Het monitoren van toegang tot bestanden en mappen op een Windows-bestandsserver

Met bedrijfseigen AD-audit
Met ADAudit Plus

Uitgebreide rapporten voor het volgen van toegang tot bestanden/mappen met ADAudit Plus

ADAudit Plus is een oplossing van IT-beveiliging en naleving die rapporten in real-time biedt voor het bundelen van alle toegangspogingen tot bestanden of mappen in uw bestandsservers. U kunt configureren dat deze rapporten automatisch worden gegenereerd en per e-mail naar u worden verzonden op gespecificeerde intervallen. U kunt deze rapporten tevens exporteren naar een gewenst formaat. Op deze manier hebt u toegang tot deze rapporten met gebruik van ADAudit Plus:

Meld u aan bij ADAudit Plus → Ga naar het tabblad Bestandsaudit → Onder Bestandsauditrapporten → ga naar het rapport Leestoegang tot bestand.

- De details die u kunt krijgen uit dit rapport, zijn:
  1. Welk bestand werd geopend
  2. Wie het bestand heeft geopend
  3. Wanneer het bestand werd geopend
  4. Vanaf welke clientcomputer het bestand werd geopend
  5. Naam van de server waarop het bestand zich bevindt
U kunt tevens de mislukte pogingen tot lezen schrijven of verwijderen van een bestand naar voren halen. De rapporten bevatten de volgende gegevens:
1. Naam van het bestand
2. Naam van de gebruiker van wie het verzoek is mislukt
3. Tijd waarop behandelingsverzoek werd gedaan
4. Naam van de server waarop het bestand zich bevindt
Met een registratie van alle pogingen om toegang te krijgen tot een bestand (inclusief de mislukte pogingen), worden onderzoeken in geval van een datalek veel gemakkelijker. U kunt alle gebruikers traceren die een bestand hebben geopend om zo mogelijke verdachten uit te sluiten. Het kan tevens helpen bij het identificeren van de clientcomputer waarvan de mislukte pogingen werden gedaan, waarbij dus aanwijzingen worden gegeven van een aangetast systeem. Bovendien worden, in geval van toegangspogingen tot kritieke bestanden of mappen, waarschuwingen in real-time direct naar uw telefoon of e-mail gestuurd.

Bedrijfseigen methode

Met bedrijfseigen audit kunt u als volgt toegang tot bestanden en mappen op een Windows-bestandsserver monitoren:

Stap 1: Schakel het beleid 'Objecttoegang controleren' in
Start de console Groepsbeleidbeheer (Uitvoeren --> gpedit.msc)
Maak een nieuwe GPO aan en koppel het aan het domein dat de bestandsserver bevat of bewerk de bestaande GPO die is gekoppeld aan het desbetreffende domein.
Ga naar Computerconfiguratie → Windows-instellingen → Beveiligingsinstellingen → Lokaal beleid → Auditbeleid.
Onder Auditbeleid selecteert u 'Objecttoegang controleren' en schakel controleren in voor zowel geslaagd als mislukt.
Stap 2: Bewerk auditinvoer in het desbetreffende bestand/map

Zoek het bestand of de map waarvoor u alle toegangspogingen wilt traceren. Klik er met de rechtermuisknop op en ga naar Eigenschappen. Klik onder het tabblad Beveiliging op Geavanceerd.
Ga in Geavanceerde beveiligingsinstellingen naar het tabblad Audit en klik op Toevoegen om een nieuwe auditinvoer toe te voegen.
Voer de volgende details in het dialoogvenster Invoer controleren voor Active Directory in:
1. Hoofd: Voer de namen van de gebruikers in van wie u de toegang wilt controleren.
2. Type: Selecteer het type toegang dat u wilt controleren. Het heeft de voorkeur om "Alle” wijzigingen te controleren.
3. Is van toepassing op: Selecteer hier of u alleen toegang wilt controleren voor dit bestand, of voor alle submappen en bestanden.
4. Basismachtigingen: Kies de soorten machtigingen die u wilt controleren. Klik op 'Geavanceerde machtigingen', en selecteer het controleren van de machtigingen 'Map doorkruisen/Bestand uitvoeren', 'Map vermelden/Gegevens lezen', 'Kenmerken lezen’ en 'Uitgebreide kenmerken lezen'.
Stap 3: Auditlogboeken weergeven in Event Viewer

Bij elke keer dat een gebruiker het geselecteerde bestand/map opent, en de machtiging erop wijzigt, wordt een gebeurtenislogboek geregistreerd in de Event Viewer. Voor het weergeven van dit auditlogboek gaat u naar de Event Viewer. Onder Windows-logboeken selecteer u Beveiliging. U kunt alle auditlogboeken vinden in het middelste deelvenster zoals hieronder weergegeven.
Voor het filteren van de gebeurtenislogboeken voor het weergeven van alleen de logboeken over de wijzigingen van bestands-/mapmachtigingen, selecteert u Huidige logboek filteren in het rechter deelvenster. Zoek gewoon naar de gebeurtenis-ID 4656 en 4663, wat aangeeft dat een bestand/map werd geopend. U kunt zien wie het bestand heeft geopend in het veld “Naam account” en de toegangstijd in het veld “Geregistreerd”.

Met bedrijfseigen AD-audit
Met ADAudit Plus

Uitgebreide rapporten voor het volgen van toegang tot bestanden/mappen met ADAudit Plus

Meld u aan bij ADAudit Plus → Ga naar het tabblad Bestandsaudit → Onder Bestandsauditrapporten → ga naar het rapport Leestoegang tot bestand.

- De details die u kunt krijgen uit dit rapport, zijn:
  1. Welk bestand werd geopend
  2. Wie het bestand heeft geopend
  3. Wanneer het bestand werd geopend
  4. Vanaf welke clientcomputer het bestand werd geopend
  5. Naam van de server waarop het bestand zich bevindt
U kunt tevens de mislukte pogingen tot lezen schrijven of verwijderen van een bestand naar voren halen. De rapporten bevatten de volgende gegevens:
1. Naam van het bestand
2. Naam van de gebruiker van wie het verzoek is mislukt
3. Tijd waarop behandelingsverzoek werd gedaan
4. Naam van de server waarop het bestand zich bevindt
Met een registratie van alle pogingen om toegang te krijgen tot een bestand (inclusief de mislukte pogingen), worden onderzoeken in geval van een datalek veel gemakkelijker. U kunt alle gebruikers traceren die een bestand hebben geopend om zo mogelijke verdachten uit te sluiten. Het kan tevens helpen bij het identificeren van de clientcomputer waarvan de mislukte pogingen werden gedaan, waarbij dus aanwijzingen worden gegeven van een aangetast systeem. Bovendien worden, in geval van toegangspogingen tot kritieke bestanden of mappen, waarschuwingen in real-time direct naar uw telefoon of e-mail gestuurd.

Bedrijfseigen methode

Met bedrijfseigen audit kunt u als volgt toegang tot bestanden en mappen op een Windows-bestandsserver monitoren:

Stap 1: Schakel het beleid 'Objecttoegang controleren' in
Start de console Groepsbeleidbeheer (Uitvoeren --> gpedit.msc)
Maak een nieuwe GPO aan en koppel het aan het domein dat de bestandsserver bevat of bewerk de bestaande GPO die is gekoppeld aan het desbetreffende domein.
Ga naar Computerconfiguratie → Windows-instellingen → Beveiligingsinstellingen → Lokaal beleid → Auditbeleid.
Onder Auditbeleid selecteert u 'Objecttoegang controleren' en schakel controleren in voor zowel geslaagd als mislukt.
Stap 2: Bewerk auditinvoer in het desbetreffende bestand/map

Zoek het bestand of de map waarvoor u alle toegangspogingen wilt traceren. Klik er met de rechtermuisknop op en ga naar Eigenschappen. Klik onder het tabblad Beveiliging op Geavanceerd.
Ga in Geavanceerde beveiligingsinstellingen naar het tabblad Audit en klik op Toevoegen om een nieuwe auditinvoer toe te voegen.
Voer de volgende details in het dialoogvenster Invoer controleren voor Active Directory in:
1. Hoofd: Voer de namen van de gebruikers in van wie u de toegang wilt controleren.
2. Type: Selecteer het type toegang dat u wilt controleren. Het heeft de voorkeur om "Alle” wijzigingen te controleren.
3. Is van toepassing op: Selecteer hier of u alleen toegang wilt controleren voor dit bestand, of voor alle submappen en bestanden.
4. Basismachtigingen: Kies de soorten machtigingen die u wilt controleren. Klik op 'Geavanceerde machtigingen', en selecteer het controleren van de machtigingen 'Map doorkruisen/Bestand uitvoeren', 'Map vermelden/Gegevens lezen', 'Kenmerken lezen’ en 'Uitgebreide kenmerken lezen'.
Stap 3: Auditlogboeken weergeven in Event Viewer

Bij elke keer dat een gebruiker het geselecteerde bestand/map opent, en de machtiging erop wijzigt, wordt een gebeurtenislogboek geregistreerd in de Event Viewer. Voor het weergeven van dit auditlogboek gaat u naar de Event Viewer. Onder Windows-logboeken selecteer u Beveiliging. U kunt alle auditlogboeken vinden in het middelste deelvenster zoals hieronder weergegeven.
Voor het filteren van de gebeurtenislogboeken voor het weergeven van alleen de logboeken over de wijzigingen van bestands-/mapmachtigingen, selecteert u Huidige logboek filteren in het rechter deelvenster. Zoek gewoon naar de gebeurtenis-ID 4656 en 4663, wat aangeeft dat een bestand/map werd geopend. U kunt zien wie het bestand heeft geopend in het veld “Naam account” en de toegangstijd in het veld “Geregistreerd”.

Request Support

Thanks

One of our solution experts will get in touch with you shortly.

Voer een geldige e-mail-ID in

Wanneer u op 'Verzenden' klikt, gaat u akkoord met de verwerking van persoonlijke gegevens conform ons Privacybeleid

Hoe kunt u toegang tot bestanden en mappen op een Windows-bestandsserver monitoren?

Met bedrijfseigen AD-audit

Met ADAudit Plus

Uitgebreide rapporten voor het volgen van toegang tot bestanden/mappen met ADAudit Plus

Bedrijfseigen methode

Stap 1: Schakel het beleid 'Objecttoegang controleren' in

Stap 2: Bewerk auditinvoer in het desbetreffende bestand/map

Stap 3: Auditlogboeken weergeven in Event Viewer

Met bedrijfseigen AD-audit

Met ADAudit Plus

Uitgebreide rapporten voor het volgen van toegang tot bestanden/mappen met ADAudit Plus

Bedrijfseigen methode

Stap 1: Schakel het beleid 'Objecttoegang controleren' in

Stap 2: Bewerk auditinvoer in het desbetreffende bestand/map

Stap 3: Auditlogboeken weergeven in Event Viewer

Request Support

Thanks