xandros
Goto Top

Auditpolicy bzw. Überwachungsrichtline richtig anwenden

Sali zusammen,

ich spiele mich gerade mit der Auditpolicy. dazu habe ich eine Testdomain erstellt (1DC, 1Filesvr und 1 Client). Auf dem Filesvr habe ich einen Ordner freigegeben und dort die Audit Option für die User aktiviert. Dann habe ich in der local Policy group / Audit object access aktiviert.

Wenn ich nun mit dem Client auf eine Datei gehe und die lösche bekomme ich folgende Einträge im Eventviewer:

f5647c8a9c96e2759db0bda7717b1aa2

Das ist ja soweit super, ich sehe:

Wer auf
Welche Datei zugegriffen hat.

Wenn ich nun die Datei lösche


8e0dc36751acae4bff9de00785739e58

sehe ich zwar wer etwas gelöscht hat, weiß jedoch nicht was er gelöscht hat. Gibt es es ne möglichkeit, sich da ebenfalls den Pfad anzeigen zu lassen?

Merci

Content-ID: 132097

Url: https://administrator.de/forum/auditpolicy-bzw-ueberwachungsrichtline-richtig-anwenden-132097.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

DerWoWusste
DerWoWusste 21.12.2009 um 17:24:14 Uhr
Goto Top
Und Du bist sicher, dass er nicht schon da steht, wenn Du runterscrollst? Ist standardäßig ohne Weiteres sichtbar.
Xandros
Xandros 21.12.2009 um 17:26:12 Uhr
Goto Top
Ja bin ich xD

Pfad stand jedoch nur bei Object Access da aber nicht wenn ein Object gelöscht wurde. Habs mit mehreren Files kontrolliert.
DerWoWusste
DerWoWusste 21.12.2009 um 17:51:36 Uhr
Goto Top
Es gibt immer mehrere Einträge pro Löschung. In mindestens einem steht das Objekt benannt drin, hab ich eben zur Sicherheit nochmal gemacht auf 2008.
Xandros
Xandros 21.12.2009 um 20:14:07 Uhr
Goto Top
Hey,

kannst du mir zufällig die Event ID nennen? Danke face-smile
DerWoWusste
DerWoWusste 21.12.2009 um 20:27:19 Uhr
Goto Top
ID 4663
Xandros
Xandros 21.12.2009 um 20:49:51 Uhr
Goto Top
besten Dank, werde ich morgen mal danach suchen ^^
DerWoWusste
DerWoWusste 21.12.2009 um 21:00:18 Uhr
Goto Top
Wie Du siehst, ist es die selbe ID, die Du oben offen hast. Keine Ahnung, was bei Dir nicht läuft.
Xandros
Xandros 21.12.2009 um 21:06:33 Uhr
Goto Top
Ja aber das ist nur ein Eintrag dafür, dass jemand auf die Datei zugegriffen hat. Bei dir steht bei: An Object was deleted der Pfad???
DerWoWusste
DerWoWusste 21.12.2009 um 21:13:34 Uhr
Goto Top
Ja, sag ich doch die ganze Zeit face-smile
Xandros
Xandros 23.12.2009 um 09:49:32 Uhr
Goto Top
morgen,

hab jetzt mal nen win2k3 aufgesetzt, dort bekomm ich folgenden Eintrag

Object Open:
Object Server: Security
Object Type: File
Object Name: C:\Files\Backup rohbresy\D\01_Data\Copy of Access Connections
Handle ID: 1436
Operation ID: {0,210456}
Process ID: 4
Image File Name:
Primary User Name: WIN2K3$
Primary Domain: CONTOSO
Primary Logon ID: (0x0,0x3E7)
Client User Name: User1
Client Domain: CONTOSO
Client Logon ID: (0x0,0x3287B)
Accesses: DELETE

Privileges: -
Restricted Sid Count: 0
Access Mask: 0x10000

sieht gut aus face-smile

ich installier jetzt mal testweise den win2k8 neu, glaub aber nicht das daran liegt.

---

so also neuen Server installiert, gleiches Problem

wenn ich in den Ordner navigiere:

Keywords Date and Time Source Event ID Task Category
Audit Success 23.12.2009 11:33:41 Microsoft-Windows-Security-Auditing 4663 File System "An attempt was made to access an object.

Subject:
Security ID: CONTOSO\User1
Account Name: User1
Account Domain: CONTOSO
Logon ID: 0x71978

Object:
Object Server: Security
Object Type: File
Object Name: C:\folder\Internet Explorer\iessetup.ceb
Handle ID: 0x77c

Process Information:
Process ID: 0x4
Process Name:

Access Request Information:
Accesses: DELETE

Access Mask: 0x10000"


wenn ich dann die Datei lösche:

Keywords Date and Time Source Event ID Task Category
Audit Success 23.12.2009 11:33:41 Microsoft-Windows-Security-Auditing 4660 File System "An object was deleted.

Subject:
Security ID: CONTOSO\User1
Account Name: User1
Account Domain: CONTOSO
Logon ID: 0x71978

Object:
Object Server: Security
Handle ID: 0x77c

Process Information:
Process ID: 0x4
Process Name:
Transaction ID: {00000000-0000-0000-0000-000000000000}"
DerWoWusste
DerWoWusste 23.12.2009 um 14:16:33 Uhr
Goto Top
Kann ich nicht viel zu sagen. Wenn unter NTFS - Überwachung für diese Datei löschen überwacht wird (für jeder) und die Überwachungsrichtlinie für Objektzugriffe an ist (Erfolg und Fehlschlag), dann ist es wie bei mir - und da geht es.
Xandros
Xandros 23.12.2009 um 16:45:09 Uhr
Goto Top
ich verstehs ned face-sad

hab bei der Freigabe everyone auf Change und Read
und beim Audit everyone auf
Delete File - Success / Failed
Delete Folder - Success / Failed

So eine Beim 2k3 gings. Naja werd jetzt nicht mehr viel Zeit investieren und dann erst nach Weihnachten weitermachen.