Wie werden Änderungen am freigegebenen Ordnerzugriff auditiert?

Es ist unbedingt notwendig, alle Zugriffe auf Dateien/Ordner zu verfolgen, die sensible Daten enthalten – um Compliance-Anforderungen zu erfüllen und die Datensicherheit sicherzustellen. Wenn Sie den Benutzerzugriff auf freigegebene Ordner verfolgen erhalten Ihre Admins auch mehr Möglichkeiten bei Untersuchungen von versuchten und erfolgten Angriffen. So können Sie mit nativen Auditing-Methoden den Benutzerzugriff auf freigegebene Ordner überwachen, die in Ihren Dateiservern gespeichert sind.

KOSTENLOS herunterladen Kostenlose, voll funktionsfähige 30-tägige Probe

  • Mit nativem AD-Auditing

  • Mit ADAudit Plus

Umfangreiche Berichte zum Verfolgen von Datei-/Ordnerzugriffen mit ADAudit Plus

ADAudit Plus ist eine durchdachte IT-Sicherheits- und Compliance-Lösung, die umfassende Berichte zum Konsolidieren sämtlicher Datei- und Objektzugriffsversuche auf Ihren Dateiservern bietet. Diese Berichte lassen sich exportieren, überdies zu automatischer Erstellung zu bestimmten Zeiten vorplanen und pünktlich an Ihren Posteingang zustellen. Sie können außerdem Warnungen konfigurieren, um sich benachrichtigen zu lassen, wenn Zugriffsanfragen für kritische Dateien/ordner gestellt werden. So können Sie sofort geeignete Maßnahmen ergreifen. So rufen Sie die Berichte mit ADAudit Plus ab:

Führen Sie ADAudit Plus aus und melden Sie sich an → Gehen Sie auf die Registerkarte „Datei-Auditing“ → Wechseln Sie zu „Datei-Audit-Berichte“ und wählen Sie „Datei-Lesezugriff“ aus.

  • file access report
    • Der Bericht liefert die folgenden Details:
      1. Aufgerufene Datei
      2. Name des Benutzer, der auf die Datei zugegriffen hat
      3. Zeitpunkt des Dateiaufrufs
      4. Über welches Client-Gerät der Zugriff erfolgt ist
      5. Name des Servers, auf dem die Datei gespeichert ist
    Zusätzlich können Sie fehlgeschlagene Versuche zum Lesen, Schreiben oder Löschen einer Datei abrufen. Der Bericht enthält folgende Details:
    1. Name der Datei
    2. Name des Benutzers, dessen Zugriff fehlgeschlagen ist
    3. Zeitpunkt der Handle-Anfrage und Name des Servers, auf dem die Datei gespeichert wurde
     Durch Aufzeichnung sämtlicher Zugriffsversuche auf eine Datei (einschließlich fehlgeschlagener Versuche) lassen sich die Ursachen von Datenlecks deutlich einfacher aufspüren. Zum Aufspüren unbefugten Zugriffs können Sie sämtliche Benutzer zurückverfolgen, die auf eine Datei zugegriffen haben. Dies hilft auch beim Identifizieren der Client-Geräte, über die fehlgeschlagene Versuche erfolgten. So kommen Sie Systemen mit Sicherheitsmängeln leichter auf die Spur.

Native method

  • Schritt 1: „Objektzugriffsversuche überwachen“-Richtlinie aktivieren

  • Gruppenrichtlinienverwaltung-Konsole starten (Ausführen → gpedit.msc)

  • Neues Gruppenrichtlinienobjekt erstellen, mit der Dateiserverdomäne verknüpfen; oder vorhandenes Gruppenrichtlinienobjekt bearbeiten, das bereits mit der relevanten Domäne verknüpft wurde.

  • Wechsel zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie.

  • Unter „Überwachungsrichtlinie“ wählen Sie Objektzugriffsversuche überwachen, danach schalten Sie die Überwachung auf Erfolgreich und Fehlgeschlagen ein.

  • Wechseln Sie zu Erweiterte Audit-Richtlinienkonfiguration → Audit-Richtlinien → Objektzugriff. Aktivieren Sie „Dateisystem überwachen“ und „Handle-Änderung überwachen“.

  • Schritt 2: Auditing-Eintrag der jeweiligen Datei bzw. des Ordners bearbeiten

    Suchen Sie nach der Datei oder dem Ordner, bei der/dem Sie sämtliche Zugriffsversuche verfolgen möchten. Mit der rechten Maustaste darauf klicken, Eigenschaften aufrufen. Auf der Registerkarte „Sicherheit“ auf „Erweitert“ klicken.

  • In den Erweiterten Sicherheitseinstellungen wechseln Sie zur Registerkarte „Auditing“, klicken dort zum Hinzufügen eines neuen Überwachungseintrags auf Hinzufügen.

  • Im Dialogfenster zum Auditing-Eintrag für Active Directory geben Sie folgende Details ein:

    1. Prinzipal: Geben Sie die Namen der Benutzer ein, deren Zugriff Sie überwachen möchten.
    2. Typ: Wählen Sie den Zugriffstyp, der überwacht werden soll. Vorzugsweise überwachen Sie „Alle“ Änderungen.
    3. Gilt für: Hier wählen Sie, ob Sie lediglich den Zugriff auf diese Datei oder auf sämtliche Unterordner und Dateien überwachen möchten.
    4. Grundlegende Berechtigungen: Wählen Sie den Berechtigungstyp, der überwacht werden soll. Klicken Sie auf „Erweiterte Berechtigungen“ und wählen Sie „Ordner durchsuchen / Datei ausführen“, „Ordner auflisten / Daten lesen“, „Attribute lesen“ und „Erweiterte Attribute lesen“ aus.
  • Schritt 3: Audit-Protokolle im Event Viewer anzeigen

    Wenn Benutzer auf die ausgewählte Datei/den ausgewählten Ordner zugreifen und deren/dessen Berechtigungen ändern, wird ein Ereignisprotokoll in der Ereignisanzeige aufgezeichnet. Zum Abrufen dieses Überwachungsprotokolls rufen Sie den Event Viewer auf. Unter Windows-Protokolle wählen Sie den Eintrag „Sicherheit“ aus. Sämtliche Überwachungsprotokolle werden nun wie nachstehend dargestellt im mittleren Bereich angezeigt.

  • Zum Filtern der Ereignisprotokolle, damit lediglich Protokolle zu Datei-/Ordnerberechtigungsänderungen angezeigt werden, wählen Sie Aktuelles Protokoll filtern … im rechten Bereich. Suchen Sie nun nach den Ereignis-IDs 4656 und 4663, die angeben, dass Datei-/Ordnerberechtigungen geändert wurden. Im Feld „Kontoname“ können Sie ablesen, wer auf die Datei zugriff, das „Protokolliert“-Feld zeigt die Zugriffszeit.

Wachsen Ihnen die nativen Audits ein wenig über den Kopf?

Vereinfachen Sie Server-Audits und Reporting mit ADAudit Plus.

Kostenlos in Ruhe ausprobieren Voller Funktionsumfang, 30 Tage lang zur Probe

Zoho Corporation Pvt. Ltd. Alle Rechte vorbehalten.