Jump to content
Sign in to follow this  
MS-Wing

Überwachung Verzeichnislöschung

Recommended Posts

Hallo,

ist es möglich das Objekt-Auditing so zu konigurieren, so das NUR Verzeichnislöschungen protokolliert werden? Ich habe schon sehr viel Zeit in die Lösung dieses Problem gesteckt, aber Windows hat immer auch Datei-Aktionen mitaufgezeichnet. Wenn man z.B. mit Word eine Datei speichert, wird auch ein Log-Eintrag erzeugt, da auch beim Speichern etwas mit "Delete" gesetzt wird.

 

Hat jemand eine Idee? Bitte diese Idee auch vorher in der Praxis testen, da die eigentlich triviale Aufgabenstellung anscheinend nicht so ohne weiteres lösbar ist.

 

Also nochmal: Nur Verzeichnislöschungen sollen aufgezeichnet werden.

Share this post


Link to post

Habe es wie beschrieben ausprobiert.

id 560 und id 567 und id 562 wird jedoch auch beim Anlegen von Verzeichnissen geschrieben. Also wenn man im Explorer ein neuen Ordner anlegt.

Nach wie vor klappt es also nicht nur Verzeichnislöschungen aufzuzeichnen.

 

Auszug aus dem Ereignislog beim Anlegen eines Verzeichnisses (man achte auf die Löschen-Attribute !!):

Ich wiederhole nochmal: Es wurde ein neuer Ordner angelegt, nicht gelöscht!

 

ID: 560
Geöffnetes Objekt:
	Objektserver:	Security
	Objekttyp:	File
	Objektname:	C:\Folder\Neuer Ordner
	Handlekennung:	608
	Vorgangskennung:	{0,644129}
	Prozesskennung:	1140
	Abbilddateiname:	C:\WINDOWS\explorer.exe
	Primärer Benutzername:	user
	Primäre Domäne:	mc1
	Primäre Anmeldekennung:	(0x0,0x8EE5)
	Clientbenutzername:	-
	Clientdomäne:	-
	Clientanmeldekennung:	-
	Zugriffe:		[b]LÖSCHEN [/b]
		SYNCHRONISIEREN 
		Attribute lesen 

	Rechte:		-
	Beschränkte SID-Anzahl: 0

ID: 567
Objektzugriffsversuch:
	Objektserver:	Security
	Handlekennung:	608
	Objekttyp:	File
	Prozesskennung:	1140
	Abbilddateiname:	C:\WINDOWS\explorer.exe
	Zugrifssmaske:	[b]LÖSCHEN [/b]

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...