DFS Zugriffe Protokollieren

Mitglied: CyberDelia

CyberDelia (Level 1) - Jetzt verbinden

11.10.2011 um 12:36 Uhr, 4642 Aufrufe, 5 Kommentare

Hallo, ich bräuchte bitte Hilfe bei folgendem Sicherheitsproblem im DFS

Hallo Alle zusammen,

wir betreiben bei einem Kunden ein DFS mit 3 x 2008 R2 Servern.
Momentan besteht der Verdacht auf datenklau. Der Kunde benötigt nun ein monitoring in folgender Form:

Username hat am Datum und Uhrezeit die Datei blablubb.doc geöffnet/gespeichert usw....

kennt hier jemand ein Drittanbietertool welches soetwas ermöglicht? Filemon funktioniert hier leider nicht. Dieses zeigt nur loakle Zugriffe an, keine Zugriffe die auf die Fileshares erfolgen.

Oder hat jemand eine sinnvolle Lösung mit Boardmitteln?

Vielen lieben Dank

Bastian
Mitglied: Logan000
11.10.2011 um 13:37 Uhr
Moin Moin

Wie wäre es mit Überwachungssrichtlinien?

Gruß L.
Bitte warten ..
Mitglied: CyberDelia
11.10.2011 um 13:59 Uhr
Danke vielmals, damit habe ich es versucht. Aber ich muss sagen dass ich momentan am verzweifeln bin.
In der lokalen Überwachungsrichtlinie des Servers sind die Einstellungen für Objektzugriffsversuche überwachen ausgegraut.
Objektzugriffsversuche protokoliieren ist deaktiviert. ích kann es leider nicht aktivieren.
Auf anderen Servern in der selben domain (z.B. Exchange) funktioniert es einwandfrei.
Ich sehe auch keine GPO die das verursachen könnte.Liegt das eventuell am DFS?
Bitte warten ..
Mitglied: kaiand1
11.10.2011 um 14:53 Uhr
Moin
Viel Helfen wird es aber nicht denn durch die Zugriffe siehst d ja nur wer was wann geöffent hat.
Evtl ist ja auch nur ein Mitarbeiter Interresiert.... Ein Datendiebstahl kannst du so nicht Beweisen. Was ist wenn jemand anders des Passwort erspäht hat und darüber die Daten zieht?
Wie sieht denn eure Absicherung aus?
Irgendwie müssen die Daten ja von euch weggekommen sein.
USB Sticks? per Mail? CD Brenner ? Laptop ??? ect..
evtl die Zugriffe auf Bestimmte Daten verschärfen/kleineren Userkreis wählen...
Bitte warten ..
Mitglied: DerWoWusste
11.10.2011 um 20:26 Uhr
Moin.

Wenn ausgegraut, dann wird das von einer Domänenpolicy gesetzt. Nutze rsop.msc am Server um zu sehen, welche Policy das ist und ändere die bzw. nimm den Server von Ihr aus. Zudem musst Du nach dem Aktivieren der Policy noch die NTFS-Rechte (erweitert ->Überwachung) auf den DFS-Shares anpassen und testen.
Bitte warten ..
Mitglied: CyberDelia
13.10.2011 um 12:14 Uhr
Okay das hat geholfen. Danke. Der Admin des Kunden hat aus der Maschine einen weiteren DC gemacht. Dieser hat natürlich die Default Domain controller Policy gezogen ;O))
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Mitteilung an alle bei Störungen in der IT
gelöst David.B2D45Vor 1 TagFrageMicrosoft31 Kommentare

Hallo Forum, ich bin auf der Suche nach einem Programm / Tool mit dem ich Text (Laufschrift) auf allen (gewünschten) PC's / Benutzer im ...

Exchange Server
Exchange Zero Day Hack - Wie entfernen?
gelöst mtaiitVor 11 StundenFrageExchange Server17 Kommentare

Hallo, bei mir hat es einige Kundenserver getroffen Weiß einer wie ich diese WebShells wieder loswerde? Das löschen der betroffenen .aspx Dateien wird wohl ...

E-Mail
Kann man mit SPF Mails für eine Domäne vollständig verbieten?
gelöst StefanKittelVor 23 StundenFrageE-Mail17 Kommentare

Hallo, viele Firmen haben ja zusätzliche Domänen. Als Web- und oder Mail-weiterleitung. Es werden also niemals Emails damit gesendet werden. kann man mit einem ...

Server-Hardware
Firmware-Updates auf Servern
redhorseVor 1 TagFrageServer-Hardware7 Kommentare

Guten Morgen, die Server-Hersteller stellen bekanntlich regelmäßig Firmware- und Treiberupdates für deren Serverhardware bereit, diese können z.B. bei Dell als Dell EMC Server Update ...

Linux
Windows auf Dualbootrechner entfernen und Linux die komplette Platte zur Verfügung stellen
N8chtfalterVor 1 TagFrageLinux6 Kommentare

Hallo Linux Profis, ich habe einen Laptop auf dem ursprünglichen Windows 10 installiert war, und ist, ich habe vor einem Jahr Ubuntu testhalber als ...

Router & Routing
Routing öffentliche IP-Adresse-Traffic per BGP im internal-Network
gelöst jescheroVor 22 StundenFrageRouter & Routing2 Kommentare

Guten Abend alle zusammen, ich habe ein kleines Problem beim Routing in pfSense. Mein aktuelles Aufbau ist folgenden: Ich habe eine pfSense-VM und zwei ...

Windows Server
Domänenadmin kann kein Zertifikat anfordern
noodellsVor 1 TagFrageWindows Server6 Kommentare

Hallo Zusammen, ich habe ein Problem beim Finden einer Einstellung. Zuerst einmal der Stand: Es gibt eine Windows CA und Domaincontroller und alles funktionierte ...

Exchange Server
Windows Server 2019 + Exchange Server 2019 (Probleme mit Pop3)
gelöst aristonVor 1 TagFrageExchange Server4 Kommentare

Hallo zusammen, ich habe gerade angefangen, mit dem Exchange Server 2019 in der Demoversion zu arbeiten und folge Schritt für Schritt bei der notwendigen ...