Hoe kunt u mislukte toegangspogingen tot een gedeelde map controleren?

Het is verstandig om mislukte toegangspogingen in een gedeelde map bij te houden. Met een registratie van alle mislukte pogingen om toegang te krijgen tot een bestand, worden onderzoeken in geval van een datalek veel gemakkelijker. Het kan tevens helpen bij het identificeren van de clientcomputer waarvan de mislukte pogingen werden gedaan, waarbij dus aanwijzingen worden gegeven van een aangetast systeem. Op de volgende manieren kunt u ze identificeren me gebruik van bedrijfseigen auditmethoden:

Gratis downloaden Download GRATISGratis, volledig functionele proefversie van 30 dagen

  • Met bedrijfseigen AD-audit

  • Met ADAudit Plus

Rapporten met één klik voor het volgen van mislukte toegangspogingen tot een gedeelde map met ADAudit Plus

ADAudit Plus biedt rapporten die mislukte toegangspogingen tot uw bestanden/mappen naar voren brengen met volledige details met één enkele klik. Deze rapporten kunnen worden geëxporteerd in enig formaat, zoals CSV, PDF, XML enz. Waarschuwingen in real-time kunnen naar uw e-mail of telefoon worden gestuurd zodat u op de hoogte kunt worden gesteld wanneer wijzigingen worden aangebracht aan een kritiek bestand of map. Op deze manier hebt u toegang tot deze rapporten:

Start ADAudit Plus en meld u aan → Ga naar het tabblad Bestandsaudit → Onder Bestandsauditrapporten → de volgende rapporten presenteren mislukte pogingen in gedeelde mappen:

    1. Mislukte poging tot lezen van bestand
    2. Mislukte poging tot schrijven van bestand
    3. Mislukte poging tot verwijderen van bestand
    Deze rapporten bevatten de volgende gegevens:
    1. Naam van het bestand
    2. Naam van de gebruiker van wie het verzoek is mislukt
    3. Tijd waarop behandelingsverzoek werd gedaan
    4. Naam van de server waarop het bestand zich bevindt
     failed attempts report Voor het categoriseren van mislukte toegangspogingen gebaseerd op gedeelde items, gaat u naar het tabblad Rapporten gebaseerd op gedeelde items, en selecteert u het rapport Mislukte pogingen tot lezen van bestand. Selecteer het gedeelde item waarvoor u wijzigingen wilt volgen. De details van alle aangebrachte wijzigingen aan dit gedeelde item worden getoond, vergelijkbaar met het bovenstaande rapport.

Bedrijfseigen methode:

  • Stap 1: Schakel het beleid "Objecttoegang controleren" in

  • Start de console Groepsbeleidbeheer (Uitvoeren --> gpedit.msc)

  • Maak een nieuwe GPO aan en koppel het aan het domein dat de bestandsserver bevat of bewerk de bestaande GPO die is gekoppeld aan het desbetreffende domein.

  • Ga naar Computerconfiguratie → Windows-instellingen → Beveiligingsinstellingen → Lokaal beleid → Auditbeleid.

  • Onder Auditbeleid selecteert u 'Objecttoegang controleren' en schakel controleren in voor zowel geslaagd als mislukt.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Stap 2: Bewerk auditinvoer in het desbetreffende bestand/map

    Zoek het bestand of de map waarvoor u de mislukte toegangspogingen wilt volgen. Klik er met de rechtermuisknop op en ga naar Eigenschappen. Klik onder het tabblad Beveiliging op Geavanceerd.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • Ga in Geavanceerde beveiligingsinstellingen naar het tabblad Audit en klik op Toevoegen om een nieuwe auditinvoer toe te voegen.

    advanced-security-settings-active-directory

  • Voer de volgende details in het dialoogvenster Invoer controleren voor Active Directory in:

    1. Hoofd: Voer de namen van de gebruikers in die u wilt controleren wanneer zij dit bestand/map openen.
    2. Type: Selecteer het type toegang dat u wilt controleren. Het heeft de voorkeur om "Alle” wijzigingen te controleren.
    3. Is van toepassing op:Selecteren of u alleen toegang wilt controleren voor dit bestand, of voor alle submappen en bestanden.
    4. Basismachtigingen: Kies de soorten machtigingen die u wilt controleren. Voor uw specifieke behoefte klikt u op 'Geavanceerde machtigingen', en selecteer de machtigingen 'Map doorkruisen/Bestand uitvoeren', 'Map vermelden/Gegevens lezen', 'Kenmerken lezen’ en 'Uitgebreide kenmerken lezen'.
    auditing-entry-file-access-auditing
  • Stap 3: Auditlogboeken weergeven in Event Viewer

    Bij elke keer dat een gebruiker het geselecteerde bestand/map opent, en de poging mislukt, wordt een gebeurtenislogboek geregistreerd in de Event Viewer. Voor het weergeven van dit auditlogboek gaat u naar de Event Viewer. Onder Windows-logboeken selecteer u Beveiliging. U kunt alle auditlogboeken vinden in het middelste deelvenster zoals hieronder weergegeven.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Voor het filteren van de gebeurtenislogboeken voor het weergeven van alleen de logboeken over de wijzigingen van bestands-/mapmachtigingen, selecteert u Huidige logboek filteren in het rechter deelvenster. Zoek gewoon naar de gebeurtenis-ID 4656 en 4663, wat wijzigingen in bestands-/mapmachtigingen aangeeft. U kunt zien wie het bestand heeft geopend in het veld “Naam account” en de toegangstijd in het veld “Geregistreerd”.

    audit-failed-access-attempts-to-shared-folder-event-properties-event4663

  • Met bedrijfseigen AD-audit

  • Met ADAudit Plus

Rapporten met één klik voor het volgen van mislukte toegangspogingen tot een gedeelde map met ADAudit Plus

ADAudit Plus biedt rapporten die mislukte toegangspogingen tot uw bestanden/mappen naar voren brengen met volledige details met één enkele klik. Deze rapporten kunnen worden geëxporteerd in enig formaat, zoals CSV, PDF, XML enz. Waarschuwingen in real-time kunnen naar uw e-mail of telefoon worden gestuurd zodat u op de hoogte kunt worden gesteld wanneer wijzigingen worden aangebracht aan een kritiek bestand of map. Op deze manier hebt u toegang tot deze rapporten:

Start ADAudit Plus en meld u aan → Ga naar het tabblad Bestandsaudit → Onder Bestandsauditrapporten → de volgende rapporten presenteren mislukte pogingen in gedeelde mappen:

    1. Mislukte poging tot lezen van bestand
    2. Mislukte poging tot schrijven van bestand
    3. Mislukte poging tot verwijderen van bestand
    Deze rapporten bevatten de volgende gegevens:
    1. Naam van het bestand
    2. Naam van de gebruiker van wie het verzoek is mislukt
    3. Tijd waarop behandelingsverzoek werd gedaan
    4. Naam van de server waarop het bestand zich bevindt
     failed attempts report Voor het categoriseren van mislukte toegangspogingen gebaseerd op gedeelde items, gaat u naar het tabblad Rapporten gebaseerd op gedeelde items, en selecteert u het rapport Mislukte pogingen tot lezen van bestand. Selecteer het gedeelde item waarvoor u wijzigingen wilt volgen. De details van alle aangebrachte wijzigingen aan dit gedeelde item worden getoond, vergelijkbaar met het bovenstaande rapport.

Bedrijfseigen methode:

  • Stap 1: Schakel het beleid "Objecttoegang controleren" in

  • Start de console Groepsbeleidbeheer (Uitvoeren --> gpedit.msc)

  • Maak een nieuwe GPO aan en koppel het aan het domein dat de bestandsserver bevat of bewerk de bestaande GPO die is gekoppeld aan het desbetreffende domein.

  • Ga naar Computerconfiguratie → Windows-instellingen → Beveiligingsinstellingen → Lokaal beleid → Auditbeleid.

  • Onder Auditbeleid selecteert u 'Objecttoegang controleren' en schakel controleren in voor zowel geslaagd als mislukt.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Stap 2: Bewerk auditinvoer in het desbetreffende bestand/map

    Zoek het bestand of de map waarvoor u de mislukte toegangspogingen wilt volgen. Klik er met de rechtermuisknop op en ga naar Eigenschappen. Klik onder het tabblad Beveiliging op Geavanceerd.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • Ga in Geavanceerde beveiligingsinstellingen naar het tabblad Audit en klik op Toevoegen om een nieuwe auditinvoer toe te voegen.

    advanced-security-settings-active-directory

  • Voer de volgende details in het dialoogvenster Invoer controleren voor Active Directory in:

    1. Hoofd: Voer de namen van de gebruikers in die u wilt controleren wanneer zij dit bestand/map openen.
    2. Type: Selecteer het type toegang dat u wilt controleren. Het heeft de voorkeur om "Alle” wijzigingen te controleren.
    3. Is van toepassing op:Selecteren of u alleen toegang wilt controleren voor dit bestand, of voor alle submappen en bestanden.
    4. Basismachtigingen: Kies de soorten machtigingen die u wilt controleren. Voor uw specifieke behoefte klikt u op 'Geavanceerde machtigingen', en selecteer de machtigingen 'Map doorkruisen/Bestand uitvoeren', 'Map vermelden/Gegevens lezen', 'Kenmerken lezen’ en 'Uitgebreide kenmerken lezen'.
    auditing-entry-file-access-auditing
  • Stap 3: Auditlogboeken weergeven in Event Viewer

    Bij elke keer dat een gebruiker het geselecteerde bestand/map opent, en de poging mislukt, wordt een gebeurtenislogboek geregistreerd in de Event Viewer. Voor het weergeven van dit auditlogboek gaat u naar de Event Viewer. Onder Windows-logboeken selecteer u Beveiliging. U kunt alle auditlogboeken vinden in het middelste deelvenster zoals hieronder weergegeven.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Voor het filteren van de gebeurtenislogboeken voor het weergeven van alleen de logboeken over de wijzigingen van bestands-/mapmachtigingen, selecteert u Huidige logboek filteren in het rechter deelvenster. Zoek gewoon naar de gebeurtenis-ID 4656 en 4663, wat wijzigingen in bestands-/mapmachtigingen aangeeft. U kunt zien wie het bestand heeft geopend in het veld “Naam account” en de toegangstijd in het veld “Geregistreerd”.

    audit-failed-access-attempts-to-shared-folder-event-properties-event4663

Request Support

Thanks

One of our solution experts will get in touch with you shortly.

    Voer een geldige e-mail-ID in
  • Wanneer u op 'Verzenden' klikt, gaat u akkoord met de verwerking van persoonlijke gegevens conform ons Privacybeleid

Zoho Corporation Pvt. Ltd. Alle rechten voorbehouden.