Systeemeigen controle
1. De SACL-lijst (system access control list) van de bestandscontrole instellen:
- Selecteer het bestand dat u wilt controleren en ga naar Eigenschappen. Selecteer het tabblad Beveiliging → Geavanceerd → Controleren → Toevoegen.
- Principal selecteren: Iedereen; Type: Alles; Van toepassing op: Deze map, submappen en bestanden.
- Klik op Geavanceerde machtigingen weergeven, selecteer Machtigingen wijzigen en Eigenaar worden.
2. Het controlebeleid van uw domein instellen
- Ga naar uw console Groepsbeleidsbeheer en bewerk het Standaard domeinbeleid.
- Ga naar Computerconfiguratie → Beleid → Windows-instellingen → Beveiligingsinstellingen.
- Ga naar Lokaal beleid → Controlebeleid: Controleer objecttoegang. Selecteer zowel Gelukt als Mislukt.
- Ga naar Geavanceerde configuratie van controlebeleid. → Controlebeleid → Objecttoegang:
- Controlebestandssysteem: Selecteer zowel Gelukt als Mislukt.
- Ingangbewerking controleren: Selecteer zowel Gelukt als Mislukt.
- Ga naar Gebeurtenislogboek en definieer de:
- Maximale grootte van het beveiligingslogboek tot 1GB.
- Bewaarmethode voor het beveiligingslogboek voor het overschrijven van gebeurtenissen zoals nodig.
3. Controleren op de gebeurtenis in Logboeken
Ga naar Windows-beveiligingslogboeken en zoek:
- Gebeurtenis-id 4663
- Taakcategorie: Bestandssysteem of Verwisselbare opslag
De accountnaam en beveiligings-id zal u tonen wie de eigenaar van het bestand/de map of machtigingen heeft gewijzigd.
Controle wijziging vereenvoudigde machtiging met ADAudit Plus
Met de eenvoudige, gemakkelijk leesbare rapporten van ADAudit Plus, hebt u genoeg aan één klik om complete details op te halen van wie de bestands-/mapmachtigingen heeft gewijzigd, wanneer en vanaf welke machine. Ook de exacte waarde van de gewijzigde machtiging wordt weergegeven. Deze rapporten kunnen worden geëxporteerd en gepland om automatisch te worden gegenereerd op bepaalde tijdstippen en in uw Postvak In te worden geleverd. U kunt waarschuwingen ook configureren om u op de hoogte te brengen wanneer machtigingen van kritieke bestanden/mappen worden gewijzigd. Zo kunt onmiddellijk actie ondernemen.
Meld aan bij ADAudit Plus. Ga naar het tabblad Bestandscontrole en navigeer onder Bestandscontrolerapporten naar het rapport Mapmachtigingswijzigingen.
De details die u in dit rapport kunt vinden, omvatten de:
- Bestands-/mapnaam en de locatie ervan op de server
- Naam van de gebruiker die de machtiging heeft gewijzigd
- Waarden van nieuwe en oude ACL-lijst (Access Control List)
- Machtigingen gewijzigd
- Server waarop bestand/map zich bevindt
- Tijdstip waarop de machtiging werd gewijzigd
Klik op de koppeling Meer in het veld Gewijzigde machtiging, om te begrijpen wat er precies is gewijzigd in de ACL van het bestand/de map.
De nieuwe en oude waarden van uw ACL zijn ook in detail opgegeven.
Oude ACL:
Nieuwe ACL:
Houd ermee rekening dat in dit voorbeeld Mark Lloyd de volledige controle heeft gekregen tijdens deze machtigingswijziging. Met deze details kunt u verder onderzoek uitvoeren als u denkt dat de machtigingswijziging boosaardig lijkt. Als u de machtigingen die zijn gewijzigd op basis van de server waar de bestanden/mappen zijn opgeslagen, wilt filteren, schakelt u gewoon naar Op server gebaseerde rapporten en navigeert u naar het rapport Mapmachtigingen gewijzigd. Een soortgelijk rapport, gefilterd op basis van de server die u kiest, wordt weergegeven. Om de machtigingswijzigingen die zijn aangebracht door een specifieke gebruiker weer te geven, gaat u naar Op gebruiker gebaseerde rapporten en selecteert u het rapport Mapmachtigingen gewijzigd.
Het bijhouden van de machtigingswijzigingen van uw bestanden en mappen is kritiek voor het behoud van de bestandsintegriteit en het voorkomen van onbevoegde toegang!.
De bovenstaande stappen beantwoorden de volgende vragen betreffende de controle van bestands-/mapmachtigingen:
- Uitzoeken wie de machtigingen voor een map in Windows heeft gewijzigd
- Controleren wie mapmachtigingen heeft gewijzigd
- Zien wie mapmachtigingen heeft gewijzigd
- Uitmaken wie mapmachtigingen heeft gewijzigd
- Wie bestandsmachtigingen in Windows heeft gewijzigd
- Controleren wie bestandsmachtigingen heeft gewijzigd
- Wijzigingen van bestandsmachtigingen controleren
- Uitzoeken wie mapmachtigingen heeft gewijzigd
- Software: uitzoeken wie mapmachtigingen heeft gewijzigd
- Uitzoeken wie de mapmachtigingen heeft gewijzigd in Windows 2003
- Uitzoeken wie mapmachtigingen heeft gewijzigd in Windows 2008 R2
- Uitzoeken wie mapmachtigingen heeft gewijzigd in Windows 2008
- De machtigingswijzigingen op mapniveau vinden in Windows Server 2003
- De mapmachtigingswijzigingen volgens in Windows-bestandsserver
- Volgen of bestands- en machtigingen zijn gewijzigd op een server
- Wijzigingen van mapmachtigingen controleren
- Uitzoeken wie mapmachtigingen heeft gewijzigd op een server
- Uitzoeken wie gedeelde mapmachtigingen heeft gewijzigd
- Wijzigingen aan bestands- en mapmachtigingen controleren
- De mapmachtigingswijzigingen controleren in Windows Server
- Controleren wie maptoegangsmachtigingen heeft gewijzigd