Ereignis 4660 – Objekt wurde gelöscht

Ereignis 4660 wird protokolliert, wenn ein Objekt gelöscht wird. In der Audit-Richtlinie des Objekts muss die Überwachung von Löschungen durch den bestimmten Benutzer bzw. die Gruppe aktiviert werden. Ereignis 4660 lässt sich mit Ereignis 4656 korrelieren, da beide die gleiche Handle-ID aufweisen. Die Löschung eines Objekts löst sowohl dieses Ereignis als auch Ereignis 4663 aus.

Die Protokolldaten umfassen dabei das Folgende:

• Sicherheits-ID
• Kontoname
• Kontodomäne
• Anmeldungs-ID
• Objektserver
• Handle-ID
• Prozess-ID
• Transaktion-ID

Warum muss Ereignis 4660 überwacht werden?

• Um die Löschung von Dateien und anderen Windows-Objekten zu verfolgen, sollte dieses Ereignis zusammen mit 4663 überwacht werden, da es den Objektnamen nicht angibt
• Um Berechtigungsmissbrauch zu vermeiden
• Um abnormale und potenziell böswillige Aktivitäten zu erkennen
• Um die Compliance mit gesetzlichen Vorgaben zu gewährleisten

Profitipp:

ADAudit Plus stellt vorkonfigurierten Berichten und Änderungsüberwachung bereit, mit Warnungen innerhalb einer Domäne und OE. Die erweiterten Gruppenrichtlinieneinstellungen zu Echtzeit-Audit-Berichten stellen detaillierte Informationen zu objektbezogenen Ereignissen bereit.