mikrocontroller.net

Forum: PC Hard- und Software Schreibzugriffe eines Programms auf Ordner und Dateien aufzeichnen?


Autor: Permissions (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich suche ein Tool für Windows 7 Prof mit dem ich obiges durchführen 
kann.
Gibt es so etwas?

Autor: Frank K. (fchk)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite

Das ist eine Sammlung von Tools, die alles mögliche anzeigen können.

fchk

Autor: georg (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Permissions schrieb:
> Gibt es so etwas?

In Windows eingebaut: Datei -> Eigenschaften -> Sicherheit -> Erweitert 
-> Überwachung

Georg

Autor: Mike B. (Firma: Buchhaltung+Controlling) (mike_b97) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
georg schrieb:
> Permissions schrieb:
>> Gibt es so etwas?
>
> In Windows eingebaut: Datei -> Eigenschaften -> Sicherheit -> Erweitert
> -> Überwachung

+1

Geht (anscheinend) auch mit Ordnern und auch ganzen Laufwerken.

Autor: Permissions (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
georg schrieb:
> Permissions schrieb:
>> Gibt es so etwas?
>
> In Windows eingebaut: Datei -> Eigenschaften -> Sicherheit -> Erweitert
> -> Überwachung
>
> Georg

Das ist interessant, diese Funktion kannte ich noch nicht.


Ich habe jetzt mal für einen Ordner einen Überwachungseintrag wie oben 
angegeben erstellt und als Name "Administratoren" ausgewählt.
Im Feld "Übernehmen für" habe ich die Option "Ordner, Unterordner und 
Dateien" ausgewählt.
Bei Zugriff, Erfolg und Fehler habe ich überall da ein Häkchen gesetzt, 
wo irgendwelche Änderungen oder Schreibvorgänge stattfinden. Also kein 
Leseversuch.
Anschließend habe ich alles übernommen und das Konfigurationsfenster 
entsprechend geschlossen.

Dann habe ich mit einfachen Benutzerrechten in dem Ordner versucht eine 
Datei mit Notepad zu schreiben, da der Benutzer keine Schreibrechte in 
diesen Ordner hat, schlug der Schreibversuch natürlich fehl, allerdings 
habe ich in der Ereignisanzeige -> Windows-Protokolle -> Sicherheit 
danach keinen Eintrag über den Schreibversuch gefunden.

Wo kann ich denn das Log für diese Überwachung bzw. diesen 
Schreibversuch einsehen bzw. warum wurde in der Ereignisanzeige nichts 
eingetragen?

Was ich in der Log jetzt bspw. gerne sehen würde ist, dass in dem Ordner 
versucht wurde eine Datei zu erstellen und welchen Dateinamen diese 
tragen sollte.

Autor: Name H. (hacky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die Eventanzeige hat einen abgewehrten Schreibzugriff sicher 
gespeichert. Allerdings ist die Uebersichtlichkeit der Ereignisse nicht 
so toll.
- Eventviewer, von der commandline
- Windows Logs
- Security

da muesste nun ein audit fail drin stehen.

Autor: Mike B. (Firma: Buchhaltung+Controlling) (mike_b97) Benutzerseite
Datum:

Bewertung
-4 lesenswert
nicht lesenswert
und schon wieder hagelt es sinnfreie Negativ-Bewertungen...

Autor: Jim M. (turboj)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Jetzt ist G. schrieb:
> Die Eventanzeige hat einen abgewehrten Schreibzugriff sicher
> gespeichert.

Nö, hat er nicht. Auditing muss man mit GPEdit (oder Regedit, wenn man 
den Key kennt) erst "scharf" stellen.

Was verständlich ist, denn diese Art der Überwachung kann Performance 
kosten.

Wenn es wie in der Überschrift des Threads nur um ein einzelnes Programm 
geht, ist "Procmon" von den o.g. Sysinternals die bessere Variante.

Autor: Permissions (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jetzt ist G. schrieb:
> - Eventviewer, von der commandline
> - Windows Logs
> - Security
>
> da muesste nun ein audit fail drin stehen.

Leider nicht, das ist genau der Ort, wo ich gesucht habe und oben 
angegeben habe. Bei mir sind die Begrtiffe lediglich in Deutsch.

"Ereignisanzeige -> Windows-Protokolle -> Sicherheit"

Eventviewer = Ereignisanzeige
Windows Logs = Windows-Protokolle
Security = Sicherheit

Jim M. schrieb:
> Jetzt ist G. schrieb:
>> Die Eventanzeige hat einen abgewehrten Schreibzugriff sicher
>> gespeichert.
>
> Nö, hat er nicht. Auditing muss man mit GPEdit (oder Regedit, wenn man
> den Key kennt) erst "scharf" stellen.

Ist das in GPEdit der Schlüssel unter
"Richtlinien für Lokaler 
Computer"->Computerkonfiguration->Windows-Einstellungen->Sicherheitseins 
tellungen->"Lokale  Richtlinien"->Sicherheitsoptionen

Und dort dann die Richtlinie "Überwachung: Zugriff auf globale 
Systemobjekte prüfen"?

Ist das der Key, der aktiviert werden müsste, um diese 
Überwachungsfunktion zu nutzen bzw. in der Ereignisanzeige entsprechende 
Logs zu haben?



> Was verständlich ist, denn diese Art der Überwachung kann Performance
> kosten.

Das beschränkt sich jetzt aber nur auf die Ordner- und Dateizugriffe, 
die innerhalb der Ordner stattfinden, für die man eine Überwachung 
eingerichtet hat, richtig?



> Wenn es wie in der Überschrift des Threads nur um ein einzelnes Programm
> geht, ist "Procmon" von den o.g. Sysinternals die bessere Variante.

Procmon habe ich gerade ausprobiert.
Wenn ich den Prozessnamem zum Evenfilter hinzufüge, dann noch die 
Operation "CreateFile" zum Eventfilter und zum Schluss noch das Result 
"ACCESS DENIED", also 3 Filter, dann wird das weitgehend auf den einen 
gesuchten Schreibzugriff übersichtlich eingeschränkt.
Damit sollte es also auch funktionieren. Wenn ich zu viel gefiltert habe 
und möglicherweise mit diesen 3 Filtern etwas übersehen werden könnte, 
bitte sagen.

Auf jeden Fall sage ich hiermit noch Danke für eure Hilfe.

Autor: georg (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Permissions schrieb:
> Das beschränkt sich jetzt aber nur auf die Ordner- und Dateizugriffe,
> die innerhalb der Ordner stattfinden, für die man eine Überwachung
> eingerichtet hat, richtig?

Nein, nicht richtig. Um festzustellen, ob eine Überwachung angeordnet 
ist, muss ja JEDER Dateizugriff überprüft werden.

Georg

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.