MS-Wing 10 Geschrieben 27. November 2010 Melden Geschrieben 27. November 2010 Hallo, ist es möglich das Objekt-Auditing so zu konigurieren, so das NUR Verzeichnislöschungen protokolliert werden? Ich habe schon sehr viel Zeit in die Lösung dieses Problem gesteckt, aber Windows hat immer auch Datei-Aktionen mitaufgezeichnet. Wenn man z.B. mit Word eine Datei speichert, wird auch ein Log-Eintrag erzeugt, da auch beim Speichern etwas mit "Delete" gesetzt wird. Hat jemand eine Idee? Bitte diese Idee auch vorher in der Praxis testen, da die eigentlich triviale Aufgabenstellung anscheinend nicht so ohne weiteres lösbar ist. Also nochmal: Nur Verzeichnislöschungen sollen aufgezeichnet werden.
boerner 10 Geschrieben 3. Dezember 2010 Melden Geschrieben 3. Dezember 2010 hast du schon probiert den haken bei "delete" nur auf subfolder(apply onto) zu vererben? das sollte funktionieren.
boerner 10 Geschrieben 3. Dezember 2010 Melden Geschrieben 3. Dezember 2010 hab es kurz getestet und das funktioniert. es werden dann zwei events geschrieben id 560 und id 567
MS-Wing 10 Geschrieben 9. Dezember 2010 Autor Melden Geschrieben 9. Dezember 2010 Habe es wie beschrieben ausprobiert. id 560 und id 567 und id 562 wird jedoch auch beim Anlegen von Verzeichnissen geschrieben. Also wenn man im Explorer ein neuen Ordner anlegt. Nach wie vor klappt es also nicht nur Verzeichnislöschungen aufzuzeichnen. Auszug aus dem Ereignislog beim Anlegen eines Verzeichnisses (man achte auf die Löschen-Attribute !!): Ich wiederhole nochmal: Es wurde ein neuer Ordner angelegt, nicht gelöscht! ID: 560 Geöffnetes Objekt: Objektserver: Security Objekttyp: File Objektname: C:\Folder\Neuer Ordner Handlekennung: 608 Vorgangskennung: {0,644129} Prozesskennung: 1140 Abbilddateiname: C:\WINDOWS\explorer.exe Primärer Benutzername: user Primäre Domäne: mc1 Primäre Anmeldekennung: (0x0,0x8EE5) Clientbenutzername: - Clientdomäne: - Clientanmeldekennung: - Zugriffe: [b]LÖSCHEN [/b] SYNCHRONISIEREN Attribute lesen Rechte: - Beschränkte SID-Anzahl: 0 ID: 567 Objektzugriffsversuch: Objektserver: Security Handlekennung: 608 Objekttyp: File Prozesskennung: 1140 Abbilddateiname: C:\WINDOWS\explorer.exe Zugrifssmaske: [b]LÖSCHEN [/b]
blub 115 Geschrieben 1. Januar 2011 Melden Geschrieben 1. Januar 2011 Hallo, Wenn du Powershell oder eine höhere Programmiersprache kennst, kannst du die .Net Methode "FileSystemWatcher" FileSystemWatcher-Klasse (System.IO) verwenden. google mal nach "Powershell FileSystemwatcher" blub
zahni 587 Geschrieben 1. Januar 2011 Melden Geschrieben 1. Januar 2011 Ab Windows 2008 wurde das Security Auditing start erweitert. Auch in R2: What's New in Windows Security Auditing in Windows Server 2008 R2 Weiter unten gibt es weiterführende Links. PS: Pong ;)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden