passau
Goto Top

Objektzugriff-Überwachung Windows Server

Hallo zusammen,
ich bekomme die Überwachung des Objektzugriffs nicht richtig hin..
ich habe einen Ordner "Home" in dem die Homelaufwerke der AD-User liegen. Diese werden über das AD-Profil verbunden.
Der Ordner "Home" liegt momentan noch auf einem Fileserver mit Windows Server 2003 R2...(ja ich weiß, ist alt).

Ich möchte, dass protokolliert wird wenn eine bestimmte Usergruppe (Admins) in eines der persönliche Homelaufwerke reinsieht,
darin etwas ändert, löscht, oder öffnet. Den "Home" Ordner selber möchte ich davon ausschließen, d.h. der Admin darf ohne Protokollierung
die Ordner darin auflisten.

Auf dem Fileserver habe ich die lokale Gruppenrichtlinie "Objektzugriffsversuche überwachen" auf Erfolgreich gesetzt.
gpo-home

Im "Home" Ordner habe ich unter Sicherheit -> Erweitert -> Überwachung die Gruppe für die Admins hinzugefügt.
home-überwachung
überwachung-home-2-be


Und nun zum Problem:
ich bekomme hunderte Logs in denen ein Zugriff auf irgendwelche Dateien (meist die Desktop.ini) in den
Homelaufwerken protokolliert wird...nur beim Öffnen des "Home" Ordners. Im Ereignis 560 steht dann folgendes:

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Objektzugriff
Ereigniskennung: 560
Datum: 29.11.2017
Zeit: 11:55:38
Benutzer: xxxxx\xxxxxx
Computer: DATEN
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security
Objekttyp: File
Objektname: D:\UserDaten\Home\xxxxx.xxxxxxxx\desktop.ini
Handlekennung: 1564
Vorgangskennung: {40,1153951916}
Prozesskennung: 611980
Abbilddateiname: C:\WINDOWS\explorer.exe
Primärer Benutzername: xxxxxx
Primäre Domäne: xxxxxxxxxxxx
Primäre Anmeldekennung: (0x28,0x44C33F28)
Clientbenutzername: -
Clientdomäne: -
Clientanmeldekennung: -
Zugriffe: READ_CONTROL
SYNCHRONIZE
Daten lesen (oder Verzeichnis auflisten)
EA lesen
Attribute lesen

Rechte: -
Beschränkte SID-Anzahl: 0
Zugriffsmaske: 0x120089


Was muss ich noch ändern, dass ich die gewünschten Logs ins Security Logfile geschrieben bekomme?

Danke für eure Hilfe

Gruß

Content-ID: 356499

Url: https://administrator.de/forum/objektzugriff-ueberwachung-windows-server-356499.html

Ausgedruckt am: 27.12.2024 um 12:12 Uhr

134464
134464 29.11.2017 aktualisiert um 12:08:15 Uhr
Goto Top
ich bekomme hunderte Logs in denen ein Zugriff auf irgendwelche Dateien (meist die Desktop.ini) in den Homelaufwerken protokolliert wird...nur beim Öffnen des "Home" Ordners
Das ist normal weil Windows sich die lokalisierten Namen und Icons aus der Desktop.ini aus allen direkten Unterordnern für die Ordner holen will face-wink. Deswegen der Zugriff bereits schon im Überordner.
Mach dir einen XPATH-Filter im Eventlog der nicht relevante Zugriffe ausfiltert.
passau
passau 29.11.2017 um 12:42:20 Uhr
Goto Top
XPATH-Filter sagt mir leider nichts...
woran erkenne ich denn aus den ganzen Einträgen welcher der richtige ist?
134464
134464 29.11.2017 aktualisiert um 12:58:06 Uhr
Goto Top
passau
passau 29.11.2017 um 13:56:51 Uhr
Goto Top
Ok, aber bevor ich mich in diese Thematik einlesen möchte ich noch gern wissen
woran ich den richtigen Eintrag erkenne. Steht dann bei Zugriff: etwas anderes als SYNCHRONIZE ?
134464
134464 29.11.2017 aktualisiert um 14:33:22 Uhr
Goto Top
Zitat von @passau:

Ok, aber bevor ich mich in diese Thematik einlesen möchte ich noch gern wissen
woran ich den richtigen Eintrag erkenne. Steht dann bei Zugriff: etwas anderes als SYNCHRONIZE ?
Für jede Art Zugriff findest du unterschiedliche Zugriffe. Z.B. besteht ein einziger Office-Dokumentschreibzugriff aus mehreren Vorgängen die da wären Lesen,Neu erstellen, Schreiben und löschen.

Ich wünsche dir viel Spaß wenn der Admin mal ein Backup mit Robocopy ziehen muss ;-P.

Setze die Zugriffsrechte entsprechend das die Admins dort nicht rein dürfen und logge statt den Zugriffen, Änderungen an den ACLs in diesen Ordnern.

Denke bei Delegation unbedingt an "Least Privilege".
passau
passau 03.12.2017 um 20:50:36 Uhr
Goto Top
Den Zugriff auf die Ordner sperren halte ich nicht für sinnvoll. Gerade letzte Woche mussten wir bei einigen Usern im Profil etwas ändern..Wie hätten wir das ohne den Zugriff machen sollen?
134464
134464 03.12.2017 aktualisiert um 22:07:41 Uhr
Goto Top
Zitat von @passau:

Den Zugriff auf die Ordner sperren halte ich nicht für sinnvoll. Gerade letzte Woche mussten wir bei einigen Usern im Profil etwas ändern..Wie hätten wir das ohne den Zugriff machen sollen?
Deswegen Delegation jedem Admin seine Rechte zuweisen die er für seine Arbeit braucht.
Nicht jeder Admin braucht auf alles Zugriff.
Bei Bedarf kann natürlich ein lokaler Admin sich die Rechte selbst nehmen aber deswegen nannte ich die Alternative das die Änderungen an den Berechtigungen geloggt werden.
Sinnvolles Logging von einzelnen Lese und Schreibzugriffen macht man stattdessen z.B. mit Filesystemwatchern.