Wie überwacht man Datei- und Ordnerzugriff auf Windows-Dateiservern?

Administratoren müssen aus Sicherheits- und Konformitätsgründen im Auge behalten, wer auf die Dateien und Ordner auf Ihren Dateiservern zugreift. Auch bei Untersuchungen von Datenlecks erweist es sich als äußerst hilfreich, wenn Sie wissen, wer auf Ihre Dateien zugriff.

KOSTENLOS herunterladen Kostenlose, voll funktionsfähige 30-tägige Probe
  • Mit nativem AD-Auditing

  • Mit ADAudit Plus

Umfangreiche Berichte zum Verfolgen von Datei-/Ordnerzugriffen mit ADAudit Plus

ADAudit Plus ist eine durchdachte IT-Sicherheits- und Konformitätslösung, die Echtzeitberichte zum Konsolidieren sämtlicher Datei- und Objektzugriffsversuche auf Ihren Dateiservern bietet. Sie können diese Berichte so konfigurieren, dass diese automatisch erstellt und Ihnen zu bestimmten Zeiten per E-Mail zugestellt werden. Obendrein können Sie die Berichte auch in einem Format Ihrer Wahl exportieren. So rufen Sie die Berichte mit ADAudit Plus ab:

Melden Sie sich an ADAudit Plus an. Wechseln Sie zum Dateiaudit-Register. Unter Dateiaudit-Berichte wählen Sie Dateilesezugriff-Bericht.

  • file access report
    • In diesem Bericht finden Sie folgende Details:
      1. Aufgerufene Datei
      2. Name des Anwenders, der auf die Datei zugriff
      3. Zeitpunkt des Dateiaufrufs
      4. Client-Gerät, über das der Zugriff erfolgte
      5. Name des Servers, auf dem sich die Datei befand
    Zusätzlich können Sie fehlgeschlagene Versuche zum Lesen, Beschreiben oder Löschen einer Datei abrufen. Der Bericht enthält folgende Details:
    1. Name der Datei
    2. Name des Nutzers, dessen Zugriff fehlschlug
    3. Zeitpunkt des Versuches
    4. Name des Servers, auf dem sich die Datei befand
    Durch Aufzeichnung sämtlicher Zugriffsversuche auf eine Datei (einschließlich fehlgeschlagener Versuche) lassen sich die Ursachen von Datenlecks deutlich einfacher aufspüren. Zum Aufspüren möglicher Verdächtiger können Sie sämtliche Nutzer rückverfolgen, die auf eine Datei zugriffen. Dies hilft auch beim Identifizieren der Client-Geräte, über die fehlgeschlagene Versuche erfolgten. So kommen Sie Systemen mit Sicherheitsmängeln leichter auf die Spur. Zusätzlich erhalten Sie Echtzeitalarmierungen per SMS oder E-Mail, wenn versucht wird, auf kritische Dateien oder Ordner zuzugreifen.

Natives Verfahren

Mit nativem Auditing überwachen Sie Datei- und Ordnerzugriff auf Windows-Dateiservern so:

  • • Schritt 1: „Objektzugriffsversuche überwachen“-Richtlinie aktivieren
  • • Gruppenrichtlinienverwaltung-Konsole starten (Ausführen > gpedit.msc)

  • • Neues Gruppenrichtlinienobjekt erstellen, mit der Dateiserverdomäne verknüpfen; oder vorhandenes Gruppenrichtlinienobjekt bearbeiten, das bereits mit der relevanten Domäne verknüpft wurde.

  • • Wechsel zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie.

  • • Unter „Überwachungsrichtlinie“ wählen Sie Objektzugriffsversuche überwachen, danach schalten Sie die Überwachung auf Erfolgreich und Fehlgeschlagen ein.

  • • Schritt 2: Überwachung-Eintrag der jeweiligen Datei/des Ordners bearbeiten

    Datei oder Ordner lokalisieren, bei der/dem Sie sämtliche Zugriffsversuche verfolgen möchten. Mit der rechten Maustaste darauf klicken, Eigenschaften aufrufen. Im Sicherheit-Register auf Erweitert klicken.

  • • In den Erweiterten Sicherheitseinstellungen wechseln Sie zum Überwachung-Register, klicken dort zum Hinzufügen eines neuen Überwachungseintrags auf Hinzufügen.

  • • Im Dialogfenster zum Überwachungseintrag für Active Directory geben Sie folgende Details ein:

    1. Prinzipal: Geben Sie die Namen der Nutzer ein, deren Zugriff Sie überwachen möchten.
    2. Typ: Wählen Sie den Zugriffstyp, der überwacht werden soll. Vorzugsweise überwachen Sie „Alles“ an Änderungen.
    3. Gilt für: Hier wählen Sie, ob Sie lediglich den Zugriff auf diese Datei oder auf sämtliche Subordner und Dateien überwachen möchten.
    4. Grundlegende Berechtigungen: Wählen Sie den Berechtigungstyp, der überwacht werden soll. Klicken Sie auf „Erweiterte Berechtigungen“, wählen Sie Berechtigungen zu „Ordner durchsuchen/Datei ausführen“, „Ordner auflisten/Daten lesen“, „Attribute lesen“ und „Erweiterte Attribute lesen“.
  • • Schritt 3: Überwachungsprotokolle der Ereignisanzeige anzeigen

    Wenn Nutzer auf die ausgewählte Datei/den ausgewählten Ordner zugreifen und dessen Berechtigungen ändern, wird ein Ereignisprotokoll in der Ereignisanzeige aufgezeichnet. Zum Abrufen dieses Überwachungsprotokolls rufen Sie die Ereignisanzeige auf. Unter Windows-Protokolle wählen Sie den Eintrag Sicherheit. Sämtliche Überwachungsprotokolle werden nun wie nachstehend dargestellt im mittleren Bereich angezeigt.

  • • Zum Filtern der Ereignisprotokolle, damit lediglich Protokolle zu Datei-/Ordnerberechtigungsänderungen angezeigt werden, wählen Sie Aktuelles Protokoll filtern … im rechten Bereich. Suchen Sie nun nach den Ereignis-IDs 4656 und 4663, die signalisieren, dass eine Datei/ein Ordner geöffnet wurde. Im Feld „Kontoname“ können Sie ablesen, wer auf die Datei zugriff, das „Protokolliert“-Feld zeigt die Zugriffszeit.

Wächst Ihnen natives Auditing ein wenig über den Kopf?

Mit ADAudit Plus machen Sie sich Dateiserverauditing nebst Berichten deutlich einfacher..

Sichern Sie sich Ihre kostenlose 30-tägige Probeversion mit vollem Funktionsumfang

Zoho Corp. Alle Rechte vorbehalten.