Lokaler Zugriffsversuch im Windows Eventlog anzeigen

peace_maker

Cadet 4th Year
Registriert
Dez. 2010
Beiträge
108
Hallo liebes CB-Forum,
ich habe mir einen Ordner erstellt, auf den ich (gewollt) keinen Zugriff mehr habe.
Nun würde ich mir gerne im Eventlog anzeigen lassen, wenn ich versuche diesen zu öffnen bzw.
generell wenn es Rechtekonflikte gibt.

Kann ich das mit windowseigenen Boardmitteln bewerkstelligen ?

Mit freundlichen Grüßen
peace_maker
 
Danke für den Lösungsvorschlag über die Ordneroptionen, hierbei müsste ich die Ordnernamen einzeln eingeben (Überwachungseintrag für "Testordner").

Ich wühle mich gerade durch die (erweiterten und die "normalen") Überwachungsrichtlinien und würde dort gerne einstellen, dass generell in den Eventlog geschrieben wird, wenn versucht wird auf Objekte zuzugreifen, ohne die passenden Benutzerrechte.

Ich hab deswegen testweise "Objektzugriffsversuche überwachen" eingeschaltet, allerdings wird mein Eventlog geflutet mit "Überwachung gescheitert" -> "Filterplattform: Verworfene Pakete" und "Filterplattformverbindung".
Hin und wieder steht auch ein "Überwachung erfolgreich".
Das Finetuning stimmt wohl noch nicht :) .

__UPDATE__
Ich habe ein ganz hübsch gemachtes Tutorial gefunden (für Interessierte) Allerdings wird auch jeder zu überwachende Ordner einzeln hinzugefügt.
Ich glaube ich muss statt auf die Überwachung der Objekte, mir eine Lösung suchen,
die Seitens der Benutzerrechte eine Meldung erstellt, falls versucht wird auf "fremde" Objekte/Ordner zuzugreifen.


Mit freundlichen Grüßen
peace_maker
Ergänzung ()

Vorläufige Lösung:
- Eigenschaften aufrufen von Festplatte, deren Daten überwacht werden sollen
- Hinzufügen der zu Überwachenden Benutzer (Security->Advanced->Auditing)
- Bei Zugriffsversuch ohne die benötigten Rechte (Type: Fail) wird gemeldet
- secpol.msc -> Advanced Audit Policy-> System Audit Policies -> Object Access
- "Audit Handle Manupilation" (Failure)
- "Audit Filtering Platform Connection" und "Packet Drop" (No Auditing) | sonst wird der Eventlog geflutet
- Hinzufügen der zu Überwachenden Benutzer (Advanced Audit Policy-> System Audit Policies -> Global Object Access Auditing -> File System -> Configure) [SACL]

Nun werden die Zugriffsversuche ohne ausreichende Rechte im Eventlog->Security angezeigt.
Ich werde die kommenden Tage versuchen die Einstellungen in einem Netzwerk mit mehreren Clients über die Gruppenrichtlinien umzusetzen, dass es für alle Festplatten und alle User der Clients funktioniert. Eine Möglichkeit es Lokal über die Verwaltung der Benutzerrechte zu realisieren, habe ich bisjetzt leider nicht gefunden.

PS: Als zu überwachende Gruppe habe ich "authenticated-Users" genutzt. Welchen Unterschied es macht schlicht "users" zu benutzen, kann ich nicht sagen.

Mit freundlichen Grüßen
peace_maker
 
Zuletzt bearbeitet: (Rechtschreibung)
Danke für die Info :)

.. ich habe gerade gemerkt, ich habe "übertrieben" mit der Überwachung.
Die Festplatte mit einzubinden scheint obsolet zu sein, es Funktioniert auch, wenn man schlicht die secpol Einstellungen durchführt. (gerade getestet)

Mit freundlichen Grüßen
peace_maker
 

Ähnliche Themen

Zurück
Oben