Modificação do Atributo do Arquivo de Auditoria do Compartilhamento de Arquivos do Windows Server

Question

Modificação do Atributo do Arquivo de Auditoria do Compartilhamento de Arquivos do Windows Server

#1 resposta do (1 votos)
#2 resposta do (1 votos)

3

Meu objetivo é identificar qual usuário definiu o atributo Oculto em um arquivo no compartilhamento de arquivos local.

Eu ativei a auditoria de acesso ao Compartilhamento de arquivos de acordo com este artigo . Resumindo: Adicionada uma entrada de política de grupo para permitir que certos acessos sejam gravados no log de eventos + auditoria ativada no nível de pasta para todos os tipos de acesso.

Como resultado, obtenho essas entradas no log de eventos:

Subject:
    Security ID:        Domain\Username
    Account Name:       Username
    Account Domain:     Domain
    Logon ID:       0x329558

Object:
    Object Server:      Security
    Object Type:        File
    Object Name:        E:\share\filename.xml
    Handle ID:      0xfc4
    Resource Attributes:    S:AI

Process Information:
    Process ID:     0x4
    Process Name:       

Access Request Information:
    Accesses:       WriteAttributes

    Access Mask:        0x100

Quais atributos exatamente o usuário definiu? É o que está listado em atributos de recursos? Eles não se parecem com 'Oculto', e eu não obtenho nenhuma outra entrada no Registro de Eventos do tipo WriteAttributes (eu procuro completamente via PowerShell). E algum processo está definitivamente definindo essa bandeira oculta.

Perguntas:

Esta entrada do registro de eventos contém informações sobre os atributos que o aplicativo realmente definiu?
De que outra forma posso acompanhar esta atividade? O Process Monitor não capturou um único evento SetBasicinformationFile, mas o arquivo ainda ficou oculto!

windows-server-2008-r2 audit windows-event-log

por Tony Sepia 20.10.2018 / 18:10

2 respostas

1

A auditoria de arquivos / compartilhamentos não fornece detalhes completos do que foi alterado. Atributos de Recurso é para o recurso Controle de Acesso Dinâmico, para fornecer informações granulares sobre os critérios de classificação do DAC que causaram o evento de auditoria.

O ProcMon no servidor pode funcionar, mas é necessário ter cuidado com a configuração. Ele deve ser configurado para descartar eventos filtrados, coletar apenas eventos de arquivo, salvar em um arquivo de apoio (não memória virtual) e a operação específica (SetBasicInformationFile) e possivelmente o caminho. Você exportaria a configuração para um arquivo PMC e usaria isso ao iniciar. Também é uma boa idéia especificar um / Runtime em segundos e, em seguida, mover / renomear o arquivo quando ele terminar e reiniciá-lo, porque o ProcMon ocasionalmente se desprende e pode afetar negativamente o sistema.

por 21.10.2018 / 17:38

Tags windows-server-2008-r2 audit windows-event-log

Existe alguma tecla de atalho para sair da sombra? Afinidade do host / balanceamento de carga do Microsoft RDS na VPN

score 1 · Accepted Answer

Você deve conseguir fazer isso com um script em lote simples, no qual executa repetidamente dir /b /a:h e, em seguida, avalia o nível de erro. A opção /b é opcional, mas mostra a saída do diretório em um formato mínimo.

Quando você executar este comando, ele retornará um ERRORLEVEL de 1 quando nenhum arquivo oculto for encontrado, que é o que você deseja. Se um arquivo estiver oculto, ele retornará um ERRORLEVEL de 0, o que você não deseja, e é aí que você pode disparar algo.

Agora, isso não vai te dizer quem escondeu o arquivo, mas se você ligar com frequência suficiente (digamos a cada 30 segundos), então você terá pelo menos um período de tempo para quando isso aconteceu, e então você deve poder para correlacioná-lo com 4663 eventos que ocorreram em torno desse tempo. Eu estou supondo que você já tem auditoria nesta pasta?

Você pode chamar esse script com qualquer agendador, embora esse seja realmente um bom cenário para o utilitário EventSentry Light que tem um built-in agendador que pode acionar alertas de e-mail com base no nível de erro de qualquer script executado. Inclusive inclui a saída do script. Esse recurso é chamado de "agendador de aplicativos". É claro que você também pode escrever seu próprio script e disparar um email com o PowerShell, VBScript ou algo parecido com o blat.exe.

A parte de auditoria pode ser mais complicada se a auditoria do Windows não for granular o suficiente para capturar alguém apenas ocultando um arquivo. Mas, mesmo assim, a auditoria na pasta pai deve mostrar alguma atividade, como listagem de diretório, por exemplo.