goat82 2 Geschrieben 17. Oktober Melden Teilen Geschrieben 17. Oktober (bearbeitet) Hi Zusammen, ich habe viele Freigaben die per Zugriffsberechtigung auf die Freigabe und über die NTFS Ordersicherheitseinstellungen geregelt sind. Ich möchte nicht den einfachen erfolgreichen oder fehlgeschlagenen Dateizugriff loggen, sondern nur erfahren wenn auf eine Freigabe oder ein NTFS Ordner eine Berechtigung entfernt oder geändert oder wenn ein NFTS Ordner gelöscht wird. Funktioniert das irgendwie mit Hausmittel? Danke für euche Tipps. LG Gost bearbeitet 17. Oktober von goat82 Zitieren Link zu diesem Kommentar
daabm 1.356 Geschrieben 17. Oktober Melden Teilen Geschrieben 17. Oktober Advanced Auditung und NTFS SACL sollte helfen. Für Freigaben aber nicht, wobei deren Rechte in der Registry stehen - und Registry kann auch per SACL mit Advanced Auditing überwacht werden. So als Denkhilfe : Wobei das jetzt "global" gelten würde - das Löschen musst pro Ordner setzen, kann man aber für Unterordner durchvererben. 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 17. Oktober Melden Teilen Geschrieben 17. Oktober Und jetzt Aufgabe mit Sternchen (ich weiß die Antwort tatsächlich nicht): Schließt das Häkchen in Martins Screenshot auch Änderungen an der SACL mit ein? Ich weiß mit Sicherheit, dass es das in AD nicht tut, und keine der MMC-basierten Konsolen zeigt dieses Recht oder erlaubt es zu setzen. Da gibt es aber die LDP.EXE, womit das grafisch geht - und halt mit den ganzan Kommandozeilen-Tools. Da der Dialog im Explorer verdammt ähnlich anmutet wie in ADSIEdit, es aber kein LDP.EXE für NTFS gibt, bleiben vermutlich nur Kommandozeilen-Tools. Richtig? Zitieren Link zu diesem Kommentar
daabm 1.356 Geschrieben 18. Oktober Melden Teilen Geschrieben 18. Oktober (bearbeitet) vor 17 Stunden schrieb cj_berlin: Schließt das Häkchen in Martins Screenshot auch Änderungen an der SACL mit ein? Nein. https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4670 "This event does not generate if the SACL (Auditing ACL) was changed." Edit 1: Grad noch gefunden - das ist ein anderes Audit-Setting: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4715 Edit 2: Und jetzt auch noch gelesen - hm, nein das scheint was anderes zu sein. Da wäre jetzt Recherche erforderlich... bearbeitet 18. Oktober von daabm Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.