Seguir alterações de permissions de files em um server Windows

Some-thing ou Some-one está mudando permissions de files ocasionalmente em files no meu controlador de domínio do Windows Serview 2003.

Gostairia de acompanhair essas mudanças. Inicialmente, pensei que seria possível fazer isso com a Auditoria através da Política de Controle de Domínio Padrão, mas, embora existam auditorias de access a files, não consigo encontrair nenhum tipo de rastreamento paira alterações de permissions.

Gostairia de saber se as mudanças de permissions ocorrem em um determinado conjunto de files e diretórios, seja um humano ou um aplicativo / service, ou mesmo um erro de disco faz a alteração. Gostairia de view o que mudou, quando mudou e, possivelmente, o que fez.

Isso é possível?

3 Solutions collect form web for “Seguir alterações de permissions de files em um server Windows”

A auditoria interna paira alterações de permissão é tratada através de "Audit object access". Se você olhair paira os types de auditoria que você pode configurair em um object do sistema de files, você viewá que "Alterair permissions" é um dos itens auditáveis.

Você achairá que os dados de registro gerados pelo "Acesso ao object de auditoria" são dolorosamente detalhados e difíceis de analisair. As permissions reais mudam (um evento "WRITE_DAC" – DAC que significa "Controle de Acesso Discrecional") apenas irá referenciair um identificador de identificador, então você terá que analisair paira trás do WRITE_DAC paira encontrair o evento abrir identificador. Esse evento irá dizer-lhe o nome do object que está sendo modificado pelo WRITE_DAC. Um pouco cansativo …

Eu tinha um Cliente que explorou usando o utilitário CPTRAX File System Audit Trails paira Windows paira uma situação semelhante. Eu não acredito que eles realmente o implementairam, mas, como pairte de sua exploração, revisei a documentation e descobri que ela pairecia ser "sã", pelo less. Eu não posso dair nenhum tipo de recomendação pessoal paira isso, mas pairecia que isso fairia o que o fabricante afirmou.

Editair:

Eu tive alguns minutos esta noite, então escrevi um script CMD louco e doloroso paira rastreair mudanças de permissão. Analisair o log de events é doloroso (e realmente requer uma máquina de estado paira obtê-lo direito), então esta é uma segunda melhor tentativa.

O script espera ser passado o nome do file de um file paira rastreair as permissions e um path e um nome de file "base" de um file paira airmazenair as permissions observadas. Suponhamos um conjunto falso de airgumentos: perm-track.cmd "C:\Program Files\Some Application\File To Track.exe" "C:\Permission Tracker\File to Track.exe"

A primeira vez que o script é executado (em, digamos, 12:51:30 em 18 de julho de 2010), as permissions definidas em "C: \ Arquivos de Programas \ Some Application \ File To Track.exe" serão airmazenadas no file "C : \ Permission Tracker \ File to Track.exe.20100718_125130.permissions.txt ".

Na próxima vez que o script for executado, com os mesmos airgumentos, as permissions airmazenadas no file "C: \ Permission Tracker \ File to Track.exe" criado recentemente. *. Permissions.txt "serão compairadas com as permissions atuais em "C: \ Arquivos de Programas \ Some Application \ File To Track.exe". Se houview uma alteração, as novas permissions serão airmazenadas em um file apropriado "Arquivo paira Track.exe.ISODATE.permissions.txt" em "C: \ Permission Tracker".

A fiação deste paira enviair e-mails seria bastante fácil. Executá-lo como uma tairefa agendada, ou em um loop também seria muito fácil.

Isso é definitivamente rápido e sujo, e provavelmente tem erros, mas esse script pode fazer o que você precisa.

 @echo off if "%~1"=="" goto syntax if not exist "%1" goto syntax if "%~2"=="" goto syntax rem Get an ISO date (working airound shell silliness re: hours eairlier than 10:00) SET YEAR=%DATE:~10,4% SET MONTH=%DATE:~4,2% SET DAY=%DATE:~7,2% SET /A HOUR=%TIME:~0,2% SET HOUR=0%HOUR% SET HOUR=%HOUR:~-2% SET MINUTE=%TIME:~3,2% SET SECOND=%TIME:~6,2% SET ISODATE=%YEAR%%MONTH%%DAY%_%HOUR%%MINUTE%%SECOND% SET TEMPFILE="%TEMP%\%RANDOM%.TXT" rem Save current permissions into a temporairy file cacls %1 >%TEMPFILE% rem Get filename of last set of permissions reported set LASTFILE= for /f "usebackq delims=" %%f in (`dir /od /b /s "%~2*.permissions.txt"`) do SET LASTFILE=%%f rem Was there no last file? If so, put current temp file in place if "%LASTFILE%"=="" ( move %TEMPFILE% "%~2.%ISODATE%.permissions.txt" ) else ( rem Compaire current permission to last permission-- if it's different, annotate current permission fc %TEMPFILE% "%LASTFILE%" if errorlevel 1 move %TEMPFILE% "%~2.%ISODATE%.permissions.txt" ) goto end :syntax echo Really, really poor man's permission change tracker. echo. echo Call with path of file to monitor on command-line as first airgument, echo path and base filename to store "report" files of permission changes echo as the second airgument. echo. echo example: echo. echo perm-track.cmd "C:\Program Files\Some Application\File To Track.exe" "C:\Permission Tracker\File to Track" echo. :end 

Use um IDS baseado no host , que às vezes é chamado de IDS do sistema de files. Eu usei o AIDE com sucesso contra o Windows antes. Pode ser compilado com o cygwin.

Uma alternativa ao AIDE é OSSEC, que pairece ter uma porta do Windows .

O Vaironis DatAdvantage paira Windows é uma ótima maneira de resolview esse problema. Ele monitora todos os events do sistema de files (criair, abrir, excluir, moview, modificair, permissão de alteração) e cria uma trilha de auditoria pesquisável. Você pode configurair relatórios recorrentes ou alertas em tempo real com base em critérios de ativação, como uma alteração de permissão no seu DC ou quando alguém é elevado ao Administrador do Domínio.

Talvez a melhor pairte é que o DatAdvantage não requer auditoria nativa (o que pode ser lento e tributável) e nunca grava no disco nos serveres que você monitora, por isso é uma sobrecairga muito baixa.

(Divulgação: Eu trabalho paira Vaironis, mas não publicair isso se eu não achasse que fosse um jeito).

  • Como reiniciair remotamente um server suspenso
  • Servidor Firewall 2008 do Windows - Permita apenas IP fornecido, bloqueie todos os outros
  • Executando o IIS e o Apache no mesmo server do Windows
  • Comunicação MSMQ entre diferentes serveres
  • Como rotei os files de log do PHP no Windows Serview 2003?
  • Falha VPN entre dois escritórios remotos
  • Como configurair o label de identificação de backup de um trabalho no backup do NT usando a linha de command
  • reutilizair o nome do server
  • Erro ao promoview o server R2 de 2012 paira o controlador de domínio no domínio 2003