Ich suche ein Tool für Windows 7 Prof mit dem ich obiges durchführen kann. Gibt es so etwas?
https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite Das ist eine Sammlung von Tools, die alles mögliche anzeigen können. fchk
Permissions schrieb: > Gibt es so etwas? In Windows eingebaut: Datei -> Eigenschaften -> Sicherheit -> Erweitert -> Überwachung Georg
georg schrieb: > Permissions schrieb: >> Gibt es so etwas? > > In Windows eingebaut: Datei -> Eigenschaften -> Sicherheit -> Erweitert > -> Überwachung +1 Geht (anscheinend) auch mit Ordnern und auch ganzen Laufwerken.
georg schrieb: > Permissions schrieb: >> Gibt es so etwas? > > In Windows eingebaut: Datei -> Eigenschaften -> Sicherheit -> Erweitert > -> Überwachung > > Georg Das ist interessant, diese Funktion kannte ich noch nicht. Ich habe jetzt mal für einen Ordner einen Überwachungseintrag wie oben angegeben erstellt und als Name "Administratoren" ausgewählt. Im Feld "Übernehmen für" habe ich die Option "Ordner, Unterordner und Dateien" ausgewählt. Bei Zugriff, Erfolg und Fehler habe ich überall da ein Häkchen gesetzt, wo irgendwelche Änderungen oder Schreibvorgänge stattfinden. Also kein Leseversuch. Anschließend habe ich alles übernommen und das Konfigurationsfenster entsprechend geschlossen. Dann habe ich mit einfachen Benutzerrechten in dem Ordner versucht eine Datei mit Notepad zu schreiben, da der Benutzer keine Schreibrechte in diesen Ordner hat, schlug der Schreibversuch natürlich fehl, allerdings habe ich in der Ereignisanzeige -> Windows-Protokolle -> Sicherheit danach keinen Eintrag über den Schreibversuch gefunden. Wo kann ich denn das Log für diese Überwachung bzw. diesen Schreibversuch einsehen bzw. warum wurde in der Ereignisanzeige nichts eingetragen? Was ich in der Log jetzt bspw. gerne sehen würde ist, dass in dem Ordner versucht wurde eine Datei zu erstellen und welchen Dateinamen diese tragen sollte.
Die Eventanzeige hat einen abgewehrten Schreibzugriff sicher gespeichert. Allerdings ist die Uebersichtlichkeit der Ereignisse nicht so toll. - Eventviewer, von der commandline - Windows Logs - Security da muesste nun ein audit fail drin stehen.
und schon wieder hagelt es sinnfreie Negativ-Bewertungen...
Jetzt ist G. schrieb: > Die Eventanzeige hat einen abgewehrten Schreibzugriff sicher > gespeichert. Nö, hat er nicht. Auditing muss man mit GPEdit (oder Regedit, wenn man den Key kennt) erst "scharf" stellen. Was verständlich ist, denn diese Art der Überwachung kann Performance kosten. Wenn es wie in der Überschrift des Threads nur um ein einzelnes Programm geht, ist "Procmon" von den o.g. Sysinternals die bessere Variante.
Jetzt ist G. schrieb: > - Eventviewer, von der commandline > - Windows Logs > - Security > > da muesste nun ein audit fail drin stehen. Leider nicht, das ist genau der Ort, wo ich gesucht habe und oben angegeben habe. Bei mir sind die Begrtiffe lediglich in Deutsch. "Ereignisanzeige -> Windows-Protokolle -> Sicherheit" Eventviewer = Ereignisanzeige Windows Logs = Windows-Protokolle Security = Sicherheit Jim M. schrieb: > Jetzt ist G. schrieb: >> Die Eventanzeige hat einen abgewehrten Schreibzugriff sicher >> gespeichert. > > Nö, hat er nicht. Auditing muss man mit GPEdit (oder Regedit, wenn man > den Key kennt) erst "scharf" stellen. Ist das in GPEdit der Schlüssel unter "Richtlinien für Lokaler Computer"->Computerkonfiguration->Windows-Einstellungen->Sicherheitseins tellungen->"Lokale Richtlinien"->Sicherheitsoptionen Und dort dann die Richtlinie "Überwachung: Zugriff auf globale Systemobjekte prüfen"? Ist das der Key, der aktiviert werden müsste, um diese Überwachungsfunktion zu nutzen bzw. in der Ereignisanzeige entsprechende Logs zu haben? > Was verständlich ist, denn diese Art der Überwachung kann Performance > kosten. Das beschränkt sich jetzt aber nur auf die Ordner- und Dateizugriffe, die innerhalb der Ordner stattfinden, für die man eine Überwachung eingerichtet hat, richtig? > Wenn es wie in der Überschrift des Threads nur um ein einzelnes Programm > geht, ist "Procmon" von den o.g. Sysinternals die bessere Variante. Procmon habe ich gerade ausprobiert. Wenn ich den Prozessnamem zum Evenfilter hinzufüge, dann noch die Operation "CreateFile" zum Eventfilter und zum Schluss noch das Result "ACCESS DENIED", also 3 Filter, dann wird das weitgehend auf den einen gesuchten Schreibzugriff übersichtlich eingeschränkt. Damit sollte es also auch funktionieren. Wenn ich zu viel gefiltert habe und möglicherweise mit diesen 3 Filtern etwas übersehen werden könnte, bitte sagen. Auf jeden Fall sage ich hiermit noch Danke für eure Hilfe.
Permissions schrieb: > Das beschränkt sich jetzt aber nur auf die Ordner- und Dateizugriffe, > die innerhalb der Ordner stattfinden, für die man eine Überwachung > eingerichtet hat, richtig? Nein, nicht richtig. Um festzustellen, ob eine Überwachung angeordnet ist, muss ja JEDER Dateizugriff überprüft werden. Georg
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.