Heckflosse 10 Geschrieben 24. September 2018 Melden Teilen Geschrieben 24. September 2018 Hallo, eine eingesetzte Software überschreibt beim Öffnen ein INI-Datei mit falschen Werten. Dies aufgrund eines älteren Software-Standes. Gibt es ein Tool, dass anzeigt welcher PC (DNS-Name oder IP) eine Datei verändert? Wir verwenden als Monitoring Paessler-PRTG. Hier können wir nur den Zeitpunkt ermitteln, nicht den Auslöser. Vielen Dank für Eure Antworten. Gruß Markus Zitieren Link zu diesem Kommentar
Heckflosse 10 Geschrieben 24. September 2018 Autor Melden Teilen Geschrieben 24. September 2018 Habe noch was gefunden: http://venussoftcorporation.blogspot.com/2010/05/thefolderspy.html Hier kriegen wir zumindest den Benutzernamen raus. Zitieren Link zu diesem Kommentar
Stibo 17 Geschrieben 24. September 2018 Melden Teilen Geschrieben 24. September 2018 Guten Morgen, Du wirst hier wahrscheinlich (entweder per Gruppenrichtlinie oder Lokaler Richtlinie) "Object Access Auditing" aktivieren müssen, um herauszufinden, was genau passiert. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 24. September 2018 Melden Teilen Geschrieben 24. September 2018 Moin, der Hinweis auf das Auditing ist korrekt. Vorsicht, das muss man an zwei Stellen aktivieren: in der lokalen Richtlinie (gpedit.msc oder per AD-GPO) des Rechners, wo die ini-Datei liegt, die Überwachung als solche aktivieren im Dateisystem das jeweilige Objekt (also vermutlich die ini-Datei) zur Überwachung konfigurieren, das geht über den Berechtigungsdialog. In dem Fall sollte Erfolgsüberwachung für "Jeder" ausreichen. Die Informationen finden sich dann im Security-Eventlog des Rechners, auf dem die Überwachung stattfindet. Hinterher daran denken, die Überwachung wieder abzuschalten. Und noch mal Vorsicht: Solche Auditing-Daten auszuwerten, kann sehr aufwändig sein, weil ein einfacher Dateizugriff leicht mal -zig Detailevents erzeugt. Gruß, Nils Zitieren Link zu diesem Kommentar
Heckflosse 10 Geschrieben 24. September 2018 Autor Melden Teilen Geschrieben 24. September 2018 Danke Euch für die Antworten. Habe das "TheFolderSpy" getestet und es funktioniert. Die Ausgabe reicht mir vollkommen und dies ohne großen Konfig-Aufwand. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 1. Oktober 2018 Melden Teilen Geschrieben 1. Oktober 2018 Habe das grad gelese weil ich das auch haben möchte. Danke für die Infos! Ich würde vor der Verwendung von externen Tools immer die Bordmittel nehmen wenn diese das hergeben. Auch wenn es etwas aufwendiger in der Bedienung ist. Ist auch eine Frage der Sicherheit. Zitieren Link zu diesem Kommentar
Heckflosse 10 Geschrieben 1. Oktober 2018 Autor Melden Teilen Geschrieben 1. Oktober 2018 Hallo, wir haben jetzt auch auf Boardmittel gewechselt. "TheFolderSpy" liefert als schreibender Benutzer leider nur den aktuell angemeldeten Benutzer am Server. Die ist natürlich Quatsch. Mit den Boardmitteln ist jetzt eine granulare Analyse möglich. Danke Euch. Gruß Markus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.