12
Auditpolicy bzw. Überwachungsrichtline richtig anwenden
Sali zusammen,
ich spiele mich gerade mit der Auditpolicy. dazu habe ich eine Testdomain erstellt (1DC, 1Filesvr und 1 Client). Auf dem Filesvr habe ich einen Ordner freigegeben und dort die Audit Option für die User aktiviert. Dann habe ich in der local Policy group / Audit object access aktiviert.
Wenn ich nun mit dem Client auf eine Datei gehe und die lösche bekomme ich folgende Einträge im Eventviewer:
Das ist ja soweit super, ich sehe:
Wer auf
Welche Datei zugegriffen hat.
Wenn ich nun die Datei lösche
sehe ich zwar wer etwas gelöscht hat, weiß jedoch nicht was er gelöscht hat. Gibt es es ne möglichkeit, sich da ebenfalls den Pfad anzeigen zu lassen?
Merci
ich spiele mich gerade mit der Auditpolicy. dazu habe ich eine Testdomain erstellt (1DC, 1Filesvr und 1 Client). Auf dem Filesvr habe ich einen Ordner freigegeben und dort die Audit Option für die User aktiviert. Dann habe ich in der local Policy group / Audit object access aktiviert.
Wenn ich nun mit dem Client auf eine Datei gehe und die lösche bekomme ich folgende Einträge im Eventviewer:
Das ist ja soweit super, ich sehe:
Wer auf
Welche Datei zugegriffen hat.
Wenn ich nun die Datei lösche
sehe ich zwar wer etwas gelöscht hat, weiß jedoch nicht was er gelöscht hat. Gibt es es ne möglichkeit, sich da ebenfalls den Pfad anzeigen zu lassen?
Merci
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 132097
Url: https://administrator.de/contentid/132097
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
12 Kommentare
Neuester Kommentar
Und Du bist sicher, dass er nicht schon da steht, wenn Du runterscrollst? Ist standardäßig ohne Weiteres sichtbar.
Ja bin ich xD
Pfad stand jedoch nur bei Object Access da aber nicht wenn ein Object gelöscht wurde. Habs mit mehreren Files kontrolliert.
Pfad stand jedoch nur bei Object Access da aber nicht wenn ein Object gelöscht wurde. Habs mit mehreren Files kontrolliert.
Es gibt immer mehrere Einträge pro Löschung. In mindestens einem steht das Objekt benannt drin, hab ich eben zur Sicherheit nochmal gemacht auf 2008.
Hey,
kannst du mir zufällig die Event ID nennen? Danke
kannst du mir zufällig die Event ID nennen? Danke
ID 4663
besten Dank, werde ich morgen mal danach suchen ^^
Wie Du siehst, ist es die selbe ID, die Du oben offen hast. Keine Ahnung, was bei Dir nicht läuft.
Ja aber das ist nur ein Eintrag dafür, dass jemand auf die Datei zugegriffen hat. Bei dir steht bei: An Object was deleted der Pfad???
Ja, sag ich doch die ganze Zeit
morgen,
hab jetzt mal nen win2k3 aufgesetzt, dort bekomm ich folgenden Eintrag
Object Open:
Object Server: Security
Object Type: File
Object Name: C:\Files\Backup rohbresy\D\01_Data\Copy of Access Connections
Handle ID: 1436
Operation ID: {0,210456}
Process ID: 4
Image File Name:
Primary User Name: WIN2K3$
Primary Domain: CONTOSO
Primary Logon ID: (0x0,0x3E7)
Client User Name: User1
Client Domain: CONTOSO
Client Logon ID: (0x0,0x3287B)
Accesses: DELETE
Privileges: -
Restricted Sid Count: 0
Access Mask: 0x10000
sieht gut aus
ich installier jetzt mal testweise den win2k8 neu, glaub aber nicht das daran liegt.
---
so also neuen Server installiert, gleiches Problem
wenn ich in den Ordner navigiere:
Keywords Date and Time Source Event ID Task Category
Audit Success 23.12.2009 11:33:41 Microsoft-Windows-Security-Auditing 4663 File System "An attempt was made to access an object.
Subject:
Security ID: CONTOSO\User1
Account Name: User1
Account Domain: CONTOSO
Logon ID: 0x71978
Object:
Object Server: Security
Object Type: File
Object Name: C:\folder\Internet Explorer\iessetup.ceb
Handle ID: 0x77c
Process Information:
Process ID: 0x4
Process Name:
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000"
wenn ich dann die Datei lösche:
Keywords Date and Time Source Event ID Task Category
Audit Success 23.12.2009 11:33:41 Microsoft-Windows-Security-Auditing 4660 File System "An object was deleted.
Subject:
Security ID: CONTOSO\User1
Account Name: User1
Account Domain: CONTOSO
Logon ID: 0x71978
Object:
Object Server: Security
Handle ID: 0x77c
Process Information:
Process ID: 0x4
Process Name:
Transaction ID: {00000000-0000-0000-0000-000000000000}"
hab jetzt mal nen win2k3 aufgesetzt, dort bekomm ich folgenden Eintrag
Object Open:
Object Server: Security
Object Type: File
Object Name: C:\Files\Backup rohbresy\D\01_Data\Copy of Access Connections
Handle ID: 1436
Operation ID: {0,210456}
Process ID: 4
Image File Name:
Primary User Name: WIN2K3$
Primary Domain: CONTOSO
Primary Logon ID: (0x0,0x3E7)
Client User Name: User1
Client Domain: CONTOSO
Client Logon ID: (0x0,0x3287B)
Accesses: DELETE
Privileges: -
Restricted Sid Count: 0
Access Mask: 0x10000
sieht gut aus
ich installier jetzt mal testweise den win2k8 neu, glaub aber nicht das daran liegt.
---
so also neuen Server installiert, gleiches Problem
wenn ich in den Ordner navigiere:
Keywords Date and Time Source Event ID Task Category
Audit Success 23.12.2009 11:33:41 Microsoft-Windows-Security-Auditing 4663 File System "An attempt was made to access an object.
Subject:
Security ID: CONTOSO\User1
Account Name: User1
Account Domain: CONTOSO
Logon ID: 0x71978
Object:
Object Server: Security
Object Type: File
Object Name: C:\folder\Internet Explorer\iessetup.ceb
Handle ID: 0x77c
Process Information:
Process ID: 0x4
Process Name:
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000"
wenn ich dann die Datei lösche:
Keywords Date and Time Source Event ID Task Category
Audit Success 23.12.2009 11:33:41 Microsoft-Windows-Security-Auditing 4660 File System "An object was deleted.
Subject:
Security ID: CONTOSO\User1
Account Name: User1
Account Domain: CONTOSO
Logon ID: 0x71978
Object:
Object Server: Security
Handle ID: 0x77c
Process Information:
Process ID: 0x4
Process Name:
Transaction ID: {00000000-0000-0000-0000-000000000000}"
Kann ich nicht viel zu sagen. Wenn unter NTFS - Überwachung für diese Datei löschen überwacht wird (für jeder) und die Überwachungsrichtlinie für Objektzugriffe an ist (Erfolg und Fehlschlag), dann ist es wie bei mir - und da geht es.
ich verstehs ned 
hab bei der Freigabe everyone auf Change und Read
und beim Audit everyone auf
Delete File - Success / Failed
Delete Folder - Success / Failed
So eine Beim 2k3 gings. Naja werd jetzt nicht mehr viel Zeit investieren und dann erst nach Weihnachten weitermachen.
hab bei der Freigabe everyone auf Change und Read
und beim Audit everyone auf
Delete File - Success / Failed
Delete Folder - Success / Failed
So eine Beim 2k3 gings. Naja werd jetzt nicht mehr viel Zeit investieren und dann erst nach Weihnachten weitermachen.
