Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2003 (Fileserver) - Logfiles zum Erkennen wer was gelöscht hat?!

Frage Microsoft Windows Server

Mitglied: 17566

17566 (Level 1)

19.09.2005, aktualisiert 21.09.2005, 12401 Aufrufe, 15 Kommentare

Hallo Leute,
wir haben hier bei uns in der Firma einen W2k3-Server als Fileserver im Einsatz.

Es kommt in letzter Zeit vermehrt vor, dass auf einmal Daten weg sind, ich diese zurücksichern
muss und keiner wills gewesen sein!
Kennt ihr ja bestimmt...

Gibts Tools oder Programme die jede Bewegung in der "File-Umgebung" loggen können?
D. h. ich will sehen: Wer hat die Datei geöffnet? Wer hat sie verändert? Wer hat sie gelöscht?
Sowas gibts doch mit Sicherheit.

Eine einfache TXT-Datei in der die Logs enthalten sind wäre schon traumhaft. Mehr will ich gar nicht.
Vor allem will ich nicht den Server mit unötig, großen Programmen belasten...

Noch kurze Info: Die Clients (alle Win2k) melden sich an einem DC (Win2k3) an.

Vielen Dank schonmal.

Mit freundlichen Grüßen
Steffen_1985
Mitglied: Metzger-MCP
19.09.2005 um 16:29 Uhr
Du kannst in den NTFS Sicherheitseinstellungen User / Gruppen und so überwachen lassen. Das ist in Windows schon drin und braucht nicht viel Ressorcen, und wird auch noch "Praktischer Weise" im Ereignisprotokoll hinterlegt. Du solltest aber die Logs dann aber ein bissel aufschrauben, so auf 1-2 MB je nach Zugriffen und so ...

Mit freundlichen Grüßen Metzger
Bitte warten ..
Mitglied: Leobuck64
19.09.2005 um 16:32 Uhr
Hallo Steffen,


das kannste mit Bordmitteln machen.

Computerrichtlinie (lokale oder wenn Du AD hast eine neue Policy) - Überwachung aktivieren.

Danach das Verzeichnis auf dem Server - Eigenschaften - Überwachung - für jeden die Überwachung der Zugriffe einstellen so wie du es willst - ob nur Ändern oder auch lesen oder löschen überwacht wird - Ergebnisse findest Du dann in der Ereignisanzeige des Servers, wer wo wan wie zugegriffen hat.


Tip: Überwach nicht zu viel und überwach nur Erfolgreiches - sonst wirste nicht wieder froh beim Lesen.

Gruß Leo
Bitte warten ..
Mitglied: 17566
19.09.2005 um 16:44 Uhr
Sorry,
aber kannste du mir den Weg wie ich zu diesen Einstellungen komme
vielleicht genauer beschreiben?
Bitte warten ..
Mitglied: Leobuck64
19.09.2005 um 16:54 Uhr
Hey Steffen - bin mir jetzt nicht sicher, ob Du mich nochmal meinst - dein letzter Beitrag kam zwar nach meinem - steht aber in meiner Ansicht drüber.

Wenn ja - dann bitte nochmal melden - wird aber eventuell bis morgen dauern, bis nochmal Antwort kommt. Weiß nicht, ob ich heute noch dazu komme, nochmal rein zu schauen - sonst spätestens morgen mehr.

So long - Leo
Bitte warten ..
Mitglied: 17566
19.09.2005 um 17:34 Uhr
Ich habe AD, aber wie erstelle ich eine Policy?
Bitte warten ..
Mitglied: vonHohenstein
19.09.2005 um 18:03 Uhr
Tip: Überwach nicht zu viel und
überwach nur Erfolgreiches - sonst
wirste nicht wieder froh beim Lesen.

Gruß Leo

Dem kann ich nur zustimmen!
Ich hatte das früher auch drin.
Aber 1. frist das Performance ohne Ende
und 2. wie LEO schon sagt: das Auswerten kannst du einfach vergessen!

Wenn Du keine richtige Dokumentenmanagementsoftware einsetzt, wirst du das vermutlich nicht so hinbekommen wie du dir das vielleicht vorstellst.

Grüße Michael
Bitte warten ..
Mitglied: 17566
19.09.2005 um 19:21 Uhr
Ihr versteht mich vielleicht falsch.

Ich will diese erzeugten Logs nicht permanent überwachen, sondern
nur wenn mal wieder ein Kollege anruft und sagt:
"Hier Steffen mir fehlen einige Dateien."

Dann schau ich mir das in den Logs an wann diese gelöscht wurden und
auch nur dann, im Fall der Fälle.

Deswegen wäre ich dankbar wenn mir das einer von euch näher bringen
könnte wie ich dies einstellen kann. Oder hat jemand einen hilfreichen Link parat?
Bitte warten ..
Mitglied: vonHohenstein
20.09.2005 um 07:46 Uhr
Hi Steffen,

ich glaube ich hab dich schon verstanden: Ich hatte den gleichen Anreiz:
http://www.mcseboard.de/showthread.php?s=&threadid=24407

Das Problem besteht nach wie vor: Du brauchst zu lange um daraus etwas abzulesen.
Ich habe eine andere Methode gewählt um die "LÖSCHER" zu bekämpfen.
Auf dem 2k3 Server kannst du mit Volumenschattenkopien ja superschnelle restores fahren.
Ich komm damit momentan ganz gut zurecht.

Grüße Michael
Bitte warten ..
Mitglied: Leobuck64
20.09.2005 um 07:50 Uhr
Hallo Steffen,

die Logs brauchst Du ja auch nicht ständig überwachen - die werden ja nur ständig mitgeschrieben.

Möglicherweise solltest Du die Protokollgröße in den Eigenschaften der Ereignisanzeige (Sicherheitsprotokoll) erhöhen und die Einstellung wählen - bei Bedarf überschreiben. Dann mußt Du mal beobachten, wieviele Tage rückwirkend dann weiterhin Einträge angezeigt werden.

Dann solltest Du eventuell die Logfiles regelmäßig exportieren, damit Du auch später noch auf Ereignisse zugreifen kannst. Das geht alles in der Computerverwaltung - Ereignisprotokoll.

Dann mußt Du wie gesagt eine Richtlinie erstellen - entweder eine lokale Richtlinie über Verwaltung - Lokale Sicherheitsrichtlinie - und zwar auf der Maschine, auf der die Daten liegen - hier mußt Du die Überwachung für erfolgreiche Zugriffsversuche auf Ressorcen aktivieren.
Man kann das auch über`s AD machen, wenn es mehrere Fileserver betrifft. Aber da solltest Du Dir wirklich erst die Mühe machen und dich mit der Thematik auseinandersetzen.

Dann gehst Du in die Eigenschaften der Freigaben ( bzw. Ordner), die Du überwachen willst und gibst hier ein, wessen Zugriff überwacht werden soll (entweder eine Gruppe oder einzelne Benutzer oder Jeder).

Aber wie gesagt - mach nicht zuviel, sonst wird dir jeder Mausklick protokolliert.

Wenn Du dich mit Gruppenrichtlinien auseinandersetzen willst, empfehle ich Dir erstmal folgende Links :

http://www.microsoft.com/germany/technet/datenbank/articles/600884.mspx
http://www.gruppenrichtlinien.de

Viel Erfolg - Gruß Leo
Bitte warten ..
Mitglied: 17566
20.09.2005 um 17:37 Uhr
Erstmal Danke für eure Mühe.

Ich habe jetzt folgendes gemacht:

1. Systemsteuerung
2. Verwaltung
3. Sicherheitsrichtlinie für Domänen
4. Sicherheitseinstellungen
5. Logale Richtlinien
6. Objektzugriffsversuche überwachen auf Erfolgreich und Fehlgeschlagen gestellt.
7. Rechte Maustaste auf den zu überwachenden Ordner
8. Erweiterte Sicherheitseinstellungen für ***
9. Objektname: JEDER
10. Löschen - Häckchen gesetzt, Unterordner und Dateien - Häckchen gesetzt

Laut eurer Hilfe muss dies ja der richtige Weg sein.

Jetzt habe ich testweise ein paar Dateien auf dem Fileserver gelöscht. (Natürlich alte Dateien)

In den Event-Logs unter Sicherheit wird aber mein Löschverhalten nicht geloggt?

Mit freundlichen Grüßen
Steffen
Bitte warten ..
Mitglied: Leobuck64
21.09.2005 um 08:54 Uhr
Hallo Steffen,

wenn ich Dich richtig verstehe, ist Dein Fileserver auch Domänencontroller.
Auf Domänencontroller wirkt sich die Default Domaincontroller Policy aus und überschreibt die Einstellungen aus der Default Domain Policy.
Standardmäßig ist in Domaincontrollerpolicy die Überwachung deaktiviert - deshalb geht es auf DC`s nicht - mußt du dort auch aktivieren.

Gruß Leo
Bitte warten ..
Mitglied: 17566
21.09.2005 um 12:26 Uhr
Jetzt gehts.

Ich bin jetzt anstatt auf "Sicherheitsrichtlinien für Domänen" auf "Sicherheitsrichtlinie für Domänencontroller" gegangen .

Warscheinlich hast du das mit deinen Policys gemeint.

Was genau bedeutet jetzt Policy? Versteh ich immer noch nicht ganz.

Danke und Gruss
Steffen
Bitte warten ..
Mitglied: Leobuck64
21.09.2005 um 12:52 Uhr
Hery Steffen,

Policys sind Richtlinien (Gruppenrichtlinien), die auf alle oder ausgewählte Computer oder Benutzer angewendet werden können.

Ab W2000 gibt es lokale Richtlinien - die wirken dann nur auf die Maschine, an der sie konfiguriert werden. Wenn man ein AD hat, dann kann man Gruppenrichtlinien von zentraler Stelle aus konfigurieren.

Standardmäßig gibt es sofort nach der Installation des AD eine Richtlinie für Domänen und eine Richtlinie für Domänencontroller. Diese sollten eigentlich auch unverändert bleiben.

Über die Gruppenrichtlinienkonsole kann man dann weitere Richtlinien definieren und auf
bestimmte Strukturen im AD anwenden, wobei hier die Reihenfolge der Verarbeitung der Richtlinien und die Priorität, die diese haben wichtig ist, ob eine Einstellung greift oder nicht.

Das hast Du ja eben selbst gemerkt. Die Domänenpolicy wirkt zwar auf alle Computer der Domäne, aber DC verarbeiten anschließend noch die Domänencontrollerrichtlinie, und die setzt dann einige Einstellungen der ersten Policy wieder außer Kraft.

Vielleicht wirfst Du mal einen Blick auf "gruppenrichtlinien.de" oder bei Microsoft.

Man kann ne Menge mit Richtlinien machen - aber man kann sich auch das Leben schwer damit machen wenn man den Überblick nicht behält.

Gruß Leo
Bitte warten ..
Mitglied: 17566
21.09.2005 um 13:29 Uhr
Werde mich auf jedenfall nochmal genauer mit Thema auseinandersetzen.

Danke nochmal für die Erläuterung.

Mit freundlichen Grüßen
Steffen
Bitte warten ..
Mitglied: Leobuck64
21.09.2005 um 13:31 Uhr
Na dann viel Erfolg !!

Gruß Leo
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Rechtevergabe Fileserver Windows 2003 (1)

Frage von bluepython zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2003 von Windows 2003 Server lösen bzw. entfernen (3)

Frage von plexxus zum Thema Exchange Server ...

Windows Server
Windows 2003 Terminalserver - ausführbare Dateien einschränken (6)

Frage von Excaliburx zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...