none
AUDIT RRS feed

  • Domanda

  • Salve
    ho un dominio window 2003 r2 sp2 e un member server windows 2008 64 bit che gestisce una lun di una san, su questo disco ho creato delle condivisioni di rete e dato i permessi per accedere a queste condivisioni.
    Ora dovrei attivare il controllo sugli accessi ad un determinata cartella per vedere  cosa fanno gli utenti sui faile s contenuti in essa.
    Nelle proprietà di questa cartella in Sicurezza-->avanzate-->controllo, ho inserito il gruppo di utenti che accedono allla cartella, poi nei criteri di sicurezza locale del server windows 2008 sotto la voce criteri locali--->criteri di controllo---> ho attivavo il controllo sul accesso agli oggetti oggetti.
    Nel visualizzatore eventi mi vengono presentati però i log che indicano l'accesso alle cartelle da parte degli utenti di tutto il disco e non solo gli accessi alla cartella specifica a cui ho dato il controllo.
    Cosa sbaglio?
    Grazie
    JJ 


    • Modificato Anca Popa giovedì 30 giugno 2011 09:18 typo error
    venerdì 24 giugno 2011 07:53

Risposte

  • Non si tratta di aggiungere una policy, ma di verificare se a livello "Object access events" hai almeno una policy che definishe il controllo dei File Share.

    In alternativa, puoi creare una politica che metta in disable il controllo delle file share.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    • Proposto come risposta Fabrizio Volpe mercoledì 29 giugno 2011 09:34
    • Contrassegnato come risposta Anca Popa venerdì 1 luglio 2011 07:38
    mercoledì 29 giugno 2011 09:34

Tutte le risposte

  • Se hai impostato la cosa nella maniera corretta, dovresti avere ritorni di audit solo dalla cartella.

    Guarda questo articolo e dimmi se sei nella stessa situazione

    http://www.techotopia.com/index.php/Auditing_Windows_Server_2008_File_and_Folder_Access


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    • Proposto come risposta Fabrizio Volpe venerdì 24 giugno 2011 09:36
    • Proposta come risposta annullata Anca Popa giovedì 30 giugno 2011 09:19
    venerdì 24 giugno 2011 09:36
  • ciao

    per prima cosa grazie della risposta, avevo già letto l'articolo da te segnalato e ho impostato il tutto come da articolo, ma nell'event viewers continuo a vedere l'accesso hai file da parte degli utenti su tutte le cartelle condivise quindi non ho distinzione tra i log degli accessi alla cartella a cui ho dato il controllo e le altre cartelle
    Grazie

    venerdì 24 giugno 2011 09:52
  • Le policy di Windows 2008 prevedono anche la possibilità di fare controlli audit sulle shares (non solo sul file system).

    Verifica di non avere l'audit sulle share abilitato

    http://technet.microsoft.com/en-us/library/dd560628(WS.10).aspx

     


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 24 giugno 2011 10:17
  • ciao io ho abilitato questo:

    EREDITATE DAL DC:
    1) Controlla accesso al servizio directory
    2) Controlla eventi accesso account
    3) Controlla eventi di sistema
    4) Controlla gestione degli account

    ABILITATE ORA
    1) Controlla accesso agli oggetti (come criterio loale su windows 2008

    venerdì 24 giugno 2011 10:31
  • Non si tratta di aggiungere una policy, ma di verificare se a livello "Object access events" hai almeno una policy che definishe il controllo dei File Share.

    In alternativa, puoi creare una politica che metta in disable il controllo delle file share.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    • Proposto come risposta Fabrizio Volpe mercoledì 29 giugno 2011 09:34
    • Contrassegnato come risposta Anca Popa venerdì 1 luglio 2011 07:38
    mercoledì 29 giugno 2011 09:34