Dateiüberwachung

[PdmHomer 10]

Hallo liebes Forum,

 

ich habe folgendes Problem:

 

Bei unserem Kunden gibt es Mitarbeiter die meist ungewollt Dateien oder Ordner verschieben, bzw. löschen.

Jetzt haben wir von der GF den Auftrag erhalten den Ordner zu überwachen.

 

Die Einstellungen haben wir vorgenommen und es wird auch jeder Zugriff protokolliert.

 

PROBLEM: Zusätzlich wird aber jeder Zugriff vom Exchange auf das Exchangeverzeichnis auch protokolliert, obwohl dort keine Überwachung aktiviert ist!

 

Kann mir vielleicht einer sagen warum das so ist, bzw. was wir vielleicht falsch gemacht haben!

[iDiddi 27]

Hallo PdmHomer,

 

 

PROBLEM: Zusätzlich wird aber jeder Zugriff vom Exchange auf das Exchangeverzeichnis auch protokolliert, obwohl dort keine Überwachung aktiviert ist!

Kann eigentlich nicht sein. Das eine wird über Richtlinien + Dateisystem eingestellt und das andere über Exchange System Manager in den Servereigenschaften. Was hast Du denn genau wo eingestellt?

[PdmHomer 10]

Also ich habe per GPO (OU des Servers) folgende Einstellung:

 

Computerkonfig. \Windowseinstell. \ Sicherheitseinstell. \ lokale Richlinien:

 

Objektzugriffsversuche überwachen -> Erfolgreich

Verzeichnisdienstzugriff überwachen -> Erfolgreich

 

 

Zusätzlich in den Eigenschaften der Datei bei Sicherheit \ Erweitert \ Überwachung:

 

Jeder -> Unterordner und Dateien löschen -> Erfolgreich und Fehlgeschlagen

Löschen -> Erfolgreich und Fehlgeschlagen

 

Im Exchange Server Manager ist unter den Servereinstellungen \ Sicherheit.. keine Überwachung aktiviert.

 

Schaue ich an der falsche Stelle?

Oder fehlt was?

 

Danke für die Bemühungen!

[PdmHomer 10]

NACHTRAG!!

 

Obwohl ich ja meines Erachtens nur das Löschen überwache bekomme ich jeden Zugriff eines Benutzers innerhalb des Ordners protokolliert!

 

Und das Protokoll des Exchange sieht so aus:

 

Ereignistyp: Erfolgsüberw.

Ereignisquelle: Security

Ereigniskategorie: Objektzugriff

Ereigniskennung: 562

Datum: 12.05.2011

Zeit: 12:03:59

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: RECSERV

Beschreibung:

Geschlossenes Handle:

Objektserver: Microsoft Exchange

Handlekennung: 18799048

Prozesskennung: 5020

Abbilddateiname: C:\Programme\Exchsrvr\bin\store.exe

 

 

!! Die eigentlich gewollte Dateiüberwachung ist auf S:\\Daten !

Also nicht mal auf dem gleichen Laufwerk!

 

Der Server ist ein SBS2003, DC mit Exchange 2003 !

Wir verwenden servergespeicherte Profile!

[Dr.Melzer 191]

@PdmHomer:

 

könntest du bitte darauf achten Das Sätze mit einem "." bendet werden und nicht mit einem "!".

[Sunny61 809]

Also ich habe per GPO (OU des Servers) folgende Einstellung:

 

Computerkonfig. \Windowseinstell. \ Sicherheitseinstell. \ lokale Richlinien:

 

Objektzugriffsversuche überwachen -> Erfolgreich

Verzeichnisdienstzugriff überwachen -> Erfolgreich

 

 

Zusätzlich in den Eigenschaften der Datei bei Sicherheit \ Erweitert \ Überwachung:

 

Jeder -> Unterordner und Dateien löschen -> Erfolgreich und Fehlgeschlagen

Löschen -> Erfolgreich und Fehlgeschlagen

 

Wo genau hast Du die Überwachung für nur den einen benötigten Ordner eingestellt? Die GPO wirkt IMHO auf den kompletten Server.

[iDiddi 27]

...und das andere über Exchange System Manager in den Servereigenschaften.

Meinte das Diagnostikprotokoll. Aber das hat nichts mit Deinem Problem zu tun. Hab Dich anfangs wohl nicht richtig verstanden, sorry.

 

 

Die GPO wirkt IMHO auf den kompletten Server.

Richtig. Genau da liegt auch das Problem ;)

 

Wo genau hast Du die Überwachung für nur den einen benötigten Ordner eingestellt?

Hat der TO bereits geschrieben:

per GPO (OU des Servers)

 

 

Hier und hier mal was zum lesen

[PdmHomer 10]

Kurzes Feedback:

 

ich habe jetzt GPO entfernt und es wurden keine Ereignisse mehr geloggt.

 

Aktivierte ich in der GPO die Objektzugriffsversuche, protokolliert er gleich wieder jeden Zugriff, den der Exchange auf sein Ordner tätigt.

 

Komischer Weise wird auch das Öffnen einer Datei, in dem Ordner wo die eigentliche Überwachung ist, protokolliert. Obwohl ich dort nur angegeben habe, dass das erfolgreiche oder fehlgeschlagende Löschen überwacht werden soll.

 

 

Ich habe die Objektzugriffsversuche auch auf einem anderen Exchange aktiviert und auch dort wird fast jeder Zugriff vom System protokolliert.

 

Ich habe die entsprechenden Einstellung von TechNet übernommen, ohne Erfolg.

 

Kann es also sein, dass die Dateiüberwachung auf einem Exchange in dieser Form nicht möglich ist?

Oder hat noch einer ein Tipp für mich?

[iDiddi 27]

Quatsch. Wo aktivierst Du denn nu diese Gruppenrichtlinie? Immer noch auf der Server-OU?

 

Scheinbar hast Du noch nicht ganz begriffen, dass genau das Dein Problem ist ;)

 

Setze die Überwachungsrichtlinie auf der OU, welche auch die Benutzer beherbergt, die Du überwachen willst.

 

Hier noch mal ein letzter Link meinerseits (danke dafür, Yusuf):

 

LDAP://Yusufs.Directory.Blog/ - Dateizugriff überwachen

[PdmHomer 10]

So langsam denke ich selber ich bin ****.

 

Meine Schritte:

 

1. Eigenschaften von der Datei: Daten -> Überwachung, dort sage ich "Jeder" = "Unterordner und Dateien löschen" sowie "Löschen": Häkcken bei Erfolgreich.

 

2. GPO auf die OU "User" (wo alle Mitarbeiter drin sind) mit der Einstellung:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\Objektzugriffsversuche überwachen = Erfolgreich.

 

Trotzdem protokolliert der Server mit den Zugriff des Exchanges.

 

Vielleicht ist ja meine Einstellung richtig und die Überwachung des Exchange ist irgendwo eingestellt.

 

Gibt es denn eine Möglichkeit die überwachten Objekte auszulesen?

(auf dem Ordner, wo der Exchange drauf zu greift ist keine Überwachung aktiv, sowie auf den übergeordneten Ordnern)

[iDiddi 27]

Wenn Du Richtlinien einmal gesetzt hast, reicht es nicht, diese zurück auf "nicht konfiguriert zu setzen. Du musst sie erst "deaktivieren" ;)

[iDiddi 27]

Hier noch ein Auszug aus der lokalen Hilfe:

 

Bestehenbleiben von Sicherheitseinstellungen

 

Eine Sicherheitseinstellung bleibt möglicherweise selbst dann bestehen, wenn sie nicht mehr in den Richtlinien definiert ist, die die Einstellung ursprünglich festgelegt haben.

 

Bestehenbleiben von Sicherheitseinstellungen tritt in folgenden Fällen auf:

 

Die Einstellung war zu dem Zeitpunkt, zu dem die Richtlinien angewandt wurden, noch nicht auf dem lokalen Computer definiert.

Die Einstellung gilt für ein Registrierungsobjekt in der Teilstruktur des Knotens Registrierung.

Die Einstellung gilt für ein Dateisystemobjekt.

 

Immer dann, wenn Gruppenrichtlinien angewandt werden, speichert der Computer die lokalen Sicherheitseinstellungen in einer Datenbank. Wenn ein Gruppenrichtlinienobjekt eine Sicherheitseinstellung definiert, diese Einstellung später aber nicht mehr definiert, erhält die Einstellung wieder ihren ursprünglichen Wert, der in der Datenbank gespeichert ist. Gibt es in der Datenbank keinen Wert für die Einstellung, kann diese nicht wieder zurückgesetzt werden, und sie bleibt mit ihrer aktuellen Definition erhalten. Dieses Verhalten wird auch als Tätowieren bezeichnet.

 

Registrierungs- und Dateieinstellungen behalten die Sicherheitseinstellung, die durch eine Richtlinie festgelegt wurde, so lange, bis diese Einstellung auf einen anderen Wert festgelegt wird.

 

[PdmHomer 10]

:) Danke für die Definitionen. :)

 

Ich habe so das Gefühl als ob wir aneinander vorbei reden.

 

Zum Verständnis:

 

In den Eigenschaften des Ordners sage ich im Feld Überwachung, was überwacht werden soll.

Und per GPO sage ich dann nur noch Überwachung starten oder nicht überwachen.

Ich denke soweit habe ich es verstanden.

 

Mein Problem ist ja, dass mehr überwacht wird als ich überhaupt will.

Daher bin ich der Meinung, dass noch mehr Überwachung aktiviert ist und ich wissen will ob man die aktivierten Überwachungen auflisten kann.

Quasi eine Übersicht aller aktivierten Dateiüberwachungen.

[iDiddi 27]

Schau mal hier:

 

Event IDs 560 and 562 appear many times in the security event log