnt ihr mit helfen?
Eventlog-Trigger anlegen und XML rein pasten, hier lesen:
http://blog.backslasher.net/filtering-windows-event-log-using-xpath.htm ...

Grüße Uwe
Bitte warten ..
Mitglied: Scoby2
12.04.2017 um 10:58 Uhr
Danke!
Es lag nicht an deinem Code sondern daran, dass ich erst mal einstellen musste damit er überhaupt irgendwas loggt. Das war unter Windows 10 Professional gar nicht so einfach.

Falls jemand das selbe Problem hat:
Man benötigt das Programm gpedit.msc, was bei mir gar nicht drauf war und ich erstmal nachinstallieren musste. Mit diesem Tool kann man es einfach nachinstallieren:
http://drudger.deviantart.com/art/Add-GPEDIT-msc-215792914

Danach kann man über Eingabe von gpedit.msc diesen „Editor für lokale Gruppenrichtlinien“ starten.

Dort dann unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinienkonfiguration (was für ein Wort ^^) -> Systemüberwachungsrichtlinien -> Objektzugriff

Da kann man dann den Punkt „Wechselmedien überwachen“ auswählen und aktivieren.

Jetzt noch die Konsole starten (cmd), gpupdate /force eintippen und abschicken.

Dieses ganze Vorgehen habe ich hier gelesen:
https://technet.microsoft.com/en-us/library/jj574128(v=ws.11).aspx

So.
Wenn man das alles gemacht hat werden Zugriffe auf USB-Sticks in der Windows-Ereignisanzeige gespeichert und jetzt kann man mit dem von colinardo geposteten Code schön nach Schreibzugriffen filtern.

Coole Sache! Wer hätte gedacht, dass das auch mit Windows-Boardmitteln geht. Man liest überall nur immer „Kaufe Programm XYZ!“.
Danke fürs Aufzeigen dieser coolen Möglichkeit.

Aber ist es normal, dass gpedit bei Windows nicht mehr dabei ist? Oder heist das jetzt nur anders?
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Umstellung von MAC-Filterung auf RADIUS
Frage von BrigadeOfTheWickedNetzwerkmanagement3 Kommentare

Guten Tag, In unserem Studentenwohnheim wollen wir den Netzwerkzugang auf eine Authentifizierung per RADIUS umstellen. Aktuell tragen wir noch ...

Windows Tools
Dateien Löschen als Dienst mit Filterung
gelöst Frage von petereWindows Tools8 Kommentare

Hallo, ich suche ein Tool, welches auf einem Windows-Server läuft und folgendes kann: - Man gibt mehrere Verzeichnisse an ...

Firewall
Filterung von HTTPS-Aufrufen mit Mikrotik
gelöst Frage von daarmaFirewall4 Kommentare

Servus miteinander, ich komme jetzt irgendwie nicht weiter. Meine Aufgabenstellung in kurzen Worten: Für eine Anzahl von WLAN-Usern soll ...

Windows Server
GPO - Filterung nach Gruppenzugehörigkeit
gelöst Frage von FA-jkaWindows Server11 Kommentare

Kann ich bei Gruppenrichtlinien eigentlich auch danach filtern, ob der Computer einer bestimmten Gruppe im AD zugeordnet ist? Ich ...

Neue Wissensbeiträge
Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Tipp von kgborn vor 3 StundenWindows 10

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 11 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 11 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1012 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Heiß diskutierte Inhalte
Windows Server
SCCM 2016: PXE Boot des Clients schlägt fehl
Frage von gabeBUWindows Server23 Kommentare

Hallo Zusammen Ich habe eine Testumgebung erstellt um über SCCM 2016 einen virtuellen Client aufzusetzen. Folgende Maschinen habe ich ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen19 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Exchange Server
Exchange empfängt Emails - Kann aber keine Senden
gelöst Frage von niklasschaeferExchange Server11 Kommentare

Hallo, ich stehe gerade bei mir zuhause vor folgender Problemstellung. Gegeben sind 2x Hyper-V Host mit Windows Server 2016 ...