Wie lassen sich Änderungen in einem freigegebenen Ordner auf dem Dateiserver verfolgen?

Verfolgen Sie Änderungen an Dateien/Ordnern, um für mehr Datensicherheit zu sorgen und Compliance-Anforderungen zu erfüllen. Das Aufzeichnen unerwünschter Änderungen kann bei der Untersuchung von Sicherheitsverstößen sehr nützlich sein. Indem Sie verzeichnen, wer in Ihren Dateiservern was geändert hat, können Sie außerdem interne Bedrohungen verhindern. Hier erfahren Sie, wie sich mit nativen Verfahren verfolgen lässt, wer in Ihren Dateiservern welche Dateien und Ordner geändert hat.

Kostenlos in Ruhe ausprobieren Voller Funktionsumfang, 30 Tage lang zur Probe

  • Mit nativer AD-Überwachung

  • Mit ADAudit Plus

Vollständige Änderungsüberwachung an Dateien/Ordnern mit ADAudit Plus:

ADAudit Plus bietet Ihnen Berichte an, mit denen Sie mit einem einzigen Klick vollständige Details zu allen Änderungen an Ihren Dateien/Ordner abrufen können. Diese Berichte lassen sich in beliebigen Formaten exportieren, wie CSV, PDF, XML usw. Lassen Sie sich Echtzeit-Berichte an Ihr E-Mail-Postfach oder auf Ihr Mobilgerät senden, um sich über Änderungen an kritischen Dateien oder Ordnern zu informieren. So rufen Sie diese Berichte ab:

Bei ADAudit Plus anmelden → Zur Registerkarte „Datei-Audit“ wechseln → Unter Datei-Auditberichte → auf den Bericht „Alle Datei-/Ordneränderungen“. Wählen Sie den Zeitrahmen aus, in dem Sie alle vorgenommenen Änderungen verfolgen können, und dazu die Domäne, zu welcher der Dateiserver gehört.

  • file and folder changes report

    • Der Bericht liefert die folgenden Details:

      1. Name der geänderten Datei bzw. des geänderten Ordners
      2. Wer die Änderungen vorgenommen hat
      3. Wann die Änderungen gemacht wurden
      4. Speicherort der Datei bzw. des Ordners
    Sie können das Diagramm auf Basis des Änderungstyps filtern. Dazu ein Beispiel: Wenn Sie sich gelöschte Dateien ansehen möchten, wählen Sie diese einfach aus dem Diagramm aus, und alle mit der Löschung übereinstimmenden Protokolle werden angezeigt. Um die Änderungen nach Freigaben einzuteilen, gehen Sie auf die Registerkarte „Freigabenbasierte Berichte“ und wählen Sie „Alle Datei-/Ordneränderungen nach Freigabe“ aus. Wählen Sie die Freigabe aus, bei der Sie Änderungen verfolgen möchten. Daraufhin werden die Details aller Änderungen an dieser Freigabe angezeigt, ähnlich wie im Bericht oben. file share based report

Natives Verfahren

  • Schritt 1: „Objektzugriffsversuche überwachen“-Richtlinie aktivieren

  • Gruppenrichtlinienverwaltung-Konsole starten (Ausführen → gpedit.msc)

  • Neues Gruppenrichtlinienobjekt erstellen, mit der Dateiserverdomäne verknüpfen; oder vorhandenes Gruppenrichtlinienobjekt bearbeiten, das bereits mit der relevanten Domäne verknüpft wurde.

  • Wechsel zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie.

  • Unter „Überwachungsrichtlinie“ wählen Sie Objektzugriffsversuche überwachen, danach schalten Sie die Überwachung auf Erfolgreich und Fehlgeschlagen ein.

  • Wechseln Sie zu Erweiterte Audit-Richtlinienkonfiguration → Audit-Richtlinien → Objektzugriff. Aktivieren Sie „Dateisystem überwachen“ und „Handle-Änderung überwachen“.

  • Schritt 2: Auditing-Eintrag der jeweiligen Datei bzw. des Ordners bearbeiten

    Suchen Sie nach der Datei oder dem Ordner, bei der/dem Sie sämtliche Zugriffsversuche verfolgen möchten. Mit der rechten Maustaste darauf klicken, Eigenschaften aufrufen. Auf der Registerkarte „Sicherheit“ auf „Erweitert“ klicken.

  • In den „Erweiterten Sicherheitseinstellungen“ wechseln Sie zur Registerkarte „Überwachung“ und klicken dort zum Hinzufügen eines neuen Überwachungseintrags auf Hinzufügen.

  • Im Dialogfenster zum Auditing-Eintrag für Active Directory geben Sie folgende Details ein:

    1. Prinzipal: Geben Sie die Namen der Benutzer ein, deren Zugriff Sie überwachen möchten.
    2. Typ: Wählen Sie den Zugriffstyp aus, der überwacht werden soll. Vorzugsweise überwachen Sie „Alle“ Änderungen.
    3. Gilt für: Hier wählen Sie, ob Sie lediglich den Zugriff auf diese Datei oder auf sämtliche Unterordner und Dateien überwachen möchten.
    4. Grundlegende Berechtigungen: Wählen Sie den Berechtigungstyp, der überwacht werden soll. Klick Sie auf „Erweiterte Berechtigungen“ und wählen Sie „Ordner durchsuchen / Datei ausführen“, „Ordner auflisten/Daten lesen“, „Dateien erstellen/Daten schreiben“, „Ordner erstellen/Daten anhängen“ und „Attribute schreiben“ zum Auditing aus.
  • Schritt 3: Audit-Protokolle im Event Viewer anzeigen

    Wenn Benutzer auf die ausgewählte Datei bzw. den ausgewählten Ordner zugreifen und deren/dessen Berechtigungen ändern, wird ein Ereignisprotokoll in der Ereignisanzeige aufgezeichnet. Zum Abrufen dieses Überwachungsprotokolls rufen Sie den Event Viewer auf. Unter Windows-Protokolle wählen Sie den Eintrag „Sicherheit“ aus. Sämtliche Überwachungsprotokolle werden nun wie nachstehend dargestellt im mittleren Bereich angezeigt.

  • Suchen Sie in den Windows-Sicherheitsprotokollen nach Ereignis 4656 mit dem Schlüsselwort „Audit fehlgeschlagen“, um herauszufinden, wer versucht hat, die Datei bzw. den Ordner zu ändern.

Wachsen Ihnen die nativen Audits ein wenig über den Kopf?

Vereinfachen Sie Server-Audits und Reporting mit ADAudit Plus.

Kostenlos in Ruhe ausprobieren Voller Funktionsumfang, 30 Tage lang zur Probe

Zoho Corporation Pvt. Ltd. Alle Rechte vorbehalten.