[Techinfo] windows mappák naplózása

Gyulai László gyulail at turr.edu.hu
2023. Feb. 20., H, 08:41:56 CET


A ChatGPT öntelt elégedettséggel tudja tálalni a téves információt. De 
olyant is olvastam már, hogy szándékosan hazudik.

De ha ez éppen igaz, akkor jól értem, hogy ezt előre be kell állítani, 
és csak az ez utáni eseményekre lesz érvényes.

A kérdezőnél nekem van egy olyan gyanúm, hogy valami múltban már 
megtörtént eseményt próbálna visszakeresni utólag, így erre az említett 
megoldás nem lenne jó egy működő időgép nélkül.

Az event viewer security logban elvileg a 4670 event id-re kéne szűrni, 
az a jogosultság változás egy objektumon.

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4670

Én most megpróbáltam szűrni a mi szerverünkön, és nincs 4670-es event id 
a logban. Tehát valószínű tényleg be kell előtte állítani, hogy logolja 
ezt is.

Beállítani így lehet:

https://www.lepide.com/how-to/track-permission-changes-on-file-servers.html

Esetleg ha fájl elérést is logolni kell, akkor még a 4663-as event id is 
játszik.

https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4670

https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4663


2023.02.17. 18:23 keltezéssel, Valent Zsolt via Techinfo írta:
> Szia!
>
> ChatGPT általi válasz:
>
> "Igen, a Windows 2016 szerveren lehetőség van arra, hogy megjelenítsük 
> a mappák jogosultsági beállításait és a változások előzményeit. Ehhez 
> kövesse az alábbi lépéseket:
>
> 1.
>
>     Kattintson a jobb gombbal a mappára, majd válassza a "Properties"
>     (Tulajdonságok) lehetőséget.
>
> 2.
>
>     Kattintson a "Security" (Biztonság) fülre.
>
> 3.
>
>     Kattintson a "Advanced" (Speciális) gombra.
>
> 4.
>
>     A "Advanced Security Settings" (Speciális biztonsági beállítások)
>     ablakban válassza ki a "Auditing" (Ellenőrzés) fület.
>
> 5.
>
>     Kattintson a "Continue" (Folytatás) gombra a felugró üzenetben.
>
> 6.
>
>     Kattintson a "Add" (Hozzáadás) gombra, majd írja be azoknak a
>     felhasználóknak vagy csoportoknak a nevét, akiknek az aktivitását
>     követni szeretné.
>
> 7.
>
>     Az "Auditing Entry for [Folder Name]" (Ellenőrzési bejegyzés a
>     [mappa neve] mappához) ablakban válassza ki azokat a
>     tevékenységeket, amelyeket követni szeretne (pl. mappa hozzáférési
>     jogok módosítása, fájlok törlése stb.).
>
> 8.
>
>     Kattintson az "OK" gombra az ablak bezárásához, majd ismét
>     kattintson az "OK" gombra a "Advanced Security Settings"
>     (Speciális biztonsági beállítások) ablakban.
>
> Most már be van állítva az ellenőrzés, és az összes kiválasztott 
> tevékenység rögzítésre kerül egy naplófájlban. Az eseménynaplóban 
> lehetőség van megtekinteni, hogy ki mikor végzett ilyen 
> tevékenységeket a mappában. Az eseménynapló megtekintéséhez kövesse az 
> alábbi lépéseket:
>
> 1.
>
>     Nyissa meg az "Event Viewer" (Eseménynéző) alkalmazást a Windows
>     Serveren.
>
> 2.
>
>     Az eseménynaplók között válassza ki a "Security" (Biztonság) naplót.
>
> 3.
>
>     Az "Event ID" (Eseményazonosító) oszlopban keressen olyan
>     eseményeket, amelyek a beállított ellenőrzési tevékenységeket
>     tartalmazzák.
>
> 4.
>
>     Kattintson duplán az eseményre, hogy megjelenjenek a részletek,
>     beleértve azt is, hogy ki mikor és milyen jogot adott vagy vett el."
>
> De majd jön valaki aki használja és megírja a tutit :)
>
> Zsolt
>
> Vojcsek Csaba via Techinfo <techinfo at lista.edu.hu> ezt írta (időpont: 
> 2023. febr. 17., P, 14:37):
>
>     Sziasztok,
>
>     olyan kérdésem lenne, hogy windows szerveren lévő mappának a
>     biztonsági beállításoknál ki lehet-e valahogy listázni hogy ki
>     mikor kinek milyen jogot adott illetve vett el?
>
>     windows server 2016 standard
>
>     Köszönöm!
>
>     VCS
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <https://listserv.niif.hu/pipermail/techinfo/attachments/20230220/07e395e5/attachment.htm>


További információk a(z) Techinfo levelezőlistáról