Alle SACL s auf dem Server auflisten und mögliches Sicherheitsproblem abklären in Zusammenhang mit Objektüberwachung
Hallo allerseits,
folgende Einträge hatte ich im eventvwr:
Der Hintergrund ist, ich habe für 2 Ordner auf dem Server die Objektüberwachung aktiviert durch geänderte Gruppenrichtline mit WMI Filter auf Server OS, der so aussieht > select * from Win32_OperatingSystem where (ProductType = "2") OR (ProductType = "3")
Dies ist ein paar Tage her, Anfang der Woche.
damit wollte ich bewirken das nur der Server angesprochen wird mit der Gruppenrichtlinie da sich die Ordner die Überwacht werden sollen auf diesem befinden.
Die Einstellung ist die:
danach habe ich für besagte Ordner die SACL aktiviert über Eigenschaften--> Sicherheit--> Erweitert--> Reiter Überwachung und dort Ordner/Dateien löschen, Dateien/ordner erstellen u.ä. aktiviert.
Streng nach Lehrbuch
Aber wenn ich dort dann beispielsweise einen Ordner erstelle wird dies nicht angezeigt. Im Gegenteil, normalerweise habe ich im eventvwr zig Einträge zu Anmeldungen u.ä. die sind nun weg. Tägliche kommen einige dazu wie die oben beschriebenen aber ich habe nichts um 01.37 Uhr morgens gemacht und mir ist nicht bekannt das das system selbst diese erstellt.
Ich vermute das ich den WMI falsch gesetzt habe ( wollte das mal durchgeführt haben, lerne immer noch dazu) habs jetzt geändert und für den Bereich stumpf wieder den Server genommen aber auch das bringt nichts. Nach dem Ändern auf den Server als Objekt des Bereichs wurden einige Einträge wie die oben generiert und sonst nichts. Ordner erstellt und gelöscht in überwachten Ordner wird nicht angezeigt.
Habt ihr ne Idee was Falsch gelaufen ist mit meinem WMI Filter?
Zum anderen, habt ihr eine Idee wie ich mir anzeigen lassen kann bei welchen Ordnern eine SACL aktiv ist? Im Netz und in der Literatur finde ich nichts oder suche nicht nach den richtigen Stichwörtern.
Aber davon mal abgesehen, muss ich mir Sorgen machen wegen den Einträgen oben von 01:37 heute früh?
Gruß Tom
folgende Einträge hatte ich im eventvwr:
1.
Die Systemüberwachungsrichtlinie wurde geändert.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne:
Anmelde-ID: 0x3e7
Änderung der Überwachungsrichtlinie:
Kategorie: Objektzugriff
Unterkategorie: Handleänderung
Unterkategorie-GUID: {0cce9223-69ae-11d9-bed3-505054503030}
Änderungen: Erfolg entfernt, Fehler entfern
2.
Ein Netzwerkfreigabeobjekt wurde überprüft, um zu ermitteln, ob dem Client der gewünschte Zugriff gewährt werden kann.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne:
Anmelde-ID: 0xcb924
Netzwerkinformationen:
Objekttyp: File
Quelladresse: *
Quellport: 10275
Freigabeinformationen:
Freigabename: \\*\SYSVOL
Freigabepfad: \??\C:\Windows\sysvol\sysvol
Relativer Zielname: XXXXXX.LOCAL\POLICIES\{24BA4539-6CAD-46A5-8774-4FF851A3B145}\MACHINE\Microsoft\Windows NT\Audit\audit.csv
Zugriffsanforderungsinformationen:
Zugriffsmaske: 0x120089
Zugriffe: READ_CONTROL
SYNCHRONIZE
Daten lesen (oder Verzeichnis auflisten)
EA lesen
Attribute lesen
Ergebnisse der Zugriffsprüfung:
READ_CONTROL: Gewährt durch Besitz
SYNCHRONIZE: Gewährt durch DA;;0x1200a9;;;WD)
Daten lesen (oder Verzeichnis auflisten): Gewährt durch DA;;0x1200a9;;;WD)
EA lesen: Gewährt durch DA;;0x1200a9;;;WD)
Attribute lesen: Gewährt durch DA;;0x1200a9;;;WD)
3.
Die Systemüberwachungsrichtlinie wurde geändert.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne: xyz
Anmelde-ID: 0x3e7
Änderung der Überwachungsrichtlinie:
Kategorie: Objektzugriff
Unterkategorie: SAM
Unterkategorie-GUID: {0cce9220-69ae-11d9-bed3-505054503030}
Änderungen: Erfolg hinzugefügt, Fehler hinzugefügt
Die Systemüberwachungsrichtlinie wurde geändert.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne:
Anmelde-ID: 0x3e7
Änderung der Überwachungsrichtlinie:
Kategorie: Objektzugriff
Unterkategorie: Handleänderung
Unterkategorie-GUID: {0cce9223-69ae-11d9-bed3-505054503030}
Änderungen: Erfolg entfernt, Fehler entfern
2.
Ein Netzwerkfreigabeobjekt wurde überprüft, um zu ermitteln, ob dem Client der gewünschte Zugriff gewährt werden kann.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne:
Anmelde-ID: 0xcb924
Netzwerkinformationen:
Objekttyp: File
Quelladresse: *
Quellport: 10275
Freigabeinformationen:
Freigabename: \\*\SYSVOL
Freigabepfad: \??\C:\Windows\sysvol\sysvol
Relativer Zielname: XXXXXX.LOCAL\POLICIES\{24BA4539-6CAD-46A5-8774-4FF851A3B145}\MACHINE\Microsoft\Windows NT\Audit\audit.csv
Zugriffsanforderungsinformationen:
Zugriffsmaske: 0x120089
Zugriffe: READ_CONTROL
SYNCHRONIZE
Daten lesen (oder Verzeichnis auflisten)
EA lesen
Attribute lesen
Ergebnisse der Zugriffsprüfung:
READ_CONTROL: Gewährt durch Besitz
SYNCHRONIZE: Gewährt durch DA;;0x1200a9;;;WD)
Daten lesen (oder Verzeichnis auflisten): Gewährt durch DA;;0x1200a9;;;WD)
EA lesen: Gewährt durch DA;;0x1200a9;;;WD)
Attribute lesen: Gewährt durch DA;;0x1200a9;;;WD)
3.
Die Systemüberwachungsrichtlinie wurde geändert.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne: xyz
Anmelde-ID: 0x3e7
Änderung der Überwachungsrichtlinie:
Kategorie: Objektzugriff
Unterkategorie: SAM
Unterkategorie-GUID: {0cce9220-69ae-11d9-bed3-505054503030}
Änderungen: Erfolg hinzugefügt, Fehler hinzugefügt
Der Hintergrund ist, ich habe für 2 Ordner auf dem Server die Objektüberwachung aktiviert durch geänderte Gruppenrichtline mit WMI Filter auf Server OS, der so aussieht > select * from Win32_OperatingSystem where (ProductType = "2") OR (ProductType = "3")
Dies ist ein paar Tage her, Anfang der Woche.
damit wollte ich bewirken das nur der Server angesprochen wird mit der Gruppenrichtlinie da sich die Ordner die Überwacht werden sollen auf diesem befinden.
Die Einstellung ist die:
Computerkonfiguration (Aktiviert) --> Richtlinien-->Windows-Einstellungen-->Sicherheitseinstellungen-->Lokale Richtlinien/Überwachungsrichtlinie--
Richtlinie Einstellung
Objektzugriffsversuche überwachen Erfolgreich, Gescheitert
Richtlinie Einstellung
Objektzugriffsversuche überwachen Erfolgreich, Gescheitert
danach habe ich für besagte Ordner die SACL aktiviert über Eigenschaften--> Sicherheit--> Erweitert--> Reiter Überwachung und dort Ordner/Dateien löschen, Dateien/ordner erstellen u.ä. aktiviert.
Streng nach Lehrbuch
Aber wenn ich dort dann beispielsweise einen Ordner erstelle wird dies nicht angezeigt. Im Gegenteil, normalerweise habe ich im eventvwr zig Einträge zu Anmeldungen u.ä. die sind nun weg. Tägliche kommen einige dazu wie die oben beschriebenen aber ich habe nichts um 01.37 Uhr morgens gemacht und mir ist nicht bekannt das das system selbst diese erstellt.
Ich vermute das ich den WMI falsch gesetzt habe ( wollte das mal durchgeführt haben, lerne immer noch dazu) habs jetzt geändert und für den Bereich stumpf wieder den Server genommen aber auch das bringt nichts. Nach dem Ändern auf den Server als Objekt des Bereichs wurden einige Einträge wie die oben generiert und sonst nichts. Ordner erstellt und gelöscht in überwachten Ordner wird nicht angezeigt.
Habt ihr ne Idee was Falsch gelaufen ist mit meinem WMI Filter?
Zum anderen, habt ihr eine Idee wie ich mir anzeigen lassen kann bei welchen Ordnern eine SACL aktiv ist? Im Netz und in der Literatur finde ich nichts oder suche nicht nach den richtigen Stichwörtern.
Aber davon mal abgesehen, muss ich mir Sorgen machen wegen den Einträgen oben von 01:37 heute früh?
Gruß Tom
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 278898
Url: https://administrator.de/forum/alle-sacl-s-auf-dem-server-auflisten-und-moegliches-sicherheitsproblem-abklaeren-in-zusammenhang-mit-278898.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
1 Kommentar
Hi,
Schau Dir da mal Get-Acl und den Parameter "-Audit" an.
Powershell "als Administrator starten"
E.
Zum anderen, habt ihr eine Idee wie ich mir anzeigen lassen kann bei welchen Ordnern eine SACL aktiv ist? Im Netz und in der Literatur finde ich nichts oder suche nicht nach den richtigen Stichwörtern.
PowershellSchau Dir da mal Get-Acl und den Parameter "-Audit" an.
Powershell "als Administrator starten"
E.