ComputerBase Menü
Aktuelles

Admin Freigaben bzw generell FileSystem Access tracken

S

Sty_Stoned

Lt. Junior Grade
Registriert
Nov. 2012
Beiträge
503
Hallo zusammen,

da ich immer wieder das Gefühl habe, dass auf einigen Maschinen c$ ausgenutzt wird, habe ich mich auf die Suche gemacht, ein Tool zu finden, das mir sämtliche Datei Aktionen (öffnen, kopieren,...) darlegt.
Es gibt sicher die Möglichkeit das über GPOs auszulesen (NTFS Auditing oder) aber das ist doch recht umständlich... Gibt es nicht ein Tool, das im Hintergrund läuft und protokolliert, wenn ein anderer PC auf das Filesystem des hiesigen PC zugreift?

Wie würdet ihr Profis das handhaben?

Vielen Dank im Voraus!
 
Filesystem-Access: Brutal viele Logs, will man nicht machen.

SMB hat Logs:
  • Microsoft-Windows-SMBServer/Connectivity
  • Microsoft-Windows-SMBServer/Operational
  • Microsoft-Windows-SMBServer/Security

Anschalten, freuen.
 
Sty_Stoned schrieb:
Wie würdet ihr Profis das handhaben?
Zum Vergrößern anklicken....
Keine Ahnung, ob ich mich als Profi betitulieren sollte, aber genau so: Gruppenrichtlinien. Da die Eventlogs gewisser wichtiger Maschinen extern gespeichert werden in der AD hier, dann noch ne Suchmaske übers Security-Eventlog und evola, nach 3 Klicks seh ich, wer was wann unter welchem Account getan hat oder auch nicht...;-).
 
Danke für eure Antworten. Was wären denn dann die Event IDs? 4656?

Dann muss ich mich wohl doch nochmal mit den GPO und logs auseinandersetzen...
 
Vorhandene Dateizugriffsereignisse wären 4656 und / oder 4663.

Vergiss in dem Zusammenhang nicht, die Größe des Ereignisprotokolls zu erhöhen! Ansonsten werden Events überschrieben, die Du vielleicht sehen willst. Und Dateizugriffsüberwachung erzeugt ne Menge Einträge...die Speicherplatz benötigen...;-).
 
ja ich hab es jetzt mal auf 500mb gesetzt. Problem ist aber, dass gerade das AntiViren Programm und andere Tools da offensichtlich gut reinschreiben. Kann ich das LogFile mit einem Freeware Toll gut durchforsten?
Die User Suche geht scheinbar von Haus aus nicht, was meine ersten Tests zeigen, da diese Info in der Description steht, nach der ich offensichtlich nicht suchen kann...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz