Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Filesystemüberwachung - Löschen von Dateien protokollieren

Frage Microsoft Windows Tools

Mitglied: 0x32f1

0x32f1 (Level 1) - Jetzt verbinden

11.09.2012, aktualisiert 14:30 Uhr, 17142 Aufrufe, 9 Kommentare

Hallo,

ich versuche seit geraumer Zeit, eine Freigabe mit Windows-Bordmitteln zu überwachen, sprich: Schreibe in die Ereignisanzeige\Sicherheit, wenn eine Datei von wem gelöscht wurde. Mehr nicht. Scheinbar ist bei mir irgendetwas schiefgelaufen: die Überwachung loggt nicht nur "Löschen" und ist schon garnicht nur den von mir bestimmten Share beschränkt.

Konfiguration:
- SACL nur am Share in der Überwachung eingetragen, nur bei Löschen bzw. Dateien und Unterordner löschen
- GPO am DC, derzeit limitiert auf einen Server, mit aktivierter Objektüberwachung

Share:
727f2cb943a7f2f78881e25cb13144d7 - Klicke auf das Bild, um es zu vergrößern

GPO:
a58c1c8a8139cab520bb6d0dd7ac11ab - Klicke auf das Bild, um es zu vergrößern

In der Ereignisanzeige finden sich dann pro Sekunde etliche Einträge, alleine von jedem Zugriffsversuch auf den Server (es laufen einige andere Sachen dorthin, die Zugriffe passen ansich).

Ereignisanzeige:
9409c798fdca4961e2526eca663ed56d - Klicke auf das Bild, um es zu vergrößern

Habe mich schon auf etlichen Seiten umgesehen und auch hier ein paar Beiträge gefunden, nur ist das m.M.n. alles richtig eingestellt. Letztendlich laufen alle Anleitungen auf die bekannten Punkte raus:

1. lokale Richtlinie: Objektüberwachung
2. Aktivierung der Überwachung am zu überwachenden Objekt.
3. Fertig.

Habe ich da irgendwas übersehen?

Besten Dank für einen kleinen Tipp!
Mitglied: Pjordorf
11.09.2012 um 14:39 Uhr
Hallo,

Zitat von 0x32f1:
Habe ich da irgendwas übersehen?
Wobei? Was ist deine eigentliche Frage? Das zu viele Meldungen im Ereignissprotokoll drin stehen (was aber normal ist)? Wo ist dein eigentliches Problem?

Gruß,
Peter
Bitte warten ..
Mitglied: 0x32f1
11.09.2012, aktualisiert um 15:08 Uhr
Vielleicht habe ich das auch komplett falsch verstanden aber bei der GPO steht:

Mit dieser Sicherheitseinstellung wird festgelegt, ob Benutzerzugriffe auf Nicht-Active-Directory-Objekte überwacht werden. Überwachung wird nur für Objekte generiert, für die eine eigene SACL (System Access Control List, Zugriffssteuerungsliste für das System) angegeben ist, und nur dann, falls der angeforderte Zugriffstyp (beispielsweise Schreiben, Lesen oder Ändern) und das Konto, von dem die Anforderung stammt, den Einstellungen in der SACL entsprechen.

daher wäre meine Frage:

Sollten nach o.g. Einstellungen nicht nur dann weitere Ereignisse generiert werden, wenn eine Datei im Ordner mit der SACL gelöscht wird?
Bitte warten ..
Mitglied: DerWoWusste
11.09.2012 um 19:15 Uhr
Schon richtig, es sollten nur überwachte Files gemeldet werden. Prüf bitte erneut, ob die anderen Ordner, welche Einträge produzieren, nicht (evtl. per default) auch Überwachungseinstellungen besitzen.
Bitte warten ..
Mitglied: 0x32f1
12.09.2012 um 07:58 Uhr
Habe es eben sicherheitshalber nochmals überprüft: Weder im Root (hier D noch im share2 ist irgendetwas unter Überwachung konfiguriert, auch nicht im share2\Ordner1 oder sonst einem Unterverzeichnis.

Dennoch bekomme ich im Log Meldungen wie:

01.
Ein Netzwerkfreigabeobjekt wurde überprüft, um zu ermitteln, ob dem Client der gewünschte Zugriff gewährt werden kann. 
02.
	 
03.
Antragsteller: 
04.
	Sicherheits-ID:		domain\user 
05.
	Kontoname:		user 
06.
	Kontodomäne:		domain 
07.
	Anmelde-ID:		0x***ID*** 
08.
 
09.
Netzwerkinformationen:	 
10.
	Objekttyp:		File 
11.
	Quelladresse:		*** Remote IP *** 
12.
	Quellport:		55449 
13.
	 
14.
Freigabeinformationen: 
15.
	Freigabename:		\\*\share2 
16.
	Freigabepfad:		\??\D:\share2 
17.
	Relativer Zielname:	ordner1\datei.txt 
18.
 
19.
Zugriffsanforderungsinformationen: 
20.
	Zugriffsmaske:		0x89 
21.
	Zugriffe:		Daten lesen (oder Verzeichnis auflisten) 
22.
				EA lesen 
23.
				Attribute lesen 
24.
				 
25.
Ergebnisse der Zugriffsprüfung: 
26.
	Daten lesen (oder Verzeichnis auflisten):	Gewährt durch	D:(A;;FA;;;S-1-5-***SID***) 
27.
				EA lesen:	Gewährt durch	D:(A;;FA;;;S-1-5-21-***SID***) 
28.
				Attribute lesen:	Gewährt durch	D:(A;;FA;;;S-1-5-21-***SID***)

Obwohl laut gpresult die GPO angekommen ist, habe ich sie auch schon aktualisiert - ohne Veränderung.
Bitte warten ..
Mitglied: DerWoWusste
12.09.2012 um 10:39 Uhr
Ich schätze, ich kann Dir helfen. Zunächst mal: Ist das Dein Thread?
http://social.technet.microsoft.com/Forums/de-DE/sbsde/thread/b917c51b- ...
Wenn ja: immer mitteilen, der Ordnung halber.

Ich habe zwei weitere Threads dazu gefunden und einer sieht aus wie die Lösung: http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ... gefunden über http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ... (im letzten Kommentar wird die Lösung verlinkt).
Bitte warten ..
Mitglied: 0x32f1
12.09.2012, aktualisiert um 13:05 Uhr
Nein, von mir ist der Thread nicht, habe nur hier einen aufgemacht.


ist es schonmal nicht. Die Audit Ordner sind jeweils leer.

Die anderen Sachen muss ich mir nochmal durchlesen, allerdings reicht mir die Zeit momentan nicht. Ich melde mich, sobald ich etwas neues weiß.

Danke!

// EDIT:

So, wenn ich das jetzt richtig gesehen habe, funktioniert es.

Lösung: GPO wieder zurückgesetzt und über Erweiterte Überwachungsrichtlinienkonfiguration\Objektzugriff konfiguriert: Dateisystem überwachen: Erfolgreich.

Kleiner Schönheitsfehler: Umbenennen wird scheinbar auch als Löschen gewertet:

01.
Es wurde versucht, auf ein Objekt zuzugreifen. 
02.
 
03.
Antragsteller: 
04.
	Sicherheits-ID:		domain\user 
05.
	Kontoname:		user 
06.
	Kontodomäne:		domain 
07.
	Anmelde-ID:		0x***ID*** 
08.
 
09.
Objekt: 
10.
	Objektserver:	Security 
11.
	Objekttyp:	File 
12.
	Objektname:	D:\share1\dir2\dir3\test.txt 
13.
	Handle-ID:	0x3ff8 
14.
 
15.
Prozessinformationen: 
16.
	Prozess-ID:	0x4 
17.
	Prozessname:	 
18.
 
19.
Zugriffsanforderungsinformationen: 
20.
	Zugriffe:	DELETE 
21.
				 
22.
	Zugriffsmaske:	0x10000
Aber vielleicht krieg ich das auch noch irgendwie raus.
Bitte warten ..
Mitglied: DerWoWusste
12.09.2012 um 20:53 Uhr
Ich hab noch nicht verstanden, was jetzt anders ist als vorher.
Bitte warten ..
Mitglied: 0x32f1
13.09.2012 um 07:28 Uhr
Stand vorher:

Richtlinie definiert über: GPO\Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\Objektzugriffsversuche überwachen
Einstellung: Erfolgreich
SACL: Löschen/Erfolgreich

Ergebnis: Log voll mit etlichen Zugriffen, auch in Verzeichnissen, die nicht über eine SACL verfügen.

Stand jetzt:

Richtlinie definiert über: GPO\Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungskonfiguration\Überwachungsrichtlinien\Objektzugriff\Dateisystem überwachen
Einstellung: Erfolgreich
SACL: Löschen/Erfolgreich (unverändert)

Ergebnis: Loggt nur die Löschungen im gewünschten Verzeichnis (und Umbenennungen werden als Löschung unter dem alten Dateinamen geloggt)
Bitte warten ..
Mitglied: DerWoWusste
13.09.2012 um 09:07 Uhr
Ah jetzt, ja.
Seltsam, dass diese neue (ab win7/2008R2 verfügbare) Einstellung anders ist. Die alte hatte bislang immer geklappt, scheint wohl mit R2 einen Bug zu haben.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Benutzer können keine Dateien löschen
gelöst Frage von SebastianProWindows Server4 Kommentare

Hallo, wir haben einen Windows SBS Server 2011 und einen Windows Server 2008 R2 Enterprise im Einsatz. (Beide mit ...

Windows Server
Windows 2012R2 kann Datei nicht löschen
gelöst Frage von AkcentWindows Server2 Kommentare

Hallo, habe hier einen Windows 2012R2 Server auf dem mit Acronis Backup 12 eine VM zurück gesichert wurde. Der ...

Batch & Shell
Batch Datei um Windows Update zu löschen
Frage von lordofremixesBatch & Shell1 Kommentar

Hallo zusammen, wegen diesem Office Update welches ich per GPO deinstallieren lassen soll, werd ich noch verrückt. Ich hab ...

Windows 7
Herunterfahren protokollieren
Frage von SarekHLWindows 731 Kommentare

Hallo zusammen, bei einem PC in unserem Gemeindebüro dauert das Herunterfahren ewig, teilweise bricht der Pfarrer den Vorgang nach ...

Neue Wissensbeiträge
Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 StundeSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 23 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 4 TagenInternet19 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Brainstorming, einfachste Option 1 getrenntes LAN (mit WAN zugang)
Frage von 132954LAN, WAN, Wireless13 Kommentare

Hi, folgendes: Wir bekommen eine Glasfaser Leitung, Und das sollte Optional so aussehen: Ein Modem/Router für das WAN, ein ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement12 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...