24
Ordner NTFS-Rechte überwachen
Hallo,
ich suche ein Tool womit ich einen Ordner überwachen kann. Wichtig wäre, dass ich Änderungen an den NTFS-Rechten mitbekomme und wenn jemand den Besitz des Ordners übernimmt. Idealerweise ist das Tool mit einem Kennwort geschützt, damit es nicht einfach deaktiviert werden kann.
Gibt es sowas?
Danke!
Chris
ich suche ein Tool womit ich einen Ordner überwachen kann. Wichtig wäre, dass ich Änderungen an den NTFS-Rechten mitbekomme und wenn jemand den Besitz des Ordners übernimmt. Idealerweise ist das Tool mit einem Kennwort geschützt, damit es nicht einfach deaktiviert werden kann.
Gibt es sowas?
Danke!
Chris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 386234
Url: https://administrator.de/contentid/386234
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
24 Kommentare
Neuester Kommentar
Servus,
und Windows-Bordmittel (NTFS-Auditing) sind nicht ausreichend?
Gruß
VGem-e
und Windows-Bordmittel (NTFS-Auditing) sind nicht ausreichend?
Gruß
VGem-e
Nicht mit meinem Kenntnisstand.
Es geht darum, dass die Überwachung nicht einfach von einem anderen Administrator deaktiviert werden kann.
Es geht darum, dass die Überwachung nicht einfach von einem anderen Administrator deaktiviert werden kann.
Zitat von @chris123:
Nicht mit meinem Kenntnisstand.
Es geht darum, dass die Überwachung nicht einfach von einem anderen Administrator deaktiviert werden kann.
Nun ein lokaler Admin kann alles was Lokal gesetzt ist rückgängig machen, aber dir sollte bewusst sein das man auch solche Änderungen an diesen Einstellungen ebenfalls per Auditing mitloggen lassen kann, man also auf jeden Fall was mitbekommt wenn jemand daran was fummelt. Wenn man dann noch einen Trigger setzt der Benachrichtigungen verschickt kannst du dem auf die Finger klopfen.Nicht mit meinem Kenntnisstand.
Es geht darum, dass die Überwachung nicht einfach von einem anderen Administrator deaktiviert werden kann.
Aber primär gilt: Wie immer sollten Admins nur die Rechte per Delegation gesetzt bekommen die sie wirklich benötigen, dann hast du diese Probleme erst gar nicht!!: Es heißt nicht umsonst Least Privilege.
Hi,
E.
Es geht darum, dass die Überwachung nicht einfach von einem anderen Administrator deaktiviert werden kann.
Man muss nicht gleich Administrator auf einem Fileserver sein, nur um die NTFS-Berechtigungen von dessen Dateien und Ordner bearbeiten zu können. Sogar die Besitzübernahme geht ohne Adminrechte.E.
Hallo,
nur so als Info: Wie man eine Frage richtig stellt.
Du lieferst NULL Informationen.
Also, welches Betriebssystem?
Denn mit dem NTFS Auditing vom Windows Server kann man sehr wohl die Änderungen an NTFS-Berechtigungen überwachen.
Alternative geht es auch mit FSRM (File Services Ressource Management), welches bei Windows Server 2012 als Rolle installiert werden kann.
Ein Administrator kann aufgrund seiner Berechtigungen den Besitz übernehmen und somit die Berechtigungen ändern.
Was man machen kann, ist die Delegation.
Gruss Penny
nur so als Info: Wie man eine Frage richtig stellt.
Du lieferst NULL Informationen.
Also, welches Betriebssystem?
Denn mit dem NTFS Auditing vom Windows Server kann man sehr wohl die Änderungen an NTFS-Berechtigungen überwachen.
Alternative geht es auch mit FSRM (File Services Ressource Management), welches bei Windows Server 2012 als Rolle installiert werden kann.
Zitat von @chris123:
Es geht darum, dass die Überwachung nicht einfach von einem anderen Administrator deaktiviert werden kann.
Und ein Admin ist ein Admin ist ein Admin.... - PUNKTEs geht darum, dass die Überwachung nicht einfach von einem anderen Administrator deaktiviert werden kann.
Ein Administrator kann aufgrund seiner Berechtigungen den Besitz übernehmen und somit die Berechtigungen ändern.
Was man machen kann, ist die Delegation.
Gruss Penny
Sorry, dass der Informationsgehalt so rar ist.
Ursprünglich hattte ich aber nach einem Tool gefragt und da wären die Systeminformationen nicht so wichtig. Mir ist schon klar, dass ich das mit Bordmitteln machen kann. Aber mein Kollege soll schon ein vollwertiger Admin sein, damit er vernünftig arbeiten kann und dann ist auch klar, dass der berühmte Spruch "ein admin ist ein admin usw" zum tragen kommt. Folglich könnte er die Überwachnung dann an x Stellen übergehen.
Deswegen hatte ich ja nach einem Tools gefragt, welches idealerweise mit einem Kennwort geschützt werden kann.
Ursprünglich hattte ich aber nach einem Tool gefragt und da wären die Systeminformationen nicht so wichtig. Mir ist schon klar, dass ich das mit Bordmitteln machen kann. Aber mein Kollege soll schon ein vollwertiger Admin sein, damit er vernünftig arbeiten kann und dann ist auch klar, dass der berühmte Spruch "ein admin ist ein admin usw" zum tragen kommt. Folglich könnte er die Überwachnung dann an x Stellen übergehen.
Deswegen hatte ich ja nach einem Tools gefragt, welches idealerweise mit einem Kennwort geschützt werden kann.
Deswegen hatte ich ja nach einem Tools gefragt, welches idealerweise mit einem Kennwort geschützt werden kann.
OK, aber solch "ein Tool" dann kann er dann auch "übergehen". Als Admin kann man Dienste beenden, Tasks stoppen usw.Du könntest mit Bordmitteln überwachen und die dabei erzeugten Ereignisse per Trigger abfangen und in einen anderen Speicher schreiben lassen, auf welchen er keinen Zugriff hat. Aber selbst das könnte er kurzzeitig aussetzen lassen, um eine Weiterleitung der Ereignisse zu verhindern.
Echt schlimm! 
Ich komme zu dem Thema nicht wirklich zu einer Lösung!
Unser Admin soll wie gesagt alles machen können. Wir sind nicht so groß, dass es Sinn macht, die Admin-Tätigkeiten zu unterteilen.
Nur eben ein Ordner ist heilig und auf den muss/darf nur die Unternehmensleitung zugreifen (Gehälter usw.). Wäre ja auch einfach zu realisieren. Aber unser Admin kann den Besitz übernehmen und sich die Rechte für den Ordner geben. Und deswegen will ich irgendwie die Besitzverwaltung überwachen.
Ich komme zu dem Thema nicht wirklich zu einer Lösung!
Unser Admin soll wie gesagt alles machen können. Wir sind nicht so groß, dass es Sinn macht, die Admin-Tätigkeiten zu unterteilen.
Nur eben ein Ordner ist heilig und auf den muss/darf nur die Unternehmensleitung zugreifen (Gehälter usw.). Wäre ja auch einfach zu realisieren. Aber unser Admin kann den Besitz übernehmen und sich die Rechte für den Ordner geben. Und deswegen will ich irgendwie die Besitzverwaltung überwachen.
Und wenn ich Admin bin, habe ich auch die Backup-Operator Rechte und kann den ganzen Ordner sichern (mit allen Rechten).
Dann stelle ich die Sicherung irgendwo wieder her und kann ganz in Ruhe die Rechte zurücksetzen und Du bekommst nichts davon mit, weil es ja woanders passiert.
Also ist und bleibt das Security Theater.
Dann stelle ich die Sicherung irgendwo wieder her und kann ganz in Ruhe die Rechte zurücksetzen und Du bekommst nichts davon mit, weil es ja woanders passiert.
Also ist und bleibt das Security Theater.
Ein Drama
Aber trotzdem danke für Eure Hilfe!
Aber trotzdem danke für Eure Hilfe!
Wir haben Dein Problem schon verstanden. Du bist damit nicht allein auf der Welt. Und auch nicht der Erste, welchen wir erklären müssen, dass das Problem in solchen Fällen nicht in der Technik sondern im technischen Ansatz liegt.
Überdenke Deinen Ansatz. Wenn diese Daten wirklich so schützenwert sind und dieser Admin gleichzeitig Administrator-Rechte für den Speicherort innehaben soll/muss, dann musst Du diese Daten anders schützen. Verschlüsseln z.B.. Oder einen dedizierten Server (NAS) für diese Daten. Oder eine eingebundenen VHDX-Datei, welche in sich mit BitLocker verschlüsselt ist. Oder oder oder.
"Mr. Pesident, unsere Raketen sind jetzt auch unterwegs."
"OK, gut. Wird es schlimm sein?"
"Hm, ja, möglichwerrweise, Mr. President."
"Mr. Pesident, machen Sie sich keine Sorgen um die Öffentliche Meinung. We Didn't Start the Fire."
Überdenke Deinen Ansatz. Wenn diese Daten wirklich so schützenwert sind und dieser Admin gleichzeitig Administrator-Rechte für den Speicherort innehaben soll/muss, dann musst Du diese Daten anders schützen. Verschlüsseln z.B.. Oder einen dedizierten Server (NAS) für diese Daten. Oder eine eingebundenen VHDX-Datei, welche in sich mit BitLocker verschlüsselt ist. Oder oder oder.
"Mr. Pesident, unsere Raketen sind jetzt auch unterwegs."
"OK, gut. Wird es schlimm sein?"
"Hm, ja, möglichwerrweise, Mr. President."
"Mr. Pesident, machen Sie sich keine Sorgen um die Öffentliche Meinung. We Didn't Start the Fire."
Zitat von @chris123:
Unser Admin soll wie gesagt alles machen können. Wir sind nicht so groß, dass es Sinn macht, die Admin-Tätigkeiten zu unterteilen.
Das hat mit Größe nichts zu tun sondern mit Vertrauen wenn du jemanden globale Rechte vergibst! Snowden lässt grüßen ....Unser Admin soll wie gesagt alles machen können. Wir sind nicht so groß, dass es Sinn macht, die Admin-Tätigkeiten zu unterteilen.
Und deswegen will ich irgendwie die Besitzverwaltung überwachen.
Kannst du ja, Änderungen an Sicherheitseinstellungen kannst du ebenfalls loggen. Er kann zwar das Log löschen, aber das fällt sofort auf, selbst das Ereignis kannst du überwachen.Möglichkeiten gibt es viele du musst sie nur "richtig" umsetzen. Heulen bringt dir da nichts, sondern gute Planung!
Das ist meist nur Faulheit jemandem alle Rechte zu vergeben. Die rächt sich dann am Tagesende meist immer.
Was mir jetzt nur dazu einfällt, ist der Einsatz von FSRM. Wie schon geschrieben, sollte der Windows Server dann 2012 sein.
Zumindest kannst Du dort E-Mailbenachrichtigung einrichten, wenn jemand die Berechtigungen modifiziert.
Aber trotzdem danke für Eure Hilfe!
Nun was für uns Humans (Menschen) logisch erscheint bzw. machbar ist, heißt nicht, daß es technisch umsetzbar ist.
Zumindest kannst Du dort E-Mailbenachrichtigung einrichten, wenn jemand die Berechtigungen modifiziert.
Aber trotzdem danke für Eure Hilfe!
Zitat von @137084:
Möglichkeiten gibt es viele du musst sie nur "richtig" umsetzen. Heulen bringt dir da nichts, sondern gute Planung!
Das ist meist nur Faulheit jemandem alle Rechte zu vergeben. Die rächt sich dann am Tagesende meist immer.
Ich kann es zumindest aus menschlicher Sicht nachvollziehen. Der neue/zusätzliche(?) Admin soll möglichst alle Berechtigungen haben, damit er seiner Arbeit nachgehen kann. Aber Geschäftsgeheimnisse soll er nicht anfassen. Wenn es eine Person ist, welche den Datenschutz respektiert, dann macht er es nicht.Zitat von @chris123:
Unser Admin soll wie gesagt alles machen können. Wir sind nicht so groß, dass es Sinn macht, die Admin-Tätigkeiten zu unterteilen.
Das hat mit Größe nichts zu tun sondern mit Vertrauen wenn du jemanden globale Rechte vergibst! Snowden lässt grüßen ....Unser Admin soll wie gesagt alles machen können. Wir sind nicht so groß, dass es Sinn macht, die Admin-Tätigkeiten zu unterteilen.
Und deswegen will ich irgendwie die Besitzverwaltung überwachen.
Kannst du ja, Änderungen an Sicherheitseinstellungen kannst du ebenfalls loggen. Er kann zwar das Log löschen, aber das fällt sofort auf, selbst das Ereignis kannst du überwachen.Möglichkeiten gibt es viele du musst sie nur "richtig" umsetzen. Heulen bringt dir da nichts, sondern gute Planung!
Das ist meist nur Faulheit jemandem alle Rechte zu vergeben. Die rächt sich dann am Tagesende meist immer.
Allerdings erlebe ich immer wieder Admins, welche grade zwanghaft nach solchen Informationen suchen.
Ich hatte erst letzte Woche mit einem solchen Admin zu tun. Trotz persönlichem Gesrpäch zwischen ihm und mir hat es nichts gefruchtet.
Da gab es dann ein Gespräch mit dem Betriebsrat, Revision und Geschäftsführung. Ich hoffe er hat die Lektion gelernt.
Ich lasse mir nämlich nicht den Ruf der guten und vertrauenswürdigen IT von solchen Leuten kaputt machen.
Und ganz ehrlich gesagt, ich weiß ich könnte..., ABER ich will es nicht.!!! Denn was ich nicht weiß macht mich nicht heiß.
Auch wenn ich unter Umständen an Informationen an Informationen gelange, wo ich für mich Benefit erlangen könnte.
Ich mache meine Arbeit und versuche dem Unternehmen bestens zu unterstützen. Und wenn ich am Abend nach Hause gehe, weiß ich daß ich mein bestmögliches gegeben habe. Ich will mich nicht noch mit dem Ballast geschäftigen.
So sehe ich es. Wir sind nicht nur Dienstleister für den Kunden / die Unternehmen, sondern auch meiner Meinung nach auch dem Datenschutz verpflichtet. So sehe ich das.
Gruss Penny
11
Servus,
@Penny.Cilin:
full ack!!!
Ich sehe mich, auch als Mitarbeiter des AG, als internen DL für die Kollegen, die bei uns die IT benutzen.
Und dazu gehört für mich persönlich auch, dass ich abends zufrieden sagen kann, dass der Tag wieder interessant/spannend war und ich die angefallenen Tätigkeiten bestmöglich lösen konnte.
Gruß
@Penny.Cilin:
full ack!!!
Ich sehe mich, auch als Mitarbeiter des AG, als internen DL für die Kollegen, die bei uns die IT benutzen.
Und dazu gehört für mich persönlich auch, dass ich abends zufrieden sagen kann, dass der Tag wieder interessant/spannend war und ich die angefallenen Tätigkeiten bestmöglich lösen konnte.
Gruß
1
@emeriks und @VGem-e
danke für Eure Zustimmung.
Das Entscheidende für mich ist der Zusatz
Und manchmal habe ich das Gefühl, daß manche nur deshalb als Admin tätig sind, um an solche Daten ranzukommen.
Auch ein Fall aus der Vergangenheit: Die Daten des Betriebsrates waren (sind vielleicht noch) bei einem Unternehmen als Freigabe eingerichtet.
Ja, die Berechtigungen waren vergeben. Ich habe als Externer den Betriebsrat auf das Problem mit dem Datenschutz hingewiesen.
Man hat dieses Problem auch eingesehen. Vom IT Leiter gab es dann einen auf den Deckel, wie mir einfallen könnte, den Betriebsrat zu sensibilisieren. Weil er hätte dem Betriebsrat dazu geraten.
Meine Antwort darauf war, ob er in den Daten des Betriebsrates bzw. auch bei der Geschäftsleitung spioniere. Ein pflichtbewußter Administrator hätte dem Betriebsrat nämlich etwas anderes empfohlen. Nämlich einen Standalone PC mit lokalen Daten, ggf. noch auf externe Datenträger gesichert. Und trotzdem bei Problemen den IT Support für dieses gerät geleistet.
Gruss Penny
danke für Eure Zustimmung.
Das Entscheidende für mich ist der Zusatz
sondern auch meiner Meinung nach auch dem Datenschutz verpflichtet.
Das wird leider Gottes von einigen Admins völlig außer Acht gelassen.Und manchmal habe ich das Gefühl, daß manche nur deshalb als Admin tätig sind, um an solche Daten ranzukommen.
Auch ein Fall aus der Vergangenheit: Die Daten des Betriebsrates waren (sind vielleicht noch) bei einem Unternehmen als Freigabe eingerichtet.
Ja, die Berechtigungen waren vergeben. Ich habe als Externer den Betriebsrat auf das Problem mit dem Datenschutz hingewiesen.
Man hat dieses Problem auch eingesehen. Vom IT Leiter gab es dann einen auf den Deckel, wie mir einfallen könnte, den Betriebsrat zu sensibilisieren. Weil er hätte dem Betriebsrat dazu geraten.
Meine Antwort darauf war, ob er in den Daten des Betriebsrates bzw. auch bei der Geschäftsleitung spioniere. Ein pflichtbewußter Administrator hätte dem Betriebsrat nämlich etwas anderes empfohlen. Nämlich einen Standalone PC mit lokalen Daten, ggf. noch auf externe Datenträger gesichert. Und trotzdem bei Problemen den IT Support für dieses gerät geleistet.
Gruss Penny
Ich bin ganz Eurer Meinung. Ich für meinen Teil bin seit 13 Jahren für das Unternehmen und für 60 MA zuständig und habe nicht einmal z.B. die Gehälter angeschaut. Interessiert mich einfach nicht!
Danke aber für die rege Diskussion. Ich werte das für mich mal aus und letztlich ist es eher die rechtliche Absicherung. Also Arbeitsanweisung geschrieben und wenn rauskommt, das die Nase doch in den Ordner gesteckt wurde, ist sie halt ab.
Danke aber für die rege Diskussion. Ich werte das für mich mal aus und letztlich ist es eher die rechtliche Absicherung. Also Arbeitsanweisung geschrieben und wenn rauskommt, das die Nase doch in den Ordner gesteckt wurde, ist sie halt ab.
Zitat von @chris123:
Danke aber für die rege Diskussion. Ich werte das für mich mal aus und letztlich ist es eher die rechtliche Absicherung. Also Arbeitsanweisung geschrieben und wenn rauskommt, das die Nase doch in den Ordner gesteckt wurde, ist sie halt ab.
Nun Du hast immer noch nicht geschrieben, welche Server-Version eingesetzt wird.Danke aber für die rege Diskussion. Ich werte das für mich mal aus und letztlich ist es eher die rechtliche Absicherung. Also Arbeitsanweisung geschrieben und wenn rauskommt, das die Nase doch in den Ordner gesteckt wurde, ist sie halt ab.
Somit können wir keine weiteren Hilfestellungen geben, außer FSRM bzgl. Delegation.
Gruss Penny
Sorry!
Server 2012 kein R2. Ich habe FSRM gerade installiert und schaue es mir an ...
Die VHD mit Bitlocker ist nicht so der Kracher, wenn mehrere darauf zugreifen müssen.
Server 2012 kein R2. Ich habe FSRM gerade installiert und schaue es mir an ...
Die VHD mit Bitlocker ist nicht so der Kracher, wenn mehrere darauf zugreifen müssen.
Was ich leider nicht finden kann, ist die Überwachung von NTFS-Rechten im FSRM.
Was ich leider nicht finden kann, ist die Überwachung von NTFS-Rechten im FSRM.
Das spricht nicht für Dich ... NTFS Überwachung
Ok, das war mir klar. Aber ich dachte, dass kann ich speziell im FSRM machen.
