Active-Directory-Tipp: So finden Sie heraus, wer die Berechtigung eines Ordners geändert hat

In diesem Tipp haben wir für Sie zusammengefasst, wie Sie herausfinden können, wer Berechtigungen an einem Ordner geändert hat. Wir stellen Ihnen dabei zwei mögliche Varianten vor:

Falls Sie nachvollziehen möchten, wer die Berechtigungen eines Ordners geändert hat, ist die Aktivierung des Auditings der erste Schritt. Durch das Auditing teilen Sie Windows mit, welche speziellen Änderungen Sie überwachen möchten, damit nur solche Ereignisse im Sicherheitsprotokoll (Security Logs) aufgezeichnet werden.

Mit Windows-Bordmitteln: Natives Auditing mit Windows

1. Einrichten der Systemzugriffskontrollliste (System Access Control List, SACL) der Datei

  • Wählen Sie die Datei, die Sie überwachen möchten, und rufen Sie deren Eigenschaften auf. Wechseln Sie zum Register Sicherheit > Erweitert > Überwachung. Anschließend klicken Sie auf Hinzufügen.
  • Wählen Sie folgendes aus:
    • Prinzipal: Jeder
    • Typ: Alles
    • Gilt für: Diesen Ordner, Unterordner und Dateien
  • Klicken Sie auf Erweiterte Berechtigungen, wählen Sie Berechtigungen ändern und Besitz übernehmen.

2. Audit-Richtlinien für die Domäne einrichten

  • Gehen Sie zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen.
  • Navigieren Sie zu Lokale Richtlinien > Überwachungsrichtlinie: Objektzugriffsversuche überwachen. Wählen Sie Erfolgreich und Fehlgeschlagen.
  • Wechseln Sie zu Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien > Objektzugriff:
    • Dateisystem überwachen: Wählen Sie Erfolg und Fehler.
    • Handleänderung überwachen: Wählen Sie Erfolg und Fehler.
  • Wechseln Sie zum Ereignisprotokoll (Event Log) und definieren Sie in den Eigenschaften:
    • Maximale Größe des Sicherheitsprotokolls – 1 GB
    • Aufbewahrungsmethode des Sicherheitsprotokolls – Ereignisse bei Bedarf überschreiben (älteste Ereignisse zuerst)

3. Ereignis (Event) in der Ereignisanzeige (Event Viewer) aufrufen

Gehen Sie zu Windows-Protokolle / Sicherheit und suchen Sie nach:

  • Ereignis-ID 4663
  • Aufgabenkategorie: Dateisystem oder Wechselmedien

Kontoname und Sicherheits-ID zeigen Ihnen, wer den Besitzer oder die Berechtigungen der Datei/des Ordners geändert hat. 

Mit ADAudit Plus: Einfacheres Änderungs-Monitoring von Ordnerberechtigungen

Mit den übersichtlichen und klar strukturierten Berichten von ADAudit Plus erfahren Sie mit wenigen Klicks, wer Datei-/Ordnerberechtigungen wann und von welchem Gerät aus geändert hat. Die genauen Werte der Berechtigungsänderungen werden dabei ebenfalls aufgelistet. Die Berichte lassen sich exportieren oder können, falls gewünscht, automatisiert zu vordefinierten Zeitpunkten erstellt und per E-Mail in Ihren Posteingang gesendet werden. Darüber hinaus können Sie Alarmierungen konfigurieren, die Sie sofort benachrichtigen, wenn Berechtigungen für kritische Dateien/Ordner geändert werden. So können Sie sofort geeignete Maßnahmen ergreifen.

So sehen Sie in ADAudit Plus, welche Ornderberechtigungen sich geändert haben:

  • Melden Sie sich bei ADAudit Plus an.
  • Wechseln Sie zum Reiter File Audit und rufen Sie unter File Audit Reports den Folder Permission Changes Report auf.
Screenshot ADAudit Plus: Folder Permission Changes Report
Screenshot ADAudit Plus: Rufen Sie den Folder Permission Changes Report unter File Audit Reports auf.

In dem Bericht finden Sie unter anderem folgende Details:

  • Datei-/Ordnername und Speicherort auf dem Server
  • Name des Nutzers, der die Berechtigungen verändert hat
  • Werte der neuen und alten Zugriffssteuerungsliste (Access Control List (ACL))
  • Berechtigungen, die geändert wurden
  • Server, auf dem sich die Datei/der Ordner befindet
  • Zeitpunkt, an dem die Berechtigung geändert wurde

Falls Sie noch genauer wissen möchten, was in der Zugriffssteuerungsliste der Datei/des Ordners verändert wurde, klicken Sie im Feld Permission Modified auf More.

Die neuen und alten Werte der Zugriffssteuerungsliste werden ebenfalls detailliert angegeben.

Alte Zugriffssteuerungsliste:

Neue Zugriffssteuerungsliste:

Wie Sie sehen, hat Mark Lloyd in diesem Beispiel im Zuge der Berechtigungsänderung Vollzugriff erhalten. Derartige Details bilden die Grundlage für weitere Nachforschungen, falls Sie die Berechtigungsänderung für verdächtig halten.

Falls Sie die veränderten Berechtigungen nach dem Server filtern möchten, auf dem sich die Dateien/Ordner befinden, wechseln Sie einfach zu Server Based Reports und rufen dort den Bericht Folder Permissions Changed auf. Ein ähnlicher Bericht erscheint, gefiltert nach dem von Ihnen ausgewählten Server.

Um sich alle Berechtigungsänderungen anzeigen zu lassen, die von einem bestimmten Anwender vorgenommen wurden, wechseln Sie zu User Based Reports und wählen dort den Bericht Folder Permissions Changed. Das Monitoring von Veränderungen der Datei- und Ordnerberechtigungen ist entscheidend, um die Dateiintegrität aufrecht zu erhalten und nicht-autorisierte Zugriffe zu verhindern.

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   +49 8139 9300-13
   Support kontaktieren