Der erste Schritt beim Verfolgen, wer Dateien von Ihren Dateiservern löschte, besteht darin, das Auditing auf den Weg zu bringen. Durch Auditing können Sie Windows mitteilen, welche speziellen Änderungen Sie überwachen möchten, damit nur solche Ereignisse im Sicherheitsprotokoll aufgezeichnet werden.

Zum Aktivieren des Auditings objektzugriffrelevanter Ereignisse führen Sie die folgenden Schritte aus:

A. Überwachungsrichtlinien definieren.

  • 1 Führen Sie die Datei gpmc.msc (Group Policy Management Console – Gruppenrichtlinienmanagement-Konsole) aus.
  • 2 Erstellen Sie ein neues Gruppenrichtlinienobjekt.
  • 3 Klicken Sie auf Bearbeiten, wechseln Sie dann zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien.Unter Überwachungsrichtlinien finden Sie spezifische Einstellungen zum Objektzugriff.
    Objektzugriff:
    • Dateisystemaudit > Definieren > Erfolg und Fehlschlag.
    • Manipulationsaudit > Definieren > Erfolg und Fehlschlag.
  • 4 To link the new GPO to your domain, right-click ‹your domain› ,Select Link an Existing GPO and choose the GPO that you created.
Hinweis: Per Vorgabe werden Gruppenrichtlinien alle 90 Minuten von Windows aktualisiert. Wenn die Änderungen sofort umgesetzt werden sollen, können Sie eine Hintergrundaktualisierung sämtlicher Gruppenrichtlinieneinstellungen erzwingen, indem Sie folgenden Befehl über die Windows-Eingabeaufforderung ausführen: gpupdate /force

B. System-Zugriffssteuerungsliste (SACL) definieren.

  • 1 Wechseln Sie zur Dateifreigabe, klicken Sie mit der rechten Maustaste, wählen Sie Eigenschaften. Im Sicherheit-Register wechseln Sie zu Erweitert > Auditing, anschließend klicken Sie auf Hinzufügen.
  • 2 Ein weiteres Fenster erscheint, in dem Sie folgende Auswahlen treffen: Prinzipal: Jeder. Typ: Alle. Gilt für: Diesen Ordner, Unterordner und Dateien.
  • 3 Wählen Sie dann Erweiterte Berechtigungen: Unterordner und Dateien löschen, Löschen.

Zum Anzeigen der Ereignisse öffnen Sie die Ereignisanzeige, wechseln dort zu Windows-Protokolle > Sicherheit. Hier finden Sie Details zu sämtlichen Ereignissen, zu denen Sie Auditing aktivierten. An dieser Stelle können Sie die Größe des Sicherheitsprotokolls definieren, auch auswählen, ob ältere Elemente überschrieben werden sollen, damit aktuelle Ereignisse auch dann aufgezeichnet werden, wenn das Protokoll eigentlich voll ist.

Mit An- und Abmeldungsaktivitäten verknüpfte Ereignis-IDs

Mit An- und Abmeldungsaktivitäten verknüpfte Ereignis-IDs

  • Ereignis-ID 4663 – Zugriff auf ein Objekt wurde versucht

    Die Ereignis-ID 4663 zeigt, welche Aktion exakt mit einem Objekt ausgeführt wurde. Das Objekt kann ein Dateisystem, Kernel, Registrierungsobjekt oder Dateisystemobjekt eines Wechseldatenträgers oder eines Gerätes sein.

  • Ereignis-ID 4660 – Objekt wurde gelöscht

    Allgemeine Identifikatoren, die zum Verknüpfen dieser Ereignisse benötigt werden, sind passende Prozess-IDs und Handle-IDs zu den Ereignis-IDs 4663 und 4660. Auf diese Weise können Sie das gelöschte Objekt in den Ereignis-4663-Details leichter erkennen.

Allgemeine Identifikatoren, die zum Verknüpfen dieser Ereignisse benötigt werden, sind passende Prozess-IDs und Handle-IDs zu den Ereignis-IDs 4663 und 4660. Auf diese Weise können Sie das gelöschte Objekt in den Ereignis-4663-Details leichter erkennen.

Einschränkungen nativer Auditingwerkzeuge

  • Es gibt ein zentrales Depot für sämtliche Änderungsauditprotokolle. Datei- und Ordneraktivitätsprotokolle werden lediglich im Sicherheitsprotokoll einzelner Computer (Workstations oder Windows-Server) aufgezeichnet.
  • Bei Windows-Sicherheitsprotokollen gibt es ein Größenlimit, das sich bei Sicherheitsfragen als maßgebliches Problem erweisen kann.
  • Windows stellt keine Ereignisberichte zur Verfügung, zusätzlich sind die vorhandenen Suchfilter eher etwas, das man – höflich ausgedrückt – als verbesserungswürdig bezeichnen könnte. So wird Ursachenanalyse zur Herausforderung.
  • Das Fehlen zuverlässiger Vorfallbenachrichtigungen in Echtzeit sowie eines Bedrohungsreaktionssystems stellen gewichtige Einschränkungen dar.

Eine einfachere Möglichkeit zum Erkennen, wer Dateien von Ihren Dateiservern löschte

Ein gutes Werkzeug wie ADAudit Plus auditiert Windows-Dateiserver, Failovercluster, NetApp und EMC-Speichergeräte, dokumentiert Änderungen an Dateien und Ordnern. Zusätzlich unterstützt die Software bei der Überwachung von Systemkonfigurationen, Programmdateien und Ordneränderungen, sorgt für Dateiintegrität im gesamten Netzwerk.

ADAudit Plus liefert Ihnen sofortige Berichte zu Folgendem:

  • Dateilesezugriffe.
  • Dateischreibzugriffe.
  • Dateiveränderungen.
  • Erstellte, gelöschte, verschobene, umbenannte, kopierte und eingefügte Dateien.
  • Berechtigungsänderungen.
  • Fehlgeschlagene Zugriffsversuche – und mehr.

Diese Informationen werden Ihnen über eine leicht verständliche Weboberfläche präsentiert, die statistische Daten mit Diagrammen, Grafiken sowie in Listendarstellung mit vorgefertigten und maßgeschneiderten Berichten darstellt.



Detaillierte Grafiken und Berichte zu sämtlichen Windows-Servern im Handumdrehen – mit ADAudit Plus.

File server access reports
ADAudit Plus ist ein webbasiertes Active-Directory-Änderungsauditing-Echtzeitwerkzeug, mit dem
  • Sie sämtliche Änderungen von Windows AD-Objekten einschließlich Nutzern, Gruppen, Computern, Gruppenrichtlinienobjekten und Organisationseinheiten verfolgen.
  • Überwachen Sie sämtliche Nutzeranmeldungs- und -abmeldungsaktivitäten einschließlich sämtlichen erfolgreichen und fehlgeschlagenen Anmeldungsversuchen an Workstationsim gesamten Netzwerk.
  • Auditieren Sie Windows file servers, Windows-Dateiserver, Failovercluster, NetApp und EMC-Speicher, dokumentieren Sie Änderungen an Dateien und Ordnern.
  • Überwachen Sie Änderungen an Systemkonfigurationen, Programmdateien und Ordnern, sorgen Sie für ungetrübte Dateiintegrität.
  • Verfolgen Sie Änderungen sämtlicher Windows-Server, Drucker, und USB-Geräte per Ereignisübersicht.

Wenn Sie mehr darüber erfahren möchten, wie Ihnen ADAudit Plus bei Ihrem gesamten Active-Directory-Auditingbedarf unter die Arme greifen kann,
klicken Sie einfach hier: https://www.manageengine.com/de/active-directory-audit/