Überwachung von NTFS-Berechtigungen
Ich möchte die Veränderung von NTFS Berechtigungen für den Ordner "\\server\d$\verzeichnis" inclusive Unterordner und Dateien in einer Server 2003-AD-Domain überwachen.
Das heisst, ich möchte nachverfolgen können, welcher User oder Admin auf welchem Ordner oder welcher Datein innerhalb des angegebenen Verzeichnisses NTFS-Berechtigungen ändert, hinzufügt oder löscht.
Dazu habe ich bereits in einer entsprechenden Policy (in der Default Domain Policy meines Testsystems) unter:
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstelölungen -> Lokale Richtlinien -> Überwachungsrichtlinien
die Option "Objektzugriffsversuche überwachen" auf erfolgreich gestellt.
Anschliessend habe ich erstmal direkt auf dem 1. DC ein Verzeichnis C:\TEST und darin einige Daten erstellt.
Bei den Sicherheitseinstellungen des Verzeichnisses unter Erweitert -> Überwachung
habe ich zunächst das Administratorkonto hinzugefügt und dort die Option "Berechtigungen ändern" auf erfolgreich gestellt.
Nach einem gpupdate /force sollte doch jetzt im Eventlog "Sicherheit" auftauchen, wenn ich die NTFS-Berechtigung von C:\TEST\test.txt ändere, indem ich z.B. "Jeder -> Vollzugriff" hinzufüge.
Beim durchforsten der Logs stellte ich fest, dass zum Zeitpunkt der Änderung 9 Einträge gemacht wurden:
An-/Abm... 538 SYSTEM
An-/Abm... 538 SYSTEM
An-/Abm... 538 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
Da ich mich bisher noch nicht mit dem Überwachen von Ereignissen im AD beschäftigt habe wäre ich froh, wenn jemand mir behilflich sein könnte.
Hab ich die Policy-Einstellungen richtig konfiguriert und wie kann ich die Logs auswerten, um herauszufinden, wer wann an den NTFS-Berechtigungen von Ordnern und Dateien gebastelt hat?
Das heisst, ich möchte nachverfolgen können, welcher User oder Admin auf welchem Ordner oder welcher Datein innerhalb des angegebenen Verzeichnisses NTFS-Berechtigungen ändert, hinzufügt oder löscht.
Dazu habe ich bereits in einer entsprechenden Policy (in der Default Domain Policy meines Testsystems) unter:
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstelölungen -> Lokale Richtlinien -> Überwachungsrichtlinien
die Option "Objektzugriffsversuche überwachen" auf erfolgreich gestellt.
Anschliessend habe ich erstmal direkt auf dem 1. DC ein Verzeichnis C:\TEST und darin einige Daten erstellt.
Bei den Sicherheitseinstellungen des Verzeichnisses unter Erweitert -> Überwachung
habe ich zunächst das Administratorkonto hinzugefügt und dort die Option "Berechtigungen ändern" auf erfolgreich gestellt.
Nach einem gpupdate /force sollte doch jetzt im Eventlog "Sicherheit" auftauchen, wenn ich die NTFS-Berechtigung von C:\TEST\test.txt ändere, indem ich z.B. "Jeder -> Vollzugriff" hinzufüge.
Beim durchforsten der Logs stellte ich fest, dass zum Zeitpunkt der Änderung 9 Einträge gemacht wurden:
An-/Abm... 538 SYSTEM
An-/Abm... 538 SYSTEM
An-/Abm... 538 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
An-/Abm... 540 SYSTEM
An-/Abm... 576 SYSTEM
Da ich mich bisher noch nicht mit dem Überwachen von Ereignissen im AD beschäftigt habe wäre ich froh, wenn jemand mir behilflich sein könnte.
Hab ich die Policy-Einstellungen richtig konfiguriert und wie kann ich die Logs auswerten, um herauszufinden, wer wann an den NTFS-Berechtigungen von Ordnern und Dateien gebastelt hat?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 111501
Url: https://administrator.de/forum/ueberwachung-von-ntfs-berechtigungen-111501.html
Ausgedruckt am: 23.12.2024 um 23:12 Uhr
1 Kommentar