Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Filesystemüberwachung - Löschen von Dateien protokollieren

Frage Microsoft Windows Tools

Mitglied: 0x32f1

0x32f1 (Level 1) - Jetzt verbinden

11.09.2012, aktualisiert 14:30 Uhr, 14518 Aufrufe, 9 Kommentare

Hallo,

ich versuche seit geraumer Zeit, eine Freigabe mit Windows-Bordmitteln zu überwachen, sprich: Schreibe in die Ereignisanzeige\Sicherheit, wenn eine Datei von wem gelöscht wurde. Mehr nicht. Scheinbar ist bei mir irgendetwas schiefgelaufen: die Überwachung loggt nicht nur "Löschen" und ist schon garnicht nur den von mir bestimmten Share beschränkt.

Konfiguration:
- SACL nur am Share in der Überwachung eingetragen, nur bei Löschen bzw. Dateien und Unterordner löschen
- GPO am DC, derzeit limitiert auf einen Server, mit aktivierter Objektüberwachung

Share:
727f2cb943a7f2f78881e25cb13144d7 - Klicke auf das Bild, um es zu vergrößern

GPO:
a58c1c8a8139cab520bb6d0dd7ac11ab - Klicke auf das Bild, um es zu vergrößern

In der Ereignisanzeige finden sich dann pro Sekunde etliche Einträge, alleine von jedem Zugriffsversuch auf den Server (es laufen einige andere Sachen dorthin, die Zugriffe passen ansich).

Ereignisanzeige:
9409c798fdca4961e2526eca663ed56d - Klicke auf das Bild, um es zu vergrößern

Habe mich schon auf etlichen Seiten umgesehen und auch hier ein paar Beiträge gefunden, nur ist das m.M.n. alles richtig eingestellt. Letztendlich laufen alle Anleitungen auf die bekannten Punkte raus:

1. lokale Richtlinie: Objektüberwachung
2. Aktivierung der Überwachung am zu überwachenden Objekt.
3. Fertig.

Habe ich da irgendwas übersehen?

Besten Dank für einen kleinen Tipp!
Mitglied: Pjordorf
11.09.2012 um 14:39 Uhr
Hallo,

Zitat von 0x32f1:
Habe ich da irgendwas übersehen?
Wobei? Was ist deine eigentliche Frage? Das zu viele Meldungen im Ereignissprotokoll drin stehen (was aber normal ist)? Wo ist dein eigentliches Problem?

Gruß,
Peter
Bitte warten ..
Mitglied: 0x32f1
11.09.2012, aktualisiert um 15:08 Uhr
Vielleicht habe ich das auch komplett falsch verstanden aber bei der GPO steht:

Mit dieser Sicherheitseinstellung wird festgelegt, ob Benutzerzugriffe auf Nicht-Active-Directory-Objekte überwacht werden. Überwachung wird nur für Objekte generiert, für die eine eigene SACL (System Access Control List, Zugriffssteuerungsliste für das System) angegeben ist, und nur dann, falls der angeforderte Zugriffstyp (beispielsweise Schreiben, Lesen oder Ändern) und das Konto, von dem die Anforderung stammt, den Einstellungen in der SACL entsprechen.

daher wäre meine Frage:

Sollten nach o.g. Einstellungen nicht nur dann weitere Ereignisse generiert werden, wenn eine Datei im Ordner mit der SACL gelöscht wird?
Bitte warten ..
Mitglied: DerWoWusste
11.09.2012 um 19:15 Uhr
Schon richtig, es sollten nur überwachte Files gemeldet werden. Prüf bitte erneut, ob die anderen Ordner, welche Einträge produzieren, nicht (evtl. per default) auch Überwachungseinstellungen besitzen.
Bitte warten ..
Mitglied: 0x32f1
12.09.2012 um 07:58 Uhr
Habe es eben sicherheitshalber nochmals überprüft: Weder im Root (hier D noch im share2 ist irgendetwas unter Überwachung konfiguriert, auch nicht im share2\Ordner1 oder sonst einem Unterverzeichnis.

Dennoch bekomme ich im Log Meldungen wie:

01.
Ein Netzwerkfreigabeobjekt wurde überprüft, um zu ermitteln, ob dem Client der gewünschte Zugriff gewährt werden kann. 
02.
	 
03.
Antragsteller: 
04.
	Sicherheits-ID:		domain\user 
05.
	Kontoname:		user 
06.
	Kontodomäne:		domain 
07.
	Anmelde-ID:		0x***ID*** 
08.
 
09.
Netzwerkinformationen:	 
10.
	Objekttyp:		File 
11.
	Quelladresse:		*** Remote IP *** 
12.
	Quellport:		55449 
13.
	 
14.
Freigabeinformationen: 
15.
	Freigabename:		\\*\share2 
16.
	Freigabepfad:		\??\D:\share2 
17.
	Relativer Zielname:	ordner1\datei.txt 
18.
 
19.
Zugriffsanforderungsinformationen: 
20.
	Zugriffsmaske:		0x89 
21.
	Zugriffe:		Daten lesen (oder Verzeichnis auflisten) 
22.
				EA lesen 
23.
				Attribute lesen 
24.
				 
25.
Ergebnisse der Zugriffsprüfung: 
26.
	Daten lesen (oder Verzeichnis auflisten):	Gewährt durch	D:(A;;FA;;;S-1-5-***SID***) 
27.
				EA lesen:	Gewährt durch	D:(A;;FA;;;S-1-5-21-***SID***) 
28.
				Attribute lesen:	Gewährt durch	D:(A;;FA;;;S-1-5-21-***SID***)

Obwohl laut gpresult die GPO angekommen ist, habe ich sie auch schon aktualisiert - ohne Veränderung.
Bitte warten ..
Mitglied: DerWoWusste
12.09.2012 um 10:39 Uhr
Ich schätze, ich kann Dir helfen. Zunächst mal: Ist das Dein Thread?
http://social.technet.microsoft.com/Forums/de-DE/sbsde/thread/b917c51b- ...
Wenn ja: immer mitteilen, der Ordnung halber.

Ich habe zwei weitere Threads dazu gefunden und einer sieht aus wie die Lösung: http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ... gefunden über http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ... (im letzten Kommentar wird die Lösung verlinkt).
Bitte warten ..
Mitglied: 0x32f1
12.09.2012, aktualisiert um 13:05 Uhr
Nein, von mir ist der Thread nicht, habe nur hier einen aufgemacht.


ist es schonmal nicht. Die Audit Ordner sind jeweils leer.

Die anderen Sachen muss ich mir nochmal durchlesen, allerdings reicht mir die Zeit momentan nicht. Ich melde mich, sobald ich etwas neues weiß.

Danke!

// EDIT:

So, wenn ich das jetzt richtig gesehen habe, funktioniert es.

Lösung: GPO wieder zurückgesetzt und über Erweiterte Überwachungsrichtlinienkonfiguration\Objektzugriff konfiguriert: Dateisystem überwachen: Erfolgreich.

Kleiner Schönheitsfehler: Umbenennen wird scheinbar auch als Löschen gewertet:

01.
Es wurde versucht, auf ein Objekt zuzugreifen. 
02.
 
03.
Antragsteller: 
04.
	Sicherheits-ID:		domain\user 
05.
	Kontoname:		user 
06.
	Kontodomäne:		domain 
07.
	Anmelde-ID:		0x***ID*** 
08.
 
09.
Objekt: 
10.
	Objektserver:	Security 
11.
	Objekttyp:	File 
12.
	Objektname:	D:\share1\dir2\dir3\test.txt 
13.
	Handle-ID:	0x3ff8 
14.
 
15.
Prozessinformationen: 
16.
	Prozess-ID:	0x4 
17.
	Prozessname:	 
18.
 
19.
Zugriffsanforderungsinformationen: 
20.
	Zugriffe:	DELETE 
21.
				 
22.
	Zugriffsmaske:	0x10000
Aber vielleicht krieg ich das auch noch irgendwie raus.
Bitte warten ..
Mitglied: DerWoWusste
12.09.2012 um 20:53 Uhr
Ich hab noch nicht verstanden, was jetzt anders ist als vorher.
Bitte warten ..
Mitglied: 0x32f1
13.09.2012 um 07:28 Uhr
Stand vorher:

Richtlinie definiert über: GPO\Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\Objektzugriffsversuche überwachen
Einstellung: Erfolgreich
SACL: Löschen/Erfolgreich

Ergebnis: Log voll mit etlichen Zugriffen, auch in Verzeichnissen, die nicht über eine SACL verfügen.

Stand jetzt:

Richtlinie definiert über: GPO\Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungskonfiguration\Überwachungsrichtlinien\Objektzugriff\Dateisystem überwachen
Einstellung: Erfolgreich
SACL: Löschen/Erfolgreich (unverändert)

Ergebnis: Loggt nur die Löschungen im gewünschten Verzeichnis (und Umbenennungen werden als Löschung unter dem alten Dateinamen geloggt)
Bitte warten ..
Mitglied: DerWoWusste
13.09.2012 um 09:07 Uhr
Ah jetzt, ja.
Seltsam, dass diese neue (ab win7/2008R2 verfügbare) Einstellung anders ist. Die alte hatte bislang immer geklappt, scheint wohl mit R2 einen Bug zu haben.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 7
gelöst Alten Windows Ordner löschen (5)

Frage von Power-Poler zum Thema Windows 7 ...

Windows 10
gelöst Windows 10 eigene Dateien spinnt (28)

Frage von Revo1506 zum Thema Windows 10 ...

Windows Server
gelöst Windows ACL "Löschen verweigern" greift nicht - Datei lässt sich immer löschen (28)

Frage von Hastduschonneugestartet zum Thema Windows Server ...

Batch & Shell
gelöst älteste dateien via batch löschen (6)

Frage von cali169 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...