[Techinfo] windows mappák naplózása
Gyulai László
gyulail at turr.edu.hu
2023. Feb. 20., H, 08:41:56 CET
A ChatGPT öntelt elégedettséggel tudja tálalni a téves információt. De
olyant is olvastam már, hogy szándékosan hazudik.
De ha ez éppen igaz, akkor jól értem, hogy ezt előre be kell állítani,
és csak az ez utáni eseményekre lesz érvényes.
A kérdezőnél nekem van egy olyan gyanúm, hogy valami múltban már
megtörtént eseményt próbálna visszakeresni utólag, így erre az említett
megoldás nem lenne jó egy működő időgép nélkül.
Az event viewer security logban elvileg a 4670 event id-re kéne szűrni,
az a jogosultság változás egy objektumon.
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4670
Én most megpróbáltam szűrni a mi szerverünkön, és nincs 4670-es event id
a logban. Tehát valószínű tényleg be kell előtte állítani, hogy logolja
ezt is.
Beállítani így lehet:
https://www.lepide.com/how-to/track-permission-changes-on-file-servers.html
Esetleg ha fájl elérést is logolni kell, akkor még a 4663-as event id is
játszik.
https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4670
https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4663
2023.02.17. 18:23 keltezéssel, Valent Zsolt via Techinfo írta:
> Szia!
>
> ChatGPT általi válasz:
>
> "Igen, a Windows 2016 szerveren lehetőség van arra, hogy megjelenítsük
> a mappák jogosultsági beállításait és a változások előzményeit. Ehhez
> kövesse az alábbi lépéseket:
>
> 1.
>
> Kattintson a jobb gombbal a mappára, majd válassza a "Properties"
> (Tulajdonságok) lehetőséget.
>
> 2.
>
> Kattintson a "Security" (Biztonság) fülre.
>
> 3.
>
> Kattintson a "Advanced" (Speciális) gombra.
>
> 4.
>
> A "Advanced Security Settings" (Speciális biztonsági beállítások)
> ablakban válassza ki a "Auditing" (Ellenőrzés) fület.
>
> 5.
>
> Kattintson a "Continue" (Folytatás) gombra a felugró üzenetben.
>
> 6.
>
> Kattintson a "Add" (Hozzáadás) gombra, majd írja be azoknak a
> felhasználóknak vagy csoportoknak a nevét, akiknek az aktivitását
> követni szeretné.
>
> 7.
>
> Az "Auditing Entry for [Folder Name]" (Ellenőrzési bejegyzés a
> [mappa neve] mappához) ablakban válassza ki azokat a
> tevékenységeket, amelyeket követni szeretne (pl. mappa hozzáférési
> jogok módosítása, fájlok törlése stb.).
>
> 8.
>
> Kattintson az "OK" gombra az ablak bezárásához, majd ismét
> kattintson az "OK" gombra a "Advanced Security Settings"
> (Speciális biztonsági beállítások) ablakban.
>
> Most már be van állítva az ellenőrzés, és az összes kiválasztott
> tevékenység rögzítésre kerül egy naplófájlban. Az eseménynaplóban
> lehetőség van megtekinteni, hogy ki mikor végzett ilyen
> tevékenységeket a mappában. Az eseménynapló megtekintéséhez kövesse az
> alábbi lépéseket:
>
> 1.
>
> Nyissa meg az "Event Viewer" (Eseménynéző) alkalmazást a Windows
> Serveren.
>
> 2.
>
> Az eseménynaplók között válassza ki a "Security" (Biztonság) naplót.
>
> 3.
>
> Az "Event ID" (Eseményazonosító) oszlopban keressen olyan
> eseményeket, amelyek a beállított ellenőrzési tevékenységeket
> tartalmazzák.
>
> 4.
>
> Kattintson duplán az eseményre, hogy megjelenjenek a részletek,
> beleértve azt is, hogy ki mikor és milyen jogot adott vagy vett el."
>
> De majd jön valaki aki használja és megírja a tutit :)
>
> Zsolt
>
> Vojcsek Csaba via Techinfo <techinfo at lista.edu.hu> ezt írta (időpont:
> 2023. febr. 17., P, 14:37):
>
> Sziasztok,
>
> olyan kérdésem lenne, hogy windows szerveren lévő mappának a
> biztonsági beállításoknál ki lehet-e valahogy listázni hogy ki
> mikor kinek milyen jogot adott illetve vett el?
>
> windows server 2016 standard
>
> Köszönöm!
>
> VCS
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <https://listserv.niif.hu/pipermail/techinfo/attachments/20230220/07e395e5/attachment.htm>
További információk a(z) Techinfo levelezőlistáról