Jump to content

Überwachung Verzeichnislöschung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ist es möglich das Objekt-Auditing so zu konigurieren, so das NUR Verzeichnislöschungen protokolliert werden? Ich habe schon sehr viel Zeit in die Lösung dieses Problem gesteckt, aber Windows hat immer auch Datei-Aktionen mitaufgezeichnet. Wenn man z.B. mit Word eine Datei speichert, wird auch ein Log-Eintrag erzeugt, da auch beim Speichern etwas mit "Delete" gesetzt wird.

 

Hat jemand eine Idee? Bitte diese Idee auch vorher in der Praxis testen, da die eigentlich triviale Aufgabenstellung anscheinend nicht so ohne weiteres lösbar ist.

 

Also nochmal: Nur Verzeichnislöschungen sollen aufgezeichnet werden.

Link zu diesem Kommentar

Habe es wie beschrieben ausprobiert.

id 560 und id 567 und id 562 wird jedoch auch beim Anlegen von Verzeichnissen geschrieben. Also wenn man im Explorer ein neuen Ordner anlegt.

Nach wie vor klappt es also nicht nur Verzeichnislöschungen aufzuzeichnen.

 

Auszug aus dem Ereignislog beim Anlegen eines Verzeichnisses (man achte auf die Löschen-Attribute !!):

Ich wiederhole nochmal: Es wurde ein neuer Ordner angelegt, nicht gelöscht!

 

ID: 560
Geöffnetes Objekt:
	Objektserver:	Security
	Objekttyp:	File
	Objektname:	C:\Folder\Neuer Ordner
	Handlekennung:	608
	Vorgangskennung:	{0,644129}
	Prozesskennung:	1140
	Abbilddateiname:	C:\WINDOWS\explorer.exe
	Primärer Benutzername:	user
	Primäre Domäne:	mc1
	Primäre Anmeldekennung:	(0x0,0x8EE5)
	Clientbenutzername:	-
	Clientdomäne:	-
	Clientanmeldekennung:	-
	Zugriffe:		[b]LÖSCHEN [/b]
		SYNCHRONISIEREN 
		Attribute lesen 

	Rechte:		-
	Beschränkte SID-Anzahl: 0

ID: 567
Objektzugriffsversuch:
	Objektserver:	Security
	Handlekennung:	608
	Objekttyp:	File
	Prozesskennung:	1140
	Abbilddateiname:	C:\WINDOWS\explorer.exe
	Zugrifssmaske:	[b]LÖSCHEN [/b]

Link zu diesem Kommentar
  • 4 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...