0x32f1
Goto Top

Windows Filesystemüberwachung - Löschen von Dateien protokollieren

Hallo,

ich versuche seit geraumer Zeit, eine Freigabe mit Windows-Bordmitteln zu überwachen, sprich: Schreibe in die Ereignisanzeige\Sicherheit, wenn eine Datei von wem gelöscht wurde. Mehr nicht. Scheinbar ist bei mir irgendetwas schiefgelaufen: die Überwachung loggt nicht nur "Löschen" und ist schon garnicht nur den von mir bestimmten Share beschränkt.

Konfiguration:
- SACL nur am Share in der Überwachung eingetragen, nur bei Löschen bzw. Dateien und Unterordner löschen
- GPO am DC, derzeit limitiert auf einen Server, mit aktivierter Objektüberwachung

Share:
727f2cb943a7f2f78881e25cb13144d7

GPO:
a58c1c8a8139cab520bb6d0dd7ac11ab

In der Ereignisanzeige finden sich dann pro Sekunde etliche Einträge, alleine von jedem Zugriffsversuch auf den Server (es laufen einige andere Sachen dorthin, die Zugriffe passen ansich).

Ereignisanzeige:
9409c798fdca4961e2526eca663ed56d

Habe mich schon auf etlichen Seiten umgesehen und auch hier ein paar Beiträge gefunden, nur ist das m.M.n. alles richtig eingestellt. Letztendlich laufen alle Anleitungen auf die bekannten Punkte raus:

1. lokale Richtlinie: Objektüberwachung
2. Aktivierung der Überwachung am zu überwachenden Objekt.
3. Fertig.

Habe ich da irgendwas übersehen?

Besten Dank für einen kleinen Tipp!

Content-Key: 191038

Url: https://administrator.de/contentid/191038

Printed on: July 24, 2024 at 21:07 o'clock

Member: Pjordorf
Pjordorf Sep 11, 2012 at 12:39:50 (UTC)
Goto Top
Hallo,

Zitat von @0x32f1:
Habe ich da irgendwas übersehen?
Wobei? Was ist deine eigentliche Frage? Das zu viele Meldungen im Ereignissprotokoll drin stehen (was aber normal ist)? Wo ist dein eigentliches Problem?

Gruß,
Peter
Member: 0x32f1
0x32f1 Sep 11, 2012 updated at 13:08:09 (UTC)
Goto Top
Vielleicht habe ich das auch komplett falsch verstanden aber bei der GPO steht:

Mit dieser Sicherheitseinstellung wird festgelegt, ob Benutzerzugriffe auf Nicht-Active-Directory-Objekte überwacht werden. Überwachung wird nur für Objekte generiert, für die eine eigene SACL (System Access Control List, Zugriffssteuerungsliste für das System) angegeben ist, und nur dann, falls der angeforderte Zugriffstyp (beispielsweise Schreiben, Lesen oder Ändern) und das Konto, von dem die Anforderung stammt, den Einstellungen in der SACL entsprechen.

daher wäre meine Frage:

Sollten nach o.g. Einstellungen nicht nur dann weitere Ereignisse generiert werden, wenn eine Datei im Ordner mit der SACL gelöscht wird?
Member: DerWoWusste
DerWoWusste Sep 11, 2012 at 17:15:11 (UTC)
Goto Top
Schon richtig, es sollten nur überwachte Files gemeldet werden. Prüf bitte erneut, ob die anderen Ordner, welche Einträge produzieren, nicht (evtl. per default) auch Überwachungseinstellungen besitzen.
Member: 0x32f1
0x32f1 Sep 12, 2012 at 05:58:30 (UTC)
Goto Top
Habe es eben sicherheitshalber nochmals überprüft: Weder im Root (hier Dface-smile noch im share2 ist irgendetwas unter Überwachung konfiguriert, auch nicht im share2\Ordner1 oder sonst einem Unterverzeichnis.

Dennoch bekomme ich im Log Meldungen wie:

Ein Netzwerkfreigabeobjekt wurde überprüft, um zu ermitteln, ob dem Client der gewünschte Zugriff gewährt werden kann.
	
Antragsteller:
	Sicherheits-ID:		domain\user
	Kontoname:		user
	Kontodomäne:		domain
	Anmelde-ID:		0x***ID***

Netzwerkinformationen:	
	Objekttyp:		File
	Quelladresse:		*** Remote IP ***
	Quellport:		55449
	
Freigabeinformationen:
	Freigabename:		\\*\share2
	Freigabepfad:		\??\D:\share2
	Relativer Zielname:	ordner1\datei.txt

Zugriffsanforderungsinformationen:
	Zugriffsmaske:		0x89
	Zugriffe:		Daten lesen (oder Verzeichnis auflisten)
				EA lesen
				Attribute lesen
				
Ergebnisse der Zugriffsprüfung:
	Daten lesen (oder Verzeichnis auflisten):	Gewährt durch	D:(A;;FA;;;S-1-5-***SID***)
				EA lesen:	Gewährt durch	D:(A;;FA;;;S-1-5-21-***SID***)
				Attribute lesen:	Gewährt durch	D:(A;;FA;;;S-1-5-21-***SID***)

Obwohl laut gpresult die GPO angekommen ist, habe ich sie auch schon aktualisiert - ohne Veränderung.
Member: DerWoWusste
DerWoWusste Sep 12, 2012 at 08:39:58 (UTC)
Goto Top
Ich schätze, ich kann Dir helfen. Zunächst mal: Ist das Dein Thread?
http://social.technet.microsoft.com/Forums/de-DE/sbsde/thread/b917c51b- ...
Wenn ja: immer mitteilen, der Ordnung halber.

Ich habe zwei weitere Threads dazu gefunden und einer sieht aus wie die Lösung: http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ... gefunden über http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thre ... (im letzten Kommentar wird die Lösung verlinkt).
Member: 0x32f1
0x32f1 Sep 12, 2012 updated at 11:05:49 (UTC)
Goto Top
Nein, von mir ist der Thread nicht, habe nur hier einen aufgemacht.


ist es schonmal nicht. Die Audit Ordner sind jeweils leer.

Die anderen Sachen muss ich mir nochmal durchlesen, allerdings reicht mir die Zeit momentan nicht. Ich melde mich, sobald ich etwas neues weiß.

Danke!

// EDIT:

So, wenn ich das jetzt richtig gesehen habe, funktioniert es.

Lösung: GPO wieder zurückgesetzt und über Erweiterte Überwachungsrichtlinienkonfiguration\Objektzugriff konfiguriert: Dateisystem überwachen: Erfolgreich.

Kleiner Schönheitsfehler: Umbenennen wird scheinbar auch als Löschen gewertet:

Es wurde versucht, auf ein Objekt zuzugreifen.

Antragsteller:
	Sicherheits-ID:		domain\user
	Kontoname:		user
	Kontodomäne:		domain
	Anmelde-ID:		0x***ID***

Objekt:
	Objektserver:	Security
	Objekttyp:	File
	Objektname:	D:\share1\dir2\dir3\test.txt
	Handle-ID:	0x3ff8

Prozessinformationen:
	Prozess-ID:	0x4
	Prozessname:	

Zugriffsanforderungsinformationen:
	Zugriffe:	DELETE
				
	Zugriffsmaske:	0x10000
Aber vielleicht krieg ich das auch noch irgendwie raus.
Member: DerWoWusste
DerWoWusste Sep 12, 2012 at 18:53:02 (UTC)
Goto Top
Ich hab noch nicht verstanden, was jetzt anders ist als vorher.
Member: 0x32f1
0x32f1 Sep 13, 2012 at 05:28:32 (UTC)
Goto Top
Stand vorher:

Richtlinie definiert über: GPO\Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\Objektzugriffsversuche überwachen
Einstellung: Erfolgreich
SACL: Löschen/Erfolgreich

Ergebnis: Log voll mit etlichen Zugriffen, auch in Verzeichnissen, die nicht über eine SACL verfügen.

Stand jetzt:

Richtlinie definiert über: GPO\Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungskonfiguration\Überwachungsrichtlinien\Objektzugriff\Dateisystem überwachen
Einstellung: Erfolgreich
SACL: Löschen/Erfolgreich (unverändert)

Ergebnis: Loggt nur die Löschungen im gewünschten Verzeichnis (und Umbenennungen werden als Löschung unter dem alten Dateinamen geloggt)
Member: DerWoWusste
DerWoWusste Sep 13, 2012 at 07:07:46 (UTC)
Goto Top
Ah jetzt, ja.
Seltsam, dass diese neue (ab win7/2008R2 verfügbare) Einstellung anders ist. Die alte hatte bislang immer geklappt, scheint wohl mit R2 einen Bug zu haben.