Hoe kunt u wijzigingen aan toegang tot gedeelde mappen controleren?

Het is verplicht om alle toegang tot een bestand/map met gevoelige gegevens te volgen, voor het nakomen van nalevingsvereisten en om te zorgen voor gegevensbeveiliging. Het volgen van gebruikerstoegang tot gedeelde mappen geeft beheerders tevens een betere benutting tijdens onderzoeken naar aanvallen en aanvalspogingen. Op deze manier kunt u gebruikerstoegang tot gedeelde mappen opgeslagen in bestandsservers controleren met gebruik van bedrijfseigen auditmethoden.

Gratis downloaden Download GRATISGratis, volledig functionele proefversie van 30 dagen

  • Met bedrijfseigen AD-audit

  • Met ADAudit Plus

Uitgebreide rapporten voor het volgen van toegang tot bestanden/mappen met ADAudit Plus

ADAudit Plus is een oplossing van IT-beveiliging en naleving die uitgebreide rapporten biedt voor het bundelen van alle informatie die u nodig hebt over toegangspogingen tot bestanden of mappen in uw bestandsservers. Deze rapporten kunnen worden geëxporteerd en tevens worden ingepland voor automatisch genereren op gespecificeerde tijdstippen en leveren aan uw postvak IN. U kunt ook waarschuwingen configureren om u op de hoogte te brengen wanneer toegangsverzoeken worden gedaan in kritieke bestanden/mappen. Op deze manier kunt u onmiddellijk actie ondernemen. Op deze manier hebt u toegang tot deze rapporten met gebruik van ADAudit Plus:

Start ADAudit Plus en meld u aan → Ga naar het tabblad Bestandsaudit → Ga naar Bestandsauditrapporten en selecteer Leestoegang tot bestand.

  • file access report
    • De details die u in dit rapport zult vinden, zijn:
      1. Welk bestand werd geopend
      2. Wie het bestand heeft geopend
      3. Wanneer het bestand werd geopend
      4. Vanaf welke clientcomputer het bestand werd geopend
      5. Naam van de server waarop het bestand zich bevindt
    U kunt tevens de mislukte pogingen tot lezen, schrijven of verwijderen van een bestand naar voren halen. De rapporten bevatten de volgende gegevens:
    1. Naam van het bestand
    2. Naam van de gebruiker van wie het verzoek is mislukt
    3. Tijd waarop behandelingsverzoek werd gedaan Naam van de server waarop het bestand zich bevindt
     Met een registratie van alle pogingen om toegang te krijgen tot een bestand (inclusief mislukte pogingen), worden onderzoeken in geval van een datalek veel gemakkelijker. U kunt alle gebruikers traceren die een bestand hebben geopend om zo mogelijke onbevoegde toegang te detecteren. Het kan tevens helpen bij het identificeren van de clientcomputer waarvan de mislukte pogingen werden gedaan, waarbij dus een aangetast systeem wordt gedetecteerd.

Bedrijfseigen methode

  • Stap 1: Schakel het beleid 'Objecttoegang controleren' in

  • Start de console Groepsbeleidbeheer (Uitvoeren --> gpedit.msc)

  • Maak een nieuwe GPO aan en koppel het aan het domein dat de bestandsserver bevat of bewerk de bestaande GPO die is gekoppeld aan het desbetreffende domein.

  • Ga naar Computerconfiguratie → Windows-instellingen → Beveiligingsinstellingen → Lokaal beleid → Auditbeleid.

  • Onder Auditbeleid selecteert u 'Objecttoegang controleren' en schakel controleren in voor zowel geslaagd als mislukt.

    audit-shared-folder-access-changes-security-setting-audit-object-access

  • Ga naar Geavanceerde configuratie auditbeleid -> Auditbeleid-> Bezwaar maken tegen toegang. Schakel controleren in voor 'Audit bestandssysteem' en 'Audit behandelingsmanipulatie'.

  • Stap 2: Bewerk auditinvoer in het desbetreffende bestand/map

    Zoek het bestand of de map waarvoor u alle toegangspogingen wilt traceren. Klik er met de rechtermuisknop op en ga naar Eigenschappen. Klik onder het tabblad Beveiliging op Geavanceerd.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • Ga in Geavanceerde beveiligingsinstellingen naar het tabblad Audit en klik op Toevoegen om een nieuwe auditinvoer toe te voegen.

    advanced-security-settings-active-directory

  • Voer de volgende details in het dialoogvenster Invoer controleren voor Active Directory in:

    1. Hoofd: Voer de namen van de gebruikers in van wie u de toegang wilt controleren.
    2. Type: Selecteer het type toegang dat u wilt controleren. Het heeft de voorkeur om "Alle” wijzigingen te controleren.
    3. Is van toepassing op: Selecteer of u alleen toegang wilt controleren voor dit bestand, of voor alle submappen en bestanden.
    4. Basismachtigingen: Kies de soorten machtigingen die u wilt controleren. Klik op de knop Geavanceerde machtigingen, en kies “Map doorkruisen/Bestand uitvoeren”, “Map vermelden/Gegevens lezen”, “Kenmerken lezen” en “Uitgebreide kenmerken lezen”.
    auditing-entry-file-access-auditing
  • Stap 3: Auditlogboeken weergeven in Event Viewer

    Bij elke keer dat een gebruiker het geselecteerde bestand/map opent, en de machtiging erop wijzigt, wordt een gebeurtenislogboek geregistreerd in de Event Viewer. Voor het weergeven van dit auditlogboek gaat u naar de Event Viewer. Onder Windows-logboeken selecteer u Beveiliging. U kunt alle auditlogboeken vinden in het middelste deelvenster zoals hieronder weergegeven.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Voor het filteren van de gebeurtenislogboeken voor het weergeven van alleen de logboeken over de wijzigingen van bestands-/mapmachtigingen, selecteert u Huidige logboek filteren in het rechter deelvenster. Zoek gewoon naar de gebeurtenis-ID 4656 en 4663, wat wijzigingen in bestands-/mapmachtigingen aangeeft. U kunt zien wie het bestand heeft geopend in het veld “Naam account” en de toegangstijd in het veld “Geregistreerd”.

  • Met bedrijfseigen AD-audit

  • Met ADAudit Plus

Uitgebreide rapporten voor het volgen van toegang tot bestanden/mappen met ADAudit Plus

ADAudit Plus is een oplossing van IT-beveiliging en naleving die uitgebreide rapporten biedt voor het bundelen van alle informatie die u nodig hebt over toegangspogingen tot bestanden of mappen in uw bestandsservers. Deze rapporten kunnen worden geëxporteerd en tevens worden ingepland voor automatisch genereren op gespecificeerde tijdstippen en leveren aan uw postvak IN. U kunt ook waarschuwingen configureren om u op de hoogte te brengen wanneer toegangsverzoeken worden gedaan in kritieke bestanden/mappen. Op deze manier kunt u onmiddellijk actie ondernemen. Op deze manier hebt u toegang tot deze rapporten met gebruik van ADAudit Plus:

Start ADAudit Plus en meld u aan → Ga naar het tabblad Bestandsaudit → Ga naar Bestandsauditrapporten en selecteer Leestoegang tot bestand.

  • file access report
    • De details die u in dit rapport zult vinden, zijn:
      1. Welk bestand werd geopend
      2. Wie het bestand heeft geopend
      3. Wanneer het bestand werd geopend
      4. Vanaf welke clientcomputer het bestand werd geopend
      5. Naam van de server waarop het bestand zich bevindt
    U kunt tevens de mislukte pogingen tot lezen, schrijven of verwijderen van een bestand naar voren halen. De rapporten bevatten de volgende gegevens:
    1. Naam van het bestand
    2. Naam van de gebruiker van wie het verzoek is mislukt
    3. Tijd waarop behandelingsverzoek werd gedaan Naam van de server waarop het bestand zich bevindt
     Met een registratie van alle pogingen om toegang te krijgen tot een bestand (inclusief mislukte pogingen), worden onderzoeken in geval van een datalek veel gemakkelijker. U kunt alle gebruikers traceren die een bestand hebben geopend om zo mogelijke onbevoegde toegang te detecteren. Het kan tevens helpen bij het identificeren van de clientcomputer waarvan de mislukte pogingen werden gedaan, waarbij dus een aangetast systeem wordt gedetecteerd.

Bedrijfseigen methode

  • Stap 1: Schakel het beleid 'Objecttoegang controleren' in

  • Start de console Groepsbeleidbeheer (Uitvoeren --> gpedit.msc)

  • Maak een nieuwe GPO aan en koppel het aan het domein dat de bestandsserver bevat of bewerk de bestaande GPO die is gekoppeld aan het desbetreffende domein.

  • Ga naar Computerconfiguratie → Windows-instellingen → Beveiligingsinstellingen → Lokaal beleid → Auditbeleid.

  • Onder Auditbeleid selecteert u 'Objecttoegang controleren' en schakel controleren in voor zowel geslaagd als mislukt.

    audit-shared-folder-access-changes-security-setting-audit-object-access

  • Ga naar Geavanceerde configuratie auditbeleid -> Auditbeleid-> Bezwaar maken tegen toegang. Schakel controleren in voor 'Audit bestandssysteem' en 'Audit behandelingsmanipulatie'.

  • Stap 2: Bewerk auditinvoer in het desbetreffende bestand/map

    Zoek het bestand of de map waarvoor u alle toegangspogingen wilt traceren. Klik er met de rechtermuisknop op en ga naar Eigenschappen. Klik onder het tabblad Beveiliging op Geavanceerd.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • Ga in Geavanceerde beveiligingsinstellingen naar het tabblad Audit en klik op Toevoegen om een nieuwe auditinvoer toe te voegen.

    advanced-security-settings-active-directory

  • Voer de volgende details in het dialoogvenster Invoer controleren voor Active Directory in:

    1. Hoofd: Voer de namen van de gebruikers in van wie u de toegang wilt controleren.
    2. Type: Selecteer het type toegang dat u wilt controleren. Het heeft de voorkeur om "Alle” wijzigingen te controleren.
    3. Is van toepassing op: Selecteer of u alleen toegang wilt controleren voor dit bestand, of voor alle submappen en bestanden.
    4. Basismachtigingen: Kies de soorten machtigingen die u wilt controleren. Klik op de knop Geavanceerde machtigingen, en kies “Map doorkruisen/Bestand uitvoeren”, “Map vermelden/Gegevens lezen”, “Kenmerken lezen” en “Uitgebreide kenmerken lezen”.
    auditing-entry-file-access-auditing
  • Stap 3: Auditlogboeken weergeven in Event Viewer

    Bij elke keer dat een gebruiker het geselecteerde bestand/map opent, en de machtiging erop wijzigt, wordt een gebeurtenislogboek geregistreerd in de Event Viewer. Voor het weergeven van dit auditlogboek gaat u naar de Event Viewer. Onder Windows-logboeken selecteer u Beveiliging. U kunt alle auditlogboeken vinden in het middelste deelvenster zoals hieronder weergegeven.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Voor het filteren van de gebeurtenislogboeken voor het weergeven van alleen de logboeken over de wijzigingen van bestands-/mapmachtigingen, selecteert u Huidige logboek filteren in het rechter deelvenster. Zoek gewoon naar de gebeurtenis-ID 4656 en 4663, wat wijzigingen in bestands-/mapmachtigingen aangeeft. U kunt zien wie het bestand heeft geopend in het veld “Naam account” en de toegangstijd in het veld “Geregistreerd”.

Gerelateerde instructies

Request Support

Thanks

One of our solution experts will get in touch with you shortly.

    Voer een geldige e-mail-ID in
  • Wanneer u op 'Verzenden' klikt, gaat u akkoord met de verwerking van persoonlijke gegevens conform ons Privacybeleid

Zoho Corporation Pvt. Ltd. Alle rechten voorbehouden.