Active-Directory-Tipp: So überwachen Sie den Datei- und Ordnerzugriff auf Windows-Dateiservern
Administratoren sollten stets im Auge behalten, wer auf die Dateien und Ordner auf ihren Dateiservern zugreifen kann, um Datensicherheit und Compliance zu gewährleisten. Auch bei der Untersuchung von Datenschutzverletzungen erweist es sich als äußerst hilfreich, wenn Sie wissen, wer Zugriff auf Ihre Dateien hatte.
In diesem Tipp zeigen wir Ihnen, wie Sie Zugriffe auf Dateien und Ordner überwachen können. Wir stellen Ihnen dabei zwei mögliche Varianten vor:
Natives Auditing mit Windows-Bordmitteln
Mit dem in Windows integrierten nativem Auditing können Sie Datei- und Ordnerzugriffe auf Windows-Dateiservern folgendermaßen überwachen:
Schritt 1: Richtlinie „Objektzugriffsversuche überwachen“ aktivieren
- Starten Sie die Gruppenrichtlinienverwaltung-Konsole (Group Policy Management Console (GPMC)) mit dem Befehl Ausführen > gpedit.msc
- Erstellen Sie entweder ein neues Gruppenrichtlinienobjekt und verknüpfen Sie es mit der Domäne des zu überwachenden Dateiservers oder bearbeiten Sie ein vorhandenes Gruppenrichtlinienobjekt, das bereits mit der Domäne verknüpft ist.
- Wechseln Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie.
- Wählen Sie Objektzugriffsversuche überwachen aus und aktivieren Sie anschließend die Überwachung für Erfolgreich und Fehlgeschlagen.
Schritt 2: Überwachungseintrag der jeweiligen Datei/des Ordners bearbeiten
- Lokalisieren Sie die Datei oder den Ordner, bei der/dem Sie alle Zugriffsversuche verfolgen möchten. Rufen Sie mit der rechten Maustaste die Eigenschaften auf und klicken Sie im Reiter Sicherheit auf Erweitert.
- Wechseln Sie in den Erweiterten Sicherheitseinstellungen zum Reiter Überwachung und klicken Sie dort auf Hinzufügen, um einen neuen Überwachungseintrag zu erstellen.
- Im Dialogfenster zum Active-Directory-Überwachungseintrag geben Sie folgende Details ein:
- Prinzipal: Geben Sie die Nutzer ein, deren Zugriff Sie überwachen möchten.
- Typ: Wählen Sie den Zugriffstyp, der überwacht werden soll. Vorzugsweise überwachen Sie „Alles“.
- Anwenden auf: Hier wählen Sie, ob Sie lediglich den Zugriff auf diese Datei oder auf sämtliche Subordner und Dateien überwachen möchten.
- Grundlegende Berechtigungen: Wählen Sie den Berechtigungstyp, der überwacht werden soll. Klicken Sie auf „Erweiterte Berechtigungen anzeigen“, wählen Sie Berechtigungen zu „Ordner durchsuchen/Datei ausführen“, „Ordner auflisten/Daten lesen“, „Attribute lesen“ und „Erweiterte Attribute lesen“.
Schritt 3: Überwachungsprotokolle der Ereignisanzeige anzeigen lassen
- Jedes Mal, wenn ein Anwender auf eine Datei/einen Ordner mit den in Schritt 2 beschriebenen Einstellungen zugreifen und dessen Berechtigungen ändern will, wird ein Ereignisprotokoll (Event Log) in der Ereignisanzeige (Event Viewer) aufgezeichnet. Um sich diese Überwachungsprotokolle anzeigen zu lassen, rufen Sie die Ereignisanzeige auf. Unter Windows-Protokolle wählen Sie den Eintrag Sicherheit. Sämtliche Überwachungsprotokolle werden nun wie nachstehend dargestellt im mittleren Bereich angezeigt.
- Um die Ereignisprotokolle so zu filtern, dass nur Protokolle zu Datei-/Ordnerberechtigungsänderungen angezeigt werden, wählen Sie Aktuelles Protokoll filtern … im rechten Bereich. Suchen Sie nun nach den Ereignis-IDs 4656 und 4663, die signalisieren, dass eine Datei/ein Ordner geöffnet wurde. Im Feld Kontoname können Sie ablesen, wer auf die Datei zugegriffen hat, im Feld Protokolliert, wann der Versuch erfolgt ist.
Mit ADAudit Plus
Umfangreiche Berichte zum Verfolgen von Datei-/Ordnerzugriffen in ADAudit Plus
ADAudit Plus ist eine IT-Sicherheits- und -Compliance-Lösung, die in Echtzeit Berichte zu allen Datei- und Objektzugriffsversuchen auf Ihren Dateiservern erstellt. Sie können diese Berichte so konfigurieren, dass sie automatisch erstellt und Ihnen zu bestimmten Zeiten per E-Mail zugestellt werden. Zudem können Sie die Reports auch in einem Format Ihrer Wahl exportieren.
So rufen Sie die Berichte in ADAudit Plus auf:
Melden Sie sich bei ADAudit Plus an. Wechseln Sie zum Reiter File Audit und rufen Sie unter File Audit Reports den Bericht File Read Access auf.
In dem Bericht finden Sie folgende Details:
- Aufgerufene Datei
- Name des Anwenders, der auf die Datei zugegriffen hat
- Zeitpunkt des Dateiaufrufs
- Client-Gerät, über das der Zugriff erfolgte
- Name des Servers, auf dem sich die Datei befand
Darüber hinaus können Sie sich auch die fehlgeschlagenen Lese-, Schreib- oder Lösch-Versuche für eine Datei anzeigen lassen. Die Berichte enthalten folgende Details:
- Name der Datei
- Name des Nutzers, dessen Zugriff fehlgeschlagen ist
- Zeitpunkt des Versuchs
- Name des Servers, auf dem sich die Datei befand
Durch die Aufzeichnung aller Zugriffsversuche auf eine Datei (einschließlich fehlgeschlagener Versuche) lassen sich die Ursachen von Datenlecks deutlich einfacher aufspüren. Sie finden mühelos alle Anwender, die auf eine Datei zugegriffen haben und können so den Kreis der Verdächtigen eingrenzen. Das hilft auch beim Identifizieren des Client-Geräts, über das die fehlgeschlagenen Versuche erfolgten und das möglicherweise kompromittiert ist. Zusätzlich alarmiert Sie ADAudit Plus in Echtzeit per SMS oder E-Mail, wenn versucht wird, auf kritische Dateien oder Ordner zuzugreifen.
Weitere Active-Directory-Tipps: