Wir wurden vor etwa einem Monat von Cryptolocker angegriffen und hatten nie eine Dateiüberwachung eingerichtet. Daher gab es keine Möglichkeit, den Benutzer zu identifizieren, von dem der Schadcode stammte.
Ich bin zu Admin Tools > Lokale Sicherheitsrichtlinie > Lokale Richtlinie > Überwachungsrichtlinie > gegangen und habe „Erfolg und Fehler beim Objektzugriff“ aktiviert.
Anschließend ging ich zu den Überwachungseinstellungen für den Stammordner der freigegebenen Laufwerke und wählte die Überwachung von „Domänenbenutzern“ auf Schreibattribute, Löschen und Löschen von Unterordnern und Dateien aus.
Aber das Ereignisprotokoll ist nur überflutet mit dem "Detaillierte Dateifreigabe"-Ereignis 5145, "Ein Netzwerkfreigabeobjekt wurde überprüft, um zu sehen, ob dem Client der gewünschte Zugriff gewährt werden kann"
Ich muss diese Ereignisse wirklich nicht sehen und möchte nur verfolgen, ob eine Datei geändert wird, falls wir wieder vom Cryptolocker betroffen sind. Muss ich noch etwas anderes tun, um nur diese Art von Ereignissen zu erhalten?
Gibt es ein Tool, das einen besseren Job macht als das Windows-Ereignisprotokoll?
Antwort1
Bei Verwendung der alten Überwachungseinstellungen unter:
Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie > Objektzugriff. Dies ist sehr grob und kann viel Lärm verursachen, je nachdem, für welche Objekte die Überwachung aktiviert ist.
Wenn Sie die Legacyüberwachung auf „Nicht konfiguriert“ setzen und die erweiterte Überwachung aktivieren, die sich unter folgendem Pfad befindet:
Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Erweiterte Überwachungsrichtlinienkonfiguration > Objektzugriff
Sie können nur die Unterkategorien aktivieren, die Sie benötigen, in diesem Fall Dateisystem.
Aktivieren Sie dann im Dateisystem nur die Überwachungstypen, die Sie für die Ordner der obersten Ebene benötigen:
