DFS Zugriffe Protokollieren
Hallo, ich bräuchte bitte Hilfe bei folgendem Sicherheitsproblem im DFS
Hallo Alle zusammen,
wir betreiben bei einem Kunden ein DFS mit 3 x 2008 R2 Servern.
Momentan besteht der Verdacht auf datenklau. Der Kunde benötigt nun ein monitoring in folgender Form:
Username hat am Datum und Uhrezeit die Datei blablubb.doc geöffnet/gespeichert usw....
kennt hier jemand ein Drittanbietertool welches soetwas ermöglicht? Filemon funktioniert hier leider nicht. Dieses zeigt nur loakle Zugriffe an, keine Zugriffe die auf die Fileshares erfolgen.
Oder hat jemand eine sinnvolle Lösung mit Boardmitteln?
Vielen lieben Dank
Bastian
wir betreiben bei einem Kunden ein DFS mit 3 x 2008 R2 Servern.
Momentan besteht der Verdacht auf datenklau. Der Kunde benötigt nun ein monitoring in folgender Form:
Username hat am Datum und Uhrezeit die Datei blablubb.doc geöffnet/gespeichert usw....
kennt hier jemand ein Drittanbietertool welches soetwas ermöglicht? Filemon funktioniert hier leider nicht. Dieses zeigt nur loakle Zugriffe an, keine Zugriffe die auf die Fileshares erfolgen.
Oder hat jemand eine sinnvolle Lösung mit Boardmitteln?
Vielen lieben Dank
Bastian
5 Antworten
- LÖSUNG Logan000 schreibt am 11.10.2011 um 13:37:50 Uhr
- LÖSUNG CyberDelia schreibt am 11.10.2011 um 13:59:32 Uhr
- LÖSUNG DerWoWusste schreibt am 11.10.2011 um 20:26:40 Uhr
- LÖSUNG CyberDelia schreibt am 13.10.2011 um 12:14:04 Uhr
- LÖSUNG DerWoWusste schreibt am 11.10.2011 um 20:26:40 Uhr
- LÖSUNG CyberDelia schreibt am 11.10.2011 um 13:59:32 Uhr
- LÖSUNG kaiand1 schreibt am 11.10.2011 um 14:53:23 Uhr
LÖSUNG 11.10.2011 um 13:37 Uhr
LÖSUNG 11.10.2011 um 13:59 Uhr
Danke vielmals, damit habe ich es versucht. Aber ich muss sagen dass ich momentan am verzweifeln bin.
In der lokalen Überwachungsrichtlinie des Servers sind die Einstellungen für Objektzugriffsversuche überwachen ausgegraut.
Objektzugriffsversuche protokoliieren ist deaktiviert. ích kann es leider nicht aktivieren.
Auf anderen Servern in der selben domain (z.B. Exchange) funktioniert es einwandfrei.
Ich sehe auch keine GPO die das verursachen könnte.Liegt das eventuell am DFS?
In der lokalen Überwachungsrichtlinie des Servers sind die Einstellungen für Objektzugriffsversuche überwachen ausgegraut.
Objektzugriffsversuche protokoliieren ist deaktiviert. ích kann es leider nicht aktivieren.
Auf anderen Servern in der selben domain (z.B. Exchange) funktioniert es einwandfrei.
Ich sehe auch keine GPO die das verursachen könnte.Liegt das eventuell am DFS?
LÖSUNG 11.10.2011 um 14:53 Uhr
Moin
Viel Helfen wird es aber nicht denn durch die Zugriffe siehst d ja nur wer was wann geöffent hat.
Evtl ist ja auch nur ein Mitarbeiter Interresiert.... Ein Datendiebstahl kannst du so nicht Beweisen. Was ist wenn jemand anders des Passwort erspäht hat und darüber die Daten zieht?
Wie sieht denn eure Absicherung aus?
Irgendwie müssen die Daten ja von euch weggekommen sein.
USB Sticks? per Mail? CD Brenner ? Laptop ??? ect..
evtl die Zugriffe auf Bestimmte Daten verschärfen/kleineren Userkreis wählen...
Viel Helfen wird es aber nicht denn durch die Zugriffe siehst d ja nur wer was wann geöffent hat.
Evtl ist ja auch nur ein Mitarbeiter Interresiert.... Ein Datendiebstahl kannst du so nicht Beweisen. Was ist wenn jemand anders des Passwort erspäht hat und darüber die Daten zieht?
Wie sieht denn eure Absicherung aus?
Irgendwie müssen die Daten ja von euch weggekommen sein.
USB Sticks? per Mail? CD Brenner ? Laptop ??? ect..
evtl die Zugriffe auf Bestimmte Daten verschärfen/kleineren Userkreis wählen...
LÖSUNG 11.10.2011 um 20:26 Uhr
Moin.
Wenn ausgegraut, dann wird das von einer Domänenpolicy gesetzt. Nutze rsop.msc am Server um zu sehen, welche Policy das ist und ändere die bzw. nimm den Server von Ihr aus. Zudem musst Du nach dem Aktivieren der Policy noch die NTFS-Rechte (erweitert ->Überwachung) auf den DFS-Shares anpassen und testen.
Wenn ausgegraut, dann wird das von einer Domänenpolicy gesetzt. Nutze rsop.msc am Server um zu sehen, welche Policy das ist und ändere die bzw. nimm den Server von Ihr aus. Zudem musst Du nach dem Aktivieren der Policy noch die NTFS-Rechte (erweitert ->Überwachung) auf den DFS-Shares anpassen und testen.
LÖSUNG 13.10.2011 um 12:14 Uhr