Como determinar o novo nome de arquivo do log de auditoria na renomeação?

Question

Como determinar o novo nome de arquivo do log de auditoria na renomeação?

#1 resposta do (3 votos)

6

[Auditoria do sistema de arquivos do Windows 2008 R2]

Quando eu excluo o arquivo, duas mensagens de auditoria do log de eventos são exibidas: 4663 , que significa solicitação de exclusão do arquivo e 4660 , que confirma a exclusão. Isso pode ser associado ao atributo Handler .

Quando renomeio o arquivo, duas mensagens de auditoria de log de eventos são exibidas: 4663 , que significa solicitação de exclusão de arquivo e 4663 para criar novo arquivo (mas há apenas caminho de pasta, sem nome de arquivo)

Quando eu movo o arquivo de uma pasta para outra, há a mesma imagem que a renomeação (porque mover está realmente renomeando, OK)

Quando eu crio um novo arquivo, nenhum evento aparece.

Então, perguntas: 1. O que estou perdendo para auditar a criação de arquivos? 2. O que estou perdendo para auditar renomeação de arquivos?

Minhas exportações AuditPol.EXE (DACL e SACL):

Category/Subcategory                      Setting
System
  Security System Extension               Failure
  System Integrity                        Failure  
  IPsec Driver                            Failure    
  Other System Events                     Failure  
  Security State Change                   Failure    
Logon/Logoff
  Logon                                   Success and Failure   
  Logoff                                  Success and Failure    
  Account Lockout                         Success and Failure    
  IPsec Main Mode                         Success and Failure    
  IPsec Quick Mode                        Success and Failure    
  IPsec Extended Mode                     Success and Failure    
  Special Logon                           Success and Failure    
  Other Logon/Logoff Events               Success and Failure    
  Network Policy Server                   Success and Failure    
Object Access
  File System                             Success    
  Registry                                No Auditing    
  Kernel Object                           No Auditing    
  SAM                                     No Auditing    
  Certification Services                  No Auditing    
  Application Generated                   No Auditing    
  Handle Manipulation                     No Auditing    
  File Share                              No Auditing    
  Filtering Platform Packet Drop          No Auditing    
  Filtering Platform Connection           No Auditing    
  Other Object Access Events              No Auditing    
  Detailed File Share                     No Auditing    
Privilege Use
  Sensitive Privilege Use                 Failure    
  Non Sensitive Privilege Use             Failure    
  Other Privilege Use Events              Failure    
Detailed Tracking
  Process Termination                     Failure    
  DPAPI Activity                          Failure    
  RPC Events                              Failure    
  Process Creation                        Failure    
Policy Change
  Audit Policy Change                     Failure    
  Authentication Policy Change            Failure    
  Authorization Policy Change             Failure    
  MPSSVC Rule-Level Policy Change         Failure    
  Filtering Platform Policy Change        Failure    
  Other Policy Change Events              Failure    
Account Management
  User Account Management                 Failure    
  Computer Account Management             Failure    
  Security Group Management               Failure    
  Distribution Group Management           Failure    
  Application Group Management            Failure    
  Other Account Management Events         Failure    
DS Access
  Directory Service Changes               No Auditing    
  Directory Service Replication           No Auditing    
  Detailed Directory Service Replication  No Auditing    
  Directory Service Access                Success    
Account Logon
  Kerberos Service Ticket Operations      Success and Failure    
  Other Account Logon Events              Success and Failure    
  Kerberos Authentication Service         Success and Failure    
  Credential Validation                   Success and Failure

Entry:            1    
Resource Type:    File   
User:             CONTOSO\Domain Users    
Flags:            Success    
Accesses:
    FILE_WRITE_DATA
    FILE_APPEND_DATA
    FILE_DELETE_CHILD
    DELETE    
The command was successfully executed.

'

windows-server-2008-r2 audit

por filimonic 24.07.2014 / 20:48

1 resposta

Tags windows-server-2008-r2 audit

PHP5-FPM não cria diretório de socket unix dentro de / var / run Como posso desativar um Cache do Redis do Azure?

score 3 · Answer 1

Esta é uma resposta complexa. Enquanto eu coleto os links relevantes (que consistem em razões - isso é difícil de ser feito com segurança dentro do sistema de auditoria) tente isto:

Use SysMon e faça o pivot de EventID 2 .

Relacionadas pergunta não respondida .

¹ Eles se resumem ao comportamento da API CreateFile (), diferentes parâmetros que podem receber, de onde, hooking, arquitetura e o que o consumidor faz com o handle depois de obtê-lo. Detectar alterações no tempo de arquivo criado deve se livrar de tudo isso.