Native Überwachung:
1. System-Zugriffssteuerungsliste (SACL) zur Dateiüberwachung einrichten:
- Wählen Sie die Datei zum Auditieren (Überwachen), rufen Sie deren Eigenschaften auf. Wechseln Sie zum Sicherheit-Register → Erweitert → Überwachung → Hinzufügen.
- Wählen Sie als Prinzipal: Jeder. Typ: Alles. Gilt für: Dieser Ordner, Unterordner und Dateien.
- Klicken Sie auf Erweiterte Berechtigungen, wählen Sie Berechtigungen ändern und Besitz übernehmen.
2. Domänenüberwachungsrichtlinie einrichten
- Rufen Sie die Gruppenrichtlinien-Verwaltungskonsole auf, bearbeiten Sie die Standarddomänenrichtlinie.
- Wechseln Sie zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen.
- Wechseln Sie zur Lokale Richtlinien → Überwachungsrichtlinie: Objektzugriffsversuche überwachen. Wählen Sie Erfolgreich und Fehlgeschlagen.
- Wechseln Sie zu Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → Objektzugriff:
- Dateisystem überwachen: Wählen Sie Erfolgreich und Fehlgeschlagen.
- Handleänderung überwachen: Wählen Sie Erfolgreich und Fehlgeschlagen.
- Wechseln Sie zum Ereignisprotokoll, definieren Sie:
- Maximale Größe des Sicherheitsprotokolls – 1 GB.
- Aufbewahrungsmethode des Sicherheitsprotokolls – Ereignisse bei Bedarf überschreiben.
3. Ereignis in der Ereignisanzeige abrufen
Wechseln Sie zu Windows-Sicherheitsprotokolle, suchen Sie nach:
- Ereignis-ID 4663
- Aufgabenkategorie: Dateisystem oder Wechselmedien
Kontoname und Sicherheits-ID zeigen Ihnen, wer Besitzer oder Berechtigungen der Datei/des Ordners änderte.
Einfachere Überwachung von Ordnerberechtigungsänderungen mit ADAudit Plus
Mit den übersichtlichen und klar strukturierten ADAudit-Plus-Berichten erfahren Sie mit einem einzigen Klick, wer Datei-/Ordnerberechtigungen wann und mit welchem Gerät änderte. Exakte Werte zu Berechtigungsänderungen werden ebenfalls gelistet. Diese Berichte lassen sich exportieren, überdies zu automatischer Erstellung zu bestimmten Zeiten vorplanen und pünktlich an Ihren Posteingang zustellen. Darüber hinaus können Sie Alarmierungen konfigurieren, die Sie gleich benachrichtigen, wenn Berechtigungen kritischer Dateien/Ordner geändert werden. So können Sie sofort geeignete Maßnahmen ergreifen.
Melden Sie sich an ADAudit Plus an. Wechseln Sie zum Dateiaudit-Register, rufen Sie unter Dateiaudit-Berichte den Ordnerberechtigungsänderungen-Bericht auf.
In diesem Bericht finden Sie unter anderem diese Details:
- Datei-/Ordnername und Speicherort auf dem Server
- Name des Nutzers, der Berechtigungen änderte
- Werte der neuen und alten Zugriffssteuerungsliste (ACL)
- Geänderte Berechtigungen
- Server, auf dem sich die Datei/der Ordner befindet
- Zeitpunkt der Berechtigungsänderung
Wenn Sie noch genauer wissen möchten, was in der Zugriffssteuerungsliste der Datei/des Ordners verändert wurde, klicken Sie einfach auf den Mehr-Link im Feld Geänderte Berechtigung.
Die neuen und alten Werte der Zugriffssteuerungsliste werden ebenfalls detailliert angegeben.
Alte Zugriffssteuerungsliste:
Neue Zugriffssteuerungsliste:
Beachten Sie, dass in diesem Beispiel Mark Lloyd im Zuge der Berechtigungsänderung Vollzugriff erhielt. Diese Details bilden die Grundlagen weiterer Nachforschung, wenn Sie die Berechtigungsänderung für bösartig halten. Wenn Sie veränderte Berechtigungen gemäß Server filtern möchten, auf dem sich die Dateien/Ordner befinden, wechseln Sie einfach zu Serverbasierte Berichte und rufen dort den Geänderte-Ordnerberechtigungen-Bericht auf. Ein ähnlicher Bericht erscheint, gefiltert nach dem Server Ihrer Wahl. Zum Anzeigen von Berechtigungsänderungen, die von einem bestimmten Nutzer vorgenommen wurden, wechseln Sie zu Nutzerbasierte Berichte, wählen dort den Geänderte-Ordnerberechtigungen-Bericht.
Veränderungen von Datei- und Ordnerberechtigungen im Auge zu behalten, ist unverzichtbar, wenn es auf ungetrübte Dateiintegrität und die Abwendung nicht autorisierter Zugriffe ankommt.
Die obigen Schritte beantworten folgende Fragen zur Überwachung von Datei-/Ordnerberechtigungen:
- Finden Sie heraus, wer Ordnerberechtigungen unter Windows änderte
- So finden Sie heraus, wer Ordnerberechtigungen änderte
- So lassen Sie sich anzeigen, wer Ordnerberechtigungen veränderte
- So bekommt man heraus, wer Ordnerberechtigungen änderte
- Wer änderte Dateiberechtigungen unter Windows?
- Wer änderte Dateiberechtigungen?
- So auditieren Sie Dateiberechtigungsänderungen
- So finden Sie heraus, wer Ordnerberechtigungen änderte
- Software: so finden Sie heraus, wer Ordnerberechtigungen änderte
- So finden Sie heraus, wer Ordnerberechtigungen unter Windows 2003 änderte
- So finden Sie heraus, wer Ordnerberechtigungen unter Windows 2008 R2 änderte
- So finden Sie heraus, wer Ordnerberechtigungen unter Windows 2008 änderte
- So finden Sie Berechtigungsänderungen auf Ordnerebene unter Windows Server 2003
- So verfolgen Sie Ordnerberechtigungsänderungen im Windows-Dateiserver
- So erkennen Sie, ob Datei-und Ordnerberechtigungen auf einem Server verändert wurden
- So auditieren Sie Ordnerberechtigungsänderungen
- So finden Sie heraus, wer Ordnerberechtigungen auf einem Server veränderte
- So finden Sie heraus, wer Berechtigungen freigegebener Ordner änderte
- So überwachen Sie Veränderungen von Datei- und Ordnerberechtigungen
- So prüfen Sie Ordnerberechtigungsänderungen unter Windows Server
- So finden Sie heraus, wer Ordnerzugriffsberechtigungen änderte