Jump to content

Freigabe und Sicherheitseinstellungsänderungen loggen aber wie ?

goat82

Von goat82
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

goat82 Rising Star

goat82   2

Geschrieben
Geschrieben (bearbeitet)

Hi Zusammen,

 

ich habe viele Freigaben die per Zugriffsberechtigung auf die Freigabe und über die NTFS Ordersicherheitseinstellungen geregelt sind.

Ich möchte nicht den einfachen erfolgreichen oder fehlgeschlagenen Dateizugriff loggen, sondern nur erfahren wenn auf eine Freigabe oder ein NTFS Ordner eine Berechtigung entfernt oder geändert oder wenn ein NFTS Ordner gelöscht wird.

 

Funktioniert das irgendwie mit Hausmittel?

Danke für euche Tipps.

 

LG Gost

bearbeitet von goat82
daabm Grand Master

daabm   1.431

Geschrieben
Geschrieben

Advanced Auditung und NTFS SACL sollte helfen. Für Freigaben aber nicht, wobei deren Rechte in der Registry stehen - und Registry kann auch per SACL mit Advanced Auditing überwacht werden.

 

So als Denkhilfe :-):

grafik.png.cce6a6720f2ae692c2fd9499ea5e874c.png

 

Wobei das jetzt "global" gelten würde - das Löschen musst pro Ordner setzen, kann man aber für Unterordner durchvererben.

  • Like 1
cj_berlin Veteran

cj_berlin   1.508

Geschrieben
Geschrieben

Und jetzt Aufgabe mit Sternchen (ich weiß die Antwort tatsächlich nicht): Schließt das Häkchen in Martins Screenshot auch Änderungen an der SACL mit ein?

 

Ich weiß mit Sicherheit, dass es das in AD nicht tut, und keine der MMC-basierten Konsolen zeigt dieses Recht oder erlaubt es zu setzen. Da gibt es aber die LDP.EXE, womit das grafisch geht - und halt mit den ganzan Kommandozeilen-Tools. Da der Dialog im Explorer verdammt ähnlich anmutet wie in ADSIEdit, es aber kein LDP.EXE für NTFS gibt, bleiben vermutlich nur Kommandozeilen-Tools. Richtig?

daabm Grand Master

daabm   1.431

Geschrieben
Geschrieben (bearbeitet)
vor 17 Stunden schrieb cj_berlin:

Schließt das Häkchen in Martins Screenshot auch Änderungen an der SACL mit ein?

 

Nein. https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4670

"This event does not generate if the SACL (Auditing ACL) was changed."

 

Edit 1: Grad noch gefunden - das ist ein anderes Audit-Setting: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4715

Edit 2: Und jetzt auch noch gelesen - hm, nein das scheint was anderes zu sein. Da wäre jetzt Recherche erforderlich... :-)

bearbeitet von daabm
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...