[Win2003] Auditing Verplaatste bestanden?

Pagina: 1
Acties:

  • Oxize
  • Registratie: December 2000
  • Laatst online: 15-02 21:44

Oxize

Social Engineering Specialist

Topicstarter
Ik ben gedetacheerd bij een groothandel sinds kort.

Ze hebben hier diverse afdelingen. Nou bleek er op een aantal afdelingen dat er gerotzooit werd met bestanden.

Sommige personen vonden het leuk om bestanden te verwijderen/verplaatsen die de andere afdeling nodig had. Ik heb toen overlegt met mijn coordinator wat we hieraan kunnen doen, en auditing aangezet.

We hebben hier in totaal 3 win2003 servers genoemd "kaserver01, kaserver02 en storage"

De server "storage" waar de bestanden staan, en waarop gerotzooid werd heeft geen eigen domain controller.

De kaserver01 is aanwezen als DC (Domain Controller).

Nu heb ik dus auditing aangezet op de des betreffende map op de storage server. Ik heb onder "Local Policy Security" een policy aangemaakt zodat deze events gelogt worden.

Nu kan je diverse event loggen als je "Object Access" in de policy geactiveerd hebt.

Ik heb de volgende events aangevinkt:

- Delete -> Successful
- Delete Subfolders en Files -> Successful

De overige atrributen en events zoals "read, list folders, write, etc" hoef ik niet te loggen, omdat ik puur wil weten wie wat verwijdert en verplaatst.

Nu stuit ik een klein probleem betreft het loggen van bestanden die verplaatst worden. Deze event staat namelijk niet in Auditing lijst. Valt deze onder Delete?

Kan deze optie alleen gelogt worden als je Administrative Tools Pack geinstalleerd hebt staan en met Group Policy Management ingesteld worden?. Dit laatste werkt alleen op servers met Domain Controllers en als je Group Policy Management geinstaleerd heb staan.

Ik ben niet van plan om een 2de domain controller in ons bedrijf te gaan hangen, alleen omdat ik geen bestanden die verplaatst, gelogt kan worden.

Wie o Wie weet hier een antwoordt op? Zie ik iets over het hoofd?

Ik heb de de KB van micosoft al doorzocht en er staat genoeg over Auditing en het instellen ervan, maar ik kan nergens iets vinden over het verplaatsen van bestanden die gelogt kunnen worden.

Intel I7 970 CPU | Asus Rampage III Extreme | Asus ROG Strix GTX 1060 OC | Lian Li V1200 Case | Ocz Revodrive 3 X2 240GB | 12 GB Corsair Dominator | Creative Recon 3D | Corsair AX750 PSU | | Oxize Photography: www.Oxize.nl


  • liledevil
  • Registratie: Oktober 2002
  • Laatst online: 15-01-2024

liledevil

DELL EVIL I

Als een bestand verplaatst worden van server naar server betekend het dat er op de ene server een bestand wordt aangemaakt en op de andere 1 verwijderd.
Als je echter binnen 1 server bestanden verplaatst weet ik niet precies hoe hij dit zou kunnen zien, maar ik denk bijvoorbeeld aan attributes die gewijzigd worden.
Wellicht dat het auditen hiervan iets oplevert, maar ik heb verder geen kant en klare oplossing voor je helaas.

if you pay peanuts, you get monkeys


  • Oxize
  • Registratie: December 2000
  • Laatst online: 15-02 21:44

Oxize

Social Engineering Specialist

Topicstarter
Meestal blijven de bestanden op 1 server.

Intel I7 970 CPU | Asus Rampage III Extreme | Asus ROG Strix GTX 1060 OC | Lian Li V1200 Case | Ocz Revodrive 3 X2 240GB | 12 GB Corsair Dominator | Creative Recon 3D | Corsair AX750 PSU | | Oxize Photography: www.Oxize.nl


Verwijderd

Tja het lijkt me toch niet zo moeilijk. Zet auditing volledig aan op een testfolder en verplaatst wat bestanden/folders. Kijk in de logging wat het oplevert aan meldingen en verminder vervolgens wat je logt, net zolang totdat je precies ziet wat je wilt zien.

succes

  • Oxize
  • Registratie: December 2000
  • Laatst online: 15-02 21:44

Oxize

Social Engineering Specialist

Topicstarter
Dat heb ik allang uitgeprobeerd en helaas werkt dat niet zo.

[Edit]
Probleem opgelost

[ Voor 19% gewijzigd door Oxize op 22-12-2006 12:10 ]

Intel I7 970 CPU | Asus Rampage III Extreme | Asus ROG Strix GTX 1060 OC | Lian Li V1200 Case | Ocz Revodrive 3 X2 240GB | 12 GB Corsair Dominator | Creative Recon 3D | Corsair AX750 PSU | | Oxize Photography: www.Oxize.nl


  • liledevil
  • Registratie: Oktober 2002
  • Laatst online: 15-01-2024

liledevil

DELL EVIL I

Kun je ook zeggen hoe? Ik zie dit probleem bij mij ook nog ontstaan aangezien ik het hier wil gaan toepassen de komende periode. Pak het liever op met wat meer ervaring in mijn rugzakje. :)

if you pay peanuts, you get monkeys


  • Cafun
  • Registratie: Maart 2002
  • Laatst online: 18-01 02:10
Ik ben ook wel benieuwd naar de oplossing :)

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 17:13

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Oxize schreef op vrijdag 22 december 2006 @ 11:01:
Sommige personen vonden het leuk om bestanden te verwijderen/verplaatsen die de andere afdeling nodig had. Ik heb toen overlegt met mijn coordinator wat we hieraan kunnen doen, en auditing aangezet.
Waarom zet je gewoon geen NTFS resctricties zodat personen van Afdeling A, niet kunnen rotzooien met gegevens van Afdeling B?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Pagina: 1