Natives Verfahren
Mit nativem Auditing überwachen Sie Datei- und Ordnerzugriff auf Windows-Dateiservern so:
Schritt 1: „Objektzugriffsversuche überwachen“-Richtlinie aktivieren
- Gruppenrichtlinienverwaltung-Konsole starten (Ausführen > gpedit.msc)\
- Neues Gruppenrichtlinienobjekt erstellen, mit der Dateiserverdomäne verknüpfen; oder vorhandenes Gruppenrichtlinienobjekt bearbeiten, das bereits mit der relevanten Domäne verknüpft wurde.
- Wechsel zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie.
- Unter „Überwachungsrichtlinie“ wählen Sie Objektzugriffsversuche überwachen, danach schalten Sie die Überwachung auf Erfolgreich und Fehlgeschlagen ein.
Schritt 2: Überwachung-Eintrag der jeweiligen Datei/des Ordners bearbeiten
- Datei oder Ordner lokalisieren, bei der/dem Sie sämtliche Zugriffsversuche verfolgen möchten. Mit der rechten Maustaste darauf klicken, Eigenschaften aufrufen. Im Sicherheit-Register auf Erweitert klicken.
- In den Erweiterten Sicherheitseinstellungen wechseln Sie zum Überwachung-Register, klicken dort zum Hinzufügen eines neuen Überwachungseintrags auf Hinzufügen.
- Im Dialogfenster zum Überwachungseintrag für Active Directory geben Sie folgende Details ein:
- Prinzipal: Geben Sie die Namen der Nutzer ein, deren Zugriff Sie überwachen möchten.
- Typ: Wählen Sie den Zugriffstyp, der überwacht werden soll. Vorzugsweise überwachen Sie „Alles“ an Änderungen.
- Gilt für: Hier wählen Sie, ob Sie lediglich den Zugriff auf diese Datei oder auf sämtliche Subordner und Dateien überwachen möchten.
- Grundlegende Berechtigungen: Wählen Sie den Berechtigungstyp, der überwacht werden soll. Klicken Sie auf „Erweiterte Berechtigungen“, wählen Sie Berechtigungen zu „Ordner durchsuchen/Datei ausführen“, „Ordner auflisten/Daten lesen“, „Attribute lesen“ und „Erweiterte Attribute lesen“.
Schritt 3: Überwachungsprotokolle der Ereignisanzeige anzeigen
- Wenn Nutzer auf die ausgewählte Datei/den ausgewählten Ordner zugreifen und dessen Berechtigungen ändern, wird ein Ereignisprotokoll in der Ereignisanzeige aufgezeichnet. Zum Abrufen dieses Überwachungsprotokolls rufen Sie die Ereignisanzeige auf. Unter Windows-Protokolle wählen Sie den Eintrag Sicherheit. Sämtliche Überwachungsprotokolle werden nun wie nachstehend dargestellt im mittleren Bereich angezeigt.
- Zum Filtern der Ereignisprotokolle, damit lediglich Protokolle zu Datei-/Ordnerberechtigungsänderungen angezeigt werden, wählen Sie Aktuelles Protokoll filtern … im rechten Bereich. Suchen Sie nun nach den Ereignis-IDs 4656 und 4663, die signalisieren, dass eine Datei/ein Ordner geöffnet wurde. Im Feld „Kontoname“ können Sie ablesen, wer auf die Datei zugriff, das „Protokolliert“-Feld zeigt die Zugriffszeit.
So überprüfen Sie die Anmeldeaktivitäten von Domänencontrollern mit ADAudit Plus
Sobald ADAudit Plus installiert ist, konfiguriert es automatisch die für die Active Directory-Überprüfung erforderlichen Überwachungsrichtlinien.
So aktivieren Sie die automatische Konfiguration: Melden Sie sich an der Webkonsole von ADAudit Plus an → Domäneneinstellungen → Überwachungsrichtlinie: Konfigurieren.
Berechtigungsänderungen in DNS-Einträgen können mit den folgenden Schritten ermittelt werden:
- Melden Sie sich bei ADAudit Plus an.
- Wählen Sie die gewünschte Domäne aus der Dropdown-Liste aus.
- Gehen Sie auf die Kartei Berichte.
- Navigieren Sie zu Benutzeranmeldeberichte.
- Wählen Sie “Domänencontroller-Anmeldeaktivität”.
ADAudit Plus ermöglicht IT-Administratoren, sich ein umfassendes Bild von allen Aktivitäten im Netzwerk ihres Unternehmens zu machen. Die Echtzeit-Überwachungsfunktionen und sofort einsatzbereiten Berichte von ADAudit Plus erleichtern die Verfolgung kritischer Anmeldeereignisse von Domänencontrollern sowie die Erkennung und Vermeidung von Fehlern.
