none
建立「稽核原則」如何知道「建立」、「修改」的「事件識別碼」

    問題

  • 各位「前輩」大家好:

    最近看了「TigerLin」所寫的「Windows 企業資訊安全稽核應用導入系列」,也跟著做「Lab」,但是有許多疑惑。

    1. 我有 設定「群組原則」=>「稽核原則」。 分別啟用「稽核目錄服務存取」、「稽核物件存取」、「稽核帳戶登入事件」。

    2. 設定「資料夾」做分享 => 設定「安全性」的「進階」加入「稽核」的「群組」。

    刪除檔案時會產生「4663」的「事件識別碼」。

    建立」及「修改」卻出現「5140」及「5145」請問這是正常「刪除」及「修改」的「事件識別碼」嗎?

    拜託各位前輩解惑 ~ 萬分感激。


    • 已編輯 OoLandyoO 2012年1月16日 上午 08:02 標題打錯
    2012年1月16日 上午 06:14

所有回覆

  • 沒看到您的詳細訊息,查了一下 Event ID

    5140: A network share object was accessed

    http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=5140

    5145: A network share object was checked to see whether client can be granted desired access

    http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=5145


    歡迎參觀我的Blog.NET菜鳥自救會
    2012年1月16日 上午 06:45
  • Dear 小歐ou:

    我做的「Lab」檢查到的「5145」如下:

    PS. 經過細心「檢查」過「5145」「比較接近」的如下,我在「C:\Test」底下,建立一份「新增資料夾

    ==========================================

     

    已檢查網路共用物件,查看是否可授與用戶端想要的存取權。

    主體:

    安全性識別碼: Home\Landy

    帳戶名稱: Landy

    帳戶網域: Home

    登入識別碼: 0x41fb35

    網路資訊:

    物件類型: File

    來源位址: 192.168.47.162

    來源連接埠: 65456

    共用資訊:

    共用名稱: \\*\Test

    共用路徑: \??\C:\Test

    相對目標名稱: 新增資料夾

    存取要求資訊:

    存取遮罩: 0x100081

    存取: SYNCHRONIZE

    ReadData (或 ListDirectory)

    ReadAttributes

    存取檢查結果:

    SYNCHRONIZE: 授與者 D:(A;;FA;;;BU)

    ReadData (或 ListDirectory): 授與者 D:(A;;FA;;;BU)

    ReadAttributes: 授與者 D:(A;;FA;;;BU)

    ==========================================

    我在想,會不會是我在「啟用」,「稽核原則」遺漏了那些。

    目前我只啟用稽核目錄服務存取」、「稽核物件存取」、「稽核帳戶登入事件」。(三樣)

    在設定「資料夾」設定「進階」的「稽核」我勾選了「建立檔案/寫入資料」、「建立資料夾/附加資料」、「刪除子資料及檔案」、「刪除」。 (四樣)

     

    2012年1月16日 上午 07:57
  • 我在想,會不會是我在「啟用」,「稽核原則」遺漏了那些。

    目前我只啟用稽核目錄服務存取」、「稽核物件存取」、「稽核帳戶登入事件」。(三樣)

    在設定「資料夾」設定「進階」的「稽核」我勾選了「建立檔案/寫入資料」、「建立資料夾/附加資料」、「刪除子資料及檔案」、「刪除」。 (四樣)

     

    你做的測試是在什麼版本的作業系統?
    或者操作方式為何?
    因為從訊息看起來有點怪,
    有來源位置的 IP,
    另外刪除檔案所產生的事件識別碼是 4663 沒錯。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    Windows 7 技術支援中心
    2012年1月16日 上午 09:47
    版主
  • AskaSu 老師你好:

    我的「測試環境」只有「兩臺

    一台「 Windows AD (192.168.47.146)」( AD Server 、啟用「稽核原則」、建立「資料夾」分享) 

    一台「Clinet (192.168.47.162)」( 加入網域 ) 

    然後我就 使用「Clinet」連結「\\192.168.47.146」, 「建立」、「修改」、「新增」、「刪除」。

    伺服器」=>「診斷」=>「事件檢視器」=>「Windows 紀錄」=>「安全性」,加以觀察「Event Log」會「產生哪些」「事件識別碼」。

    OS Version:

    Server 2008 R2 SP1 Enterprise (AD)

    Windows 7 旗艦版 SP1 (Clinet)

     

    • 已編輯 OoLandyoO 2012年1月17日 上午 01:02
    2012年1月17日 上午 12:58
  • 不敢說自己是老師,
    不過我試著也模擬你的設定及環境,
    透過網路存取另一台主機的分享,
    在該分享中新建或刪除一個資料夾,
    的確會有 5145 或 4663 的事件 ID,
    不知道你所謂的正常不正常是指什麼?
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    Windows 7 技術支援中心
    2012年1月17日 上午 06:07
    版主
  • 2012年1月17日 上午 06:28
    版主
  • Dear AskaSu :

    刪除」檔案會明確產生「4663事件 ID,我想表達的是說,如果我「建立」或「修改」會不會明確的產生事件ID,這樣我可以精準的使用「篩選紀錄」直接找到「建立」or「修改」的「Event ID」。

     

    範例:

    當我使用「篩選紀錄」只要找到「4663」這樣的「Event ID」,就可以很快知道是那些「使用者」刪除了檔案。

    可是如果我找「5145」就會看到一堆不明確的「Event ID」,沒辦法判斷是誰「建立」or「修改」。

    2012年1月18日 上午 12:33