Dateisystemzugriffe überwachen

Eine Überwachung der Zugriffe auf eine Datei oder einen Ordner kann aus verschiedenen Gründen sehr viel Sinn machen. Zum einen hat man einen Überblick wie intensiv eine Ressource genutzt wird, zum zweiten erhält man sicherheitstechnische Informationen die mit Hilfe des Sicherheitsprotokols der Ereignissanzeige ausgewertet werden können. Um eine Überwachung zu konfigurieren muß man die Erweiterten Sicherheitseinstellungen editieren und unter der Registerkarte Überwachung erstmal eintragen wer überwacht werden soll.
Hier kann man entweder Computer, Benutzer oder Gruppen der AD auswählen.Nachdem man die zu überwachenden Objekte definiert hat kann man auswählenwas überwacht werden soll (z.B. Dateien löschen) und ob erfolgreich oder fehlgeschlagen bzw. beides überwacht werden soll. Man sollte aber immer bedenken daß eine umfangreiche Überwachung auch Performance kostet, darum sollte man es mit diesem Feature nicht übertreiben. Um die Überwachung scharf zu schalten muß allerdings das ganze noch per Gruppenrichtlinie aktiviert werden. Dazu nutzt man auf einem eigenständigen Server die lokalen Richtlinien und auf einem Domänencontroller die Sicherheitsrichtlinie für Domänencontroller. Hier wählt man Überwachungsrichtlinie/Objektzugriffe überwachen und definiert die Richtlinie.
Will man das ganze mit den AD GPO´s machen geht man unter Computerconfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinien. Ich empfehle eine OU mit dem Namen Überwachte Server zu erstellen und das GPO zu verknüpfen.
Nach diesen Maßnahmen wird vom System jeder definierte Zugriff protokolliert und kann im Sicherheitsprotokoll abgefragt werden. Ich empfehle das Sicherheitsprotokoll nach Kategorien zu sortieren und dann nach dem Ereigniss Objektzugriff suchen zu lassen um einen optimalen Überblick zu gewährleisten. Außerdem kann man noch mit Filtern arbeiten oder das Protokoll extra speichern.


Ähnliche Beiträge

Hinterlasse ein Kommentar

Name
E-Mail
Sedo - Domains kaufen und verkaufen das Projekt pqtuning.de steht zum Verkauf Besucherstatistiken von pqtuning.de etracker Web-Controlling statt Logfile-Analyse