none
Не регистрируется событие в журнале безопасности при создании папки. RRS feed

 > 

  • Общие обсуждения

  • Discussion
    Нужно войти
    0
    Нужно войти

    Настроен аудит файлов и папок.  Для других действий работает (создание/модификация файлов, удаление файлов/папок, смена разрешений).  А при создании пустой папки - события нет.

    Так и должно быть или я что-то неправильно делаю ?

    Аудит настроен через "auditpol":
    auditpol /set /subcategory:"File System" /success:enable /failure:disable
    auditpol /set /subcategory:"File Share" /success:enable /failure:disable
    auditpol /set /subcategory:"Handle Manipulation" /success:enable /failure:disable

    В свойствах NTFS (скриншот слеплен из двух):

    Пробовал ставить "Full Control" - не помогает.

    Windows Server 2008 R2 Enterprise English SP1.
    Установлены все обновления с Windows Update (исключая IE9/10)

    4 июня 2013 г. 5:38
    |

Все ответы

  • Discussion
    Нужно войти
    1
    Нужно войти

    Добрый день.

    Посмотрите вот здесь

    http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/7d8f668a-bf9a-48ba-808e-68ede4820921/

    Печенкин Николай

    4 июня 2013 г. 6:07
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    Я не вижу там никакого решения.  Что конкретно вы имели ввиду ?

    4 июня 2013 г. 6:59
    |
  • Discussion
    Нужно войти
    1
    Нужно войти
    Установите галку Чтение атрибутов

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    • Изменено PuCtoy 4 июня 2013 г. 7:17
    4 июня 2013 г. 7:17
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    Я писал в первом сообщении:  Пробовал ставить "Full Control" - не помогает.
    Появляется куча событий чтения, лог моментально замусоривается, а события создания папки всё равно нет.

    4 июня 2013 г. 7:35
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    Event Type: Success Audit

    Event Source:    Security

    Event Category: Object Access

    Event ID:    560

    Там же написано

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    4 июня 2013 г. 7:44
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    Ну так и я о том же ! - куча событий чтения. События создания папки - НЕТ.
    Accesses:   READ_CONTROL
                      ACCESS_SYS_SEC
                      ReadAttributes


    4 июня 2013 г. 7:54
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    Как бы вам объяснить именно КОНКРЕТНО СОЗДАНИЯ ПАПКИ СОБЫТИЯ НЕТУ есть общий ID доступа к объектам аудита

    http://support.microsoft.com/kb/841001

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    • Изменено PuCtoy 4 июня 2013 г. 8:01
    4 июня 2013 г. 7:59
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    Как же нет ?!
    EventID 4663 c AccessMask = 0x4 (FILE_ADD_SUBDIRECTORY)

    Вопрос в том почему оно не регистрируется ?

    Если же вы уверены что оно и не должно регистрироваться - не могли бы вы привести ссылку на статью (желательно MS) в которой это явно написано ?

    4 июня 2013 г. 8:18
    |
  • Discussion
    Нужно войти
    1
    Нужно войти

    4663 говорит о попытке доступа к объекту

    0x4 (FILE_ADD_SUBDIRECTORY) Grants the right to append data to the file. For a directory, this value grants the right to create a subdirectory. Дает право на добавление данных в файл. Для каталога, это значение дает право создать подкаталог.

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.


    • Изменено PuCtoy 4 июня 2013 г. 8:39
    4 июня 2013 г. 8:38
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    Вам не нравится "Grants the right" ?  Так это просто такой оборот. Он же используется при описании других событий.
    И эти события замечательно регистрируются.

    Например:
    0x2 - FILE_ADD_FILE - Grants the right to write data to the file... (Создание/модификация файлов)
    0x10000 - DELETE - Grants delete access. (Удаление файлов и папок)

    4 июня 2013 г. 8:52
    |
  • Discussion
    Нужно войти
    1
    Нужно войти

    я думаю что в данном случае подразумевается что Право на удаление предоставлено

    В общем поковырялся у себя в журнале после создания каталога появляется запись

    Событие 4656

    Запрошен дескриптор объекта.

    Субъект:

    Код безопасности:  домен\юзер

    Имя учетной записи:  юзер

    Домен учетной записи:  домен

    Код входа: 0x5bd52

    Объект:

    Сервер объекта: Security

    Тип объекта: File

    Имя объекта: D:\Пиявка\111test

    Код дескриптора: 0x1700

    Сведения о процессе:

    Код процесса: 0xd6c

    Имя процесса: C:\Windows\explorer.exe

    Сведения о запросе на доступ:

    Код транзакции: {00000000-0000-0000-0000-000000000000}

    Доступ: READ_CONTROL

    ReadAttributes

    Причины доступа: READ_CONTROL: Предоставлено владельцем

    ReadAttributes: Кем выдано: D:(A;;FA;;;BA)

    Маска доступа: 0x20080

    Привилегии, используемые для проверки доступа: -

    Число ограниченных ИД безопасности: 0

    Предполагаю что надо искать с таким дескриптором

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    • Изменено PuCtoy 5 июня 2013 г. 13:33
    4 июня 2013 г. 9:15
    |
  • Discussion
    Нужно войти
    1
    Нужно войти
    Вот еще в помощь

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    5 июня 2013 г. 13:46
    |