MS-Wing 10 Geschrieben 27. November 2010 Melden Teilen Geschrieben 27. November 2010 Hallo, ist es möglich das Objekt-Auditing so zu konigurieren, so das NUR Verzeichnislöschungen protokolliert werden? Ich habe schon sehr viel Zeit in die Lösung dieses Problem gesteckt, aber Windows hat immer auch Datei-Aktionen mitaufgezeichnet. Wenn man z.B. mit Word eine Datei speichert, wird auch ein Log-Eintrag erzeugt, da auch beim Speichern etwas mit "Delete" gesetzt wird. Hat jemand eine Idee? Bitte diese Idee auch vorher in der Praxis testen, da die eigentlich triviale Aufgabenstellung anscheinend nicht so ohne weiteres lösbar ist. Also nochmal: Nur Verzeichnislöschungen sollen aufgezeichnet werden. Zitieren Link zu diesem Kommentar
MS-Wing 10 Geschrieben 3. Dezember 2010 Autor Melden Teilen Geschrieben 3. Dezember 2010 -ping- Zitieren Link zu diesem Kommentar
boerner 10 Geschrieben 3. Dezember 2010 Melden Teilen Geschrieben 3. Dezember 2010 hast du schon probiert den haken bei "delete" nur auf subfolder(apply onto) zu vererben? das sollte funktionieren. Zitieren Link zu diesem Kommentar
boerner 10 Geschrieben 3. Dezember 2010 Melden Teilen Geschrieben 3. Dezember 2010 hab es kurz getestet und das funktioniert. es werden dann zwei events geschrieben id 560 und id 567 Zitieren Link zu diesem Kommentar
MS-Wing 10 Geschrieben 9. Dezember 2010 Autor Melden Teilen Geschrieben 9. Dezember 2010 Habe es wie beschrieben ausprobiert. id 560 und id 567 und id 562 wird jedoch auch beim Anlegen von Verzeichnissen geschrieben. Also wenn man im Explorer ein neuen Ordner anlegt. Nach wie vor klappt es also nicht nur Verzeichnislöschungen aufzuzeichnen. Auszug aus dem Ereignislog beim Anlegen eines Verzeichnisses (man achte auf die Löschen-Attribute !!): Ich wiederhole nochmal: Es wurde ein neuer Ordner angelegt, nicht gelöscht! ID: 560 Geöffnetes Objekt: Objektserver: Security Objekttyp: File Objektname: C:\Folder\Neuer Ordner Handlekennung: 608 Vorgangskennung: {0,644129} Prozesskennung: 1140 Abbilddateiname: C:\WINDOWS\explorer.exe Primärer Benutzername: user Primäre Domäne: mc1 Primäre Anmeldekennung: (0x0,0x8EE5) Clientbenutzername: - Clientdomäne: - Clientanmeldekennung: - Zugriffe: [b]LÖSCHEN [/b] SYNCHRONISIEREN Attribute lesen Rechte: - Beschränkte SID-Anzahl: 0 ID: 567 Objektzugriffsversuch: Objektserver: Security Handlekennung: 608 Objekttyp: File Prozesskennung: 1140 Abbilddateiname: C:\WINDOWS\explorer.exe Zugrifssmaske: [b]LÖSCHEN [/b] Zitieren Link zu diesem Kommentar
MS-Wing 10 Geschrieben 1. Januar 2011 Autor Melden Teilen Geschrieben 1. Januar 2011 - ping - Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 1. Januar 2011 Melden Teilen Geschrieben 1. Januar 2011 Hallo, Wenn du Powershell oder eine höhere Programmiersprache kennst, kannst du die .Net Methode "FileSystemWatcher" FileSystemWatcher-Klasse (System.IO) verwenden. google mal nach "Powershell FileSystemwatcher" blub Zitieren Link zu diesem Kommentar
zahni 562 Geschrieben 1. Januar 2011 Melden Teilen Geschrieben 1. Januar 2011 Ab Windows 2008 wurde das Security Auditing start erweitert. Auch in R2: What's New in Windows Security Auditing in Windows Server 2008 R2 Weiter unten gibt es weiterführende Links. PS: Pong ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.