Natives Auditing mit Windows-Bordmitteln
Überwachung auf Serverebene aktivieren
- Klicken Sie auf Start > Verwaltung > Lokale-Sicherheitsrichtlinie Snap-In.
- Erweitern Sie Lokale Richtlinie > Überwachungsrichtlinie.
- Wechseln Sie zu Objektzugriff überwachen.
- Wählen Sie Erfolg/Fehler (je nach Bedarf).
- Bestätigen Sie Ihre Auswahl und klicken Sie dann auf OK.
Überwachung auf Objektebene aktivieren
- Navigieren Sie im Windows-Explorer zur Datei, die Sie überwachen möchten.
- Klicken Sie mit der rechten Maustaste auf die gewünschte Datei/den gewünschten Ordner und wählen Sie Eigenschaften.
- Sicherheit > Erweitert.
- Wählen Sie den Reiter Überwachung und klicken Sie auf Erweitert.
- Wechseln Sie in den Erweiterten Sicherheitseinstellungen zum Reiter Überwachung und klicken Sie dort auf Hinzufügen.
- Wählen Sie den Prinzipal, dem Sie die Berechtigungen zur Überwachung verleihen möchten.
- Wählen Sie im nun erscheinenden Fenster Active-Directory-Überwachungseintrag die Zugriffsarten, die Sie überwachen möchten.
- Sie müssen die Optionen zum Überwachen erfolgreicher und fehlgeschlagener Ereignisse separat wählen.
- Klicken Sie anschließend auf OK.
Datei- und Ordnerzugriff mit ADAudit Plus überwachen
Bei den nativen Windows-Bordmitteln müssen Sie Datei-/Ordnerzugriffsereignisse aus der Masse der Ereignisanzeigeprotokolle ausfiltern oder dies mit PowerShell-Skripten erledigen. Aufgrund des begrenzten Speicherplatzes ist es auch möglich, dass die gewünschten Protokolle bereits überschrieben wurden.
Gerade bei Nachforschungen oder Compliance Audits ist es so sehr mühsam, sich mit nativen Werkzeugen einen klaren Überblick über Datei- und Ordnerzugriffe zu verschaffen. Mit ADAudit Plus können Sie lückenlose Zugriffsverläufe zu sämtlichen Dateien/Ordnern mit einem einzigen Klick abrufen. Echtzeitberichte zur Überwachung sämtlicher Datei- oder Ordnerzugriffe in Ihren Dateiservern werden zur Verfügung gestellt. Die Berichte können an beliebiger Stelle lokal archiviert und gespeichert werden; daher müssen Sie sich keine Gedanken um Speicherplatzbeschränkungen machen, wie es bei nativen Werkzeugen der Fall ist. So können Sie auch Protokolle lange vergangener Ereignisse so lange archivieren, wie es für forensische und Compliance-Anforderungen notwendig ist.
Melden Sie sich bei ADAudit Plus an, wechseln Sie zum Reiter File Audit. Wählen Sie unter File Audit Reports den Bericht File Read Access aus.
In diesem Bericht finden Sie folgende Details:
- Aufgerufene Datei
- Name des Anwenders, der auf die Datei zugegriffen hat
- Zeitpunkt des Dateiaufrufs
- Clientcomputer, über den der Dateizugriff erfolgte
- Name des Servers, auf dem sich die Datei befand
Zusätzlich können Sie fehlgeschlagene Lese-, Schreib- oder Lösch-Versuche für eine Datei anzeigen lassen. Der Bericht enthält folgende Details:
- Name der Datei
- Name des Nutzers, dessen Zugriff fehlgeschlagen ist
- Zeitpunkt des Versuchs
- Name des Servers, auf dem sich die Datei befand
Sie können diese Berichte so konfigurieren, dass diese automatisch erstellt und Ihnen zu bestimmten Zeiten per E-Mail zugeschickt werden. Außerdem können Sie sich per E-Mail oder Telefon benachrichtigen lassen, wenn auf kritische Dateien/Ordner zugegriffen wird. Die Berichte können als CSV-, PDF-, XLS-, oder HTML-Datei exportiert werden.
Durch die Aufzeichnung aller Zugriffsversuche auf eine Datei (einschließlich fehlgeschlagener Versuche) lassen sich die Ursachen von Datenlecks deutlich einfacher aufspüren. Zum Aufspüren möglicher Verdächtiger können Sie alle Benutzer zurückverfolgen, die auf eine Datei zugegriffen haben. Dies hilft auch beim Identifizieren der Clientcomputer, über die die fehlgeschlagenen Versuche erfolgten. So kommen Sie Sicherheitsmängeln im System leichter auf die Spur.