Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Überwachung des Dateizugriffs unter Windows

Überwachung des Dateizugriffs unter Windows

Dec 9, 2022

In diesem Beitrag werden wir uns damit beschäftigen, wie man file access auditing auf einem Windows-Dateiserver konfiguriert und die Herausforderungen bei der Interpretation kritischer Zugriffsereignisse untersuchen.

Hintergrund

Der erste Schritt bei der Entwicklung einer effektiven Audit-Strategie besteht darin, ein gutes Verständnis Ihrer Systeme, Anwendungsfälle und Geschäftsanforderungen zu erlangen, um die Auswirkungen der Konfiguration eines größeren Audit-Umfangs als tatsächlich benötigt zu vermeiden. Je mehr audit policy Einstellungen Sie wählen und je mehr Dateien und Ordner Sie auditieren, desto mehr Arbeit muss der Dateiserver leisten, um die Ereignisse zu protokollieren, desto mehr Speicher wird benötigt, um das Volumen der Ereignisse zu bewältigen, und desto mehr Daten müssen Administratoren durchforsten, um zu verstehen, wer auf was zugreift.

Stellen Sie daher vor der Aktivierung einer Überwachungsrichtlinie sicher, dass Sie folgendes tun:

  • Ermitteln Sie, wo die kritischsten Daten Ihrer Organisation gespeichert sind, und priorisieren Sie, welche Dateien und Ordner auditiert werden müssen.
  • Ermitteln Sie den benötigten Speicherplatz, um die ausgewählten Audit-Einstellungen zu unterstützen.

Ausgewählte verwandte Inhalte:

Konfigurieren der Dateizugriffsüberwachung auf einem Windows-Dateiserver

In diesem Blogbeitrag zeige ich, wie man eine erweiterte Überwachungsrichtlinie über Gruppenrichtlinie auf einem Domänencontroller mit Windows Server 2016 R2 aktiviert. (Wenn Sie nur einen einzelnen Dateiserver haben, könnten Sie stattdessen die lokale Sicherheitsrichtlinie verwenden.)

Die erweiterte Überwachungsrichtlinie ermöglicht es Administratoren, selektiver bei den Arten und der Anzahl der zurückzugebenden Ereignisse zu sein, als dies mit den grundlegenden Überwachungsrichtlinieneinstellungen möglich ist. Insbesondere beim Überwachen des Dateizugriffs bietet die grundlegende Überwachungsrichtlinie eine einzelne Einstellung, während die erweiterte Richtlinie 14 Unterkategorien bereitstellt. In diesem Beispiel werden wir die folgenden Optionen aktivieren:

  • Audit File System — Überwacht Benutzerversuche, auf Dateisystemobjekte zuzugreifen.
  • Audit Handle Manipulation— Erhöht die Sichtbarkeit von fehlgeschlagenen Zugriffsversuchen.
  • Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) über Group Policy Management und geben Sie einen geeigneten Namen ein.
Image
  • Klicken Sie mit der rechten Maustaste auf das neue GPO, um das Fenster des Group Policy Management Editors zu öffnen.
Image
  • Navigieren Sie zu Computerkonfiguration –> Windows-Einstellungen –> Erweiterte Überwachungsrichtlinienkonfiguration –> Überwachungsrichtlinien –> Objektzugriff.
Image
  • Doppelklicken Sie auf Audit File System. Wählen Sie dann Konfigurieren Sie die folgenden Überwachungsereignisse und wählen Sie sowohl Erfolg als auch Fehler. Speichern Sie Ihre Änderungen, indem Sie auf Anwenden klicken und dann auf OK.
Image
  • Doppelklicken Sie auf Audit Handle Manipulation. Wählen Sie Konfigurieren Sie die folgenden Überwachungsereignisse und wählen Sie sowohl Erfolg als auch Fehler. Klicken Sie dann auf Anwenden und danach auf OK.
Image
  • Jetzt müssen wir die neue GPO mit der OU verknüpfen, die die Dateiserver enthält. Klicken Sie in der Gruppenrichtlinienverwaltung mit der rechten Maustaste auf die OU, wählen Sie Link an existing GPO…, wählen Sie die von uns erstellte GPO (File System Access Policy) aus und klicken Sie auf OK, um sie auf die ausgewählte OU anzuwenden. Erzwingen Sie dann, dass die Dateiserver die neue Gruppenrichtlinie überprüfen: Klicken Sie erneut mit der rechten Maustaste auf die OU in der Gruppenrichtlinienverwaltung, klicken Sie auf Group Policy Update und folgen Sie den Schritten im Assistenten.
Image
  • Navigieren Sie zu den Eigenschaften des Sicherheitsprotokolls auf dem Ziel-Windows-Dateiserver. Konfigurieren Sie dann die Maximum log size (KB) und die Aktion, die durchgeführt werden soll, wenn die maximale Ereignisprotokollgröße erreicht ist.
Image
  • Navigieren Sie zum Sicherheitsreiter in den Eigenschaften jedes Zielordners –> klicken Sie auf Erweitert –> wechseln Sie zum Reiter Überwachung –> klicken Sie auf Hinzufügen –>konfigurieren Sie die Überwachungseinstellungen. Angenommen, diese Ordner enthalten die kritischsten Vermögenswerte Ihrer Organisation, werden Sie wahrscheinlich Zugriffsereignisse von allen Benutzern überwachen wollen, indem Sie das Prinzipal „Jeder“ auswählen.
Image

Herausforderungen bei der Überwachung des Dateizugriffs

Lassen Sie uns nun einige der größten Herausforderungen bei der Überwachung des Dateizugriffs betrachten.

Hohes Ereignisvolumen

Administratoren haben oft Schwierigkeiten, die riesige Menge an Überwachungsdaten, die produziert wird, effektiv zu verwalten. Betrachten wir zum Beispiel die Ereignisse, die durch das folgende häufige Szenario erstellt werden:

  1. Ein Benutzer öffnet ein Microsoft Word-Dokument auf einem Dateifreigabe.
  2. Der Benutzer bearbeitet das Dokument.
  3. Der Benutzer speichert und schließt das Dokument.

Dieses gewöhnliche Verhalten würde dazu führen, dass über 200 Ereignisse im Ereignisprotokoll aufgezeichnet werden, wie unten gezeigt. Multiplizieren Sie dies mit der Anzahl der Male, die diese Aktivität täglich von Benutzern durchgeführt wird, und es ist leicht zu erkennen, wie schnell die Aufgabe der Überwachung des Dateizugriffs unhandlich wird!

Image

Hier finden Sie weitere Details zu den Ereignissen, die in unserem einfachen Szenario zurückgegeben werden könnten:

Ereignis-ID

Beschreibung


Details

4656

Ein Handle für ein Objekt wurde angefordert

Dies ist das erste Ereignis, das aufgezeichnet wird, wenn ein Benutzer versucht, auf eine Datei zuzugreifen; es beinhaltet die Art des Zugriffs, die angefordert wird.

4658

Der Handle eines Objekts wurde geschlossen

Dieses Ereignis protokolliert, wann ein Handle zu einem Objekt geschlossen wurde. Es ist nützlich, um zu bestimmen, wie lange eine Datei geöffnet war.

4660

Ein Objekt wurde gelöscht

Dieses Ereignis wird protokolliert, wenn ein Objekt gelöscht wurde. Um herauszufinden, um welches Objekt es sich handelte, müssen Sie es einem entsprechenden 4656 Ereignis zuordnen.

4663

Es wurde versucht, auf ein Objekt zuzugreifen

Dieses Ereignis identifiziert den Versuch einer Operation an einer Datei oder einem Ordner, wie ReadData, WriteData oder Delete.

4670

Die Berechtigungen für ein Objekt wurden geändert

Dieses Ereignis wird protokolliert, wenn Berechtigungen für eine Datei oder einen Ordner geändert wurden. Es zeigt, wer die Änderung vorgenommen hat und die Werte vor und nach der Änderung.

Lärm von temporären Dateien

Das obige Beispiel ergab 230 Ereignisse — aber fast die Hälfte davon wurde für temporäre Dateien protokolliert, die nur für kurze Zeit existierten.

Microsoft Office verwendet temporäre Dateien für verschiedene Zwecke, einschließlich des automatischen Speicherns von Daten während der Bearbeitung, um Speicher freizugeben und Datenverlust zu verhindern. Obwohl dies den Benutzern eine bessere Erfahrung bietet, ist es ein riesiges Kopfzerbrechen für den Administrator, der mit der Verwaltung der Audit-Trail beauftragt ist: Um zu verstehen, auf welche Objekte zugegriffen wird, müssen sie nicht nur mehrere verschiedene Ereignis-IDs korrelieren, sondern auch die Ereignisse identifizieren und aussortieren, die mit temporären Dateien zusammenhängen.

Schwierigkeiten beim Verständnis von Berechtigungsänderungen

Ereignis 4670 wird protokolliert, wenn eine Berechtigung für eine Datei oder einen Ordner geändert wird. Es ist entscheidend, diese Ereignisse zu überwachen, da sie sensible Informationen gefährden können, wie zum Beispiel, wenn einer Gruppe 'Domain Users' eine Ordnerberechtigung hinzugefügt wird. Hier ist ein Beispielereignis:

Image

Ereignis 4670 kann aus mehreren Gründen schwierig zu handhaben sein:

  • Der Sicherheitsdeskriptor wird mit der Security Descriptor Definition Language (SDDL) dargestellt, daher muss der Administrator ihn in ein lesbares Format übersetzen.
  • Nach der Übersetzung muss der Administrator die ursprünglichen und neuen Sicherheitsdeskriptoren mühsam vergleichen, um die geänderten Berechtigungen zu identifizieren.

Korrelation von Ereignissen, um Dateibewegungen zu verstehen

Das Verständnis der Bewegung von Dateien von einem Ort zum anderen kann entscheidend sein, zum Beispiel, wenn die Dokumente eines Benutzers fehlen und gefunden werden müssen. Aber das Verschieben einer Datei, sei es per Drag-and-Drop oder Ausschneiden und Einfügen, erzeugt mehrere Ereignisse, von denen viele 4663 Ereignisse sind. Um zu bestimmen, wohin eine Datei verschoben wurde, müssen Administratoren manuell die irrelevanten Ereignisse herausfiltern und die 4663 Ereignisse korrelieren, die eine passende Handle-ID haben.

Image

Wie kann Netwrix helfen?

Wie wir gesehen haben, überfordert die native Dateizugriffsüberwachung die Administratoren mit so vielen Ereignisdaten und manuellem Filter- und Korrelationsaufwand, dass es kein praktikabler Weg ist, um entscheidende Fragen zum Dateizugriff, Berechtigungsänderungen und Dateibewegungen zu beantworten.

Software für Data Access Governance von Netwrix bietet einen effektiven und skalierbaren Ansatz zur Überwachung von Dateiaktivitäten. Darüber hinaus hilft sie Ihnen, das Risiko von Cybersicherheitsvorfällen zu reduzieren, indem sie Ihnen ermöglicht zu verstehen, wer Zugang zu was hat und den Zugang zu sensiblen Daten strikt zu begrenzen. Sie können:

  • Überwachen Sie Aktivitäten in Ihrem IT-Ökosystem.
  • Reduzieren Sie den Zugriff auf sensible Daten auf das erforderliche Minimum, um das Risiko von Insider Threats zu verringern und den Schaden durch Ransomware und andere Angriffe zu minimieren.
  • Vereinfachen Sie regelmäßige Privilegienbestätigungen durch Datenbesitzer.
  • Schützen Sie sensible Daten, wohin sie auch gehen, mit genauer und konsistenter Kennzeichnung von Inhalten.

FAQ

Wie überwacht man Dateizugriffe in Windows?

Die Überwachung des Dateizugriffs unter Windows erfordert die Aktivierung der Überwachungsrichtlinie für Objektzugriffe und die Konfiguration spezifischer Ordner zur Überwachung. Beginnen Sie damit, die Gruppenrichtlinienverwaltung (gpedit.msc) zu öffnen und navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie. Aktivieren Sie „Objektzugriff überwachen“ für Ereignisse bei Erfolg und Misserfolg. Klicken Sie anschließend mit der rechten Maustaste auf die Ordner, die Sie überwachen möchten, wählen Sie Eigenschaften > Sicherheit > Erweitert > Überwachung und fügen Sie Benutzer oder Gruppen mit den spezifischen Zugriffsarten hinzu, die Sie verfolgen möchten.

Die Herausforderung bei der nativen Windows-Überwachung besteht darin, dass sie riesige Mengen an Protokolldaten ohne Kontext generiert. Sie sehen, wer auf welche Datei zugegriffen hat, aber diese Aktivität mit tatsächlichem Geschäftsrisiko zu verbinden, erfordert manuelle Analyse. Data Security That Starts with Identity bedeutet, nicht nur den Dateizugriff zu verstehen, sondern auch, ob dieser Zugriff mit den Arbeitsverantwortlichkeiten und Geschäftsanforderungen übereinstimmt. Organisationen benötigen Lösungen, die automatisch Dateizugriffsmuster mit Benutzerrollen, Datensensibilität und Compliance-Anforderungen korrelieren, um riskantes Verhalten zu erkennen, bevor es zu einem Sicherheitsvorfall kommt.

Wie aktiviert man die Dateiüberwachung in Windows Server 2016?

Windows Server 2016 Dateiüberwachung Konfiguration folgt einem zweistufigen Prozess: Aktivieren der Überwachungsrichtlinie und Konfigurieren der Ordner-Ebene-Überwachung. Öffnen Sie die Gruppenrichtlinienverwaltungskonsole und navigieren Sie zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Objektzugriff. Aktivieren Sie „Dateisystem überwachen“ für Erfolgs- und Fehlerereignisse. Wenden Sie die Richtlinie mit gpupdate /force an.

Für ordnerspezifisches Auditing, öffnen Sie die Eigenschaften des Zielordners > Sicherheit-Registerkarte > Erweitert > Auditing-Registerkarte. Klicken Sie auf Hinzufügen, um neue Audit-Einträge zu erstellen, indem Sie festlegen, welche Benutzer oder Gruppen überwacht werden sollen und welche Aktionen Audit-Ereignisse auslösen (Lesen, Schreiben, Löschen, Berechtigungen ändern). Windows Server 2016 führte verbesserte Filterfunktionen ein, aber Sie müssen immer noch manuell die Flut von Audit-Daten verwalten. Der Schlüssel liegt darin, sich auf hochwertige Datenrepositories zu konzentrieren und zu verstehen, dass effektives Monitoring die Dateizugriffe in den Kontext der Identität einbindet – nicht einfach alles protokolliert, was sich bewegt.

Wie aktiviert man die Dateiüberwachung in Windows Server 2019?

Windows Server 2019 vereinfacht die Dateiüberwachung mit erweiterten Gruppenrichtlinienoptionen und verbessertem Ereignisfilter. Greifen Sie auf die Erweiterte Überwachungsrichtlinienkonfiguration über die Gruppenrichtlinienverwaltung > Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Objektzugriff zu. Aktivieren Sie „Dateisystem überwachen“ und erwägen Sie, „Dateifreigabe überwachen“ für die Netzwerkzugriffsüberwachung zu aktivieren.

Konfigurieren Sie die Ordnerüberwachung über die Registerkarte Sicherheit > Erweitert > Überwachung, wo Server 2019 eine genauere Kontrolle darüber bietet, welche Dateioperationen Ereignisse generieren. Die Plattform bietet eine bessere Filterung für temporäre Dateien und Systemprozesse, wodurch das Rauschen in Überwachungsprotokollen reduziert wird. Das grundlegende Problem bleibt jedoch bestehen: Rohüberwachungsdaten werden nicht automatisch in Sicherheitseinblicke übersetzt. Sie können jede Dateiberührung protokollieren, aber ohne identitätsbasierten Kontext sammeln Sie Daten anstatt handlungsrelevante Intelligenz. Organisationen konzentrieren sich darauf, Dateizugriffsmuster mit Verhaltensanalysen von Benutzern und Data Classification zu verbinden, um echte Bedrohungen zu identifizieren, anstatt in Logeinträgen zu ertrinken.

Wo werden Audit-Ereignisse des Windows-Dateisystems protokolliert?

Windows-Dateisystem-Audit-Ereignisse werden im Windows-Sicherheitsereignisprotokoll protokolliert, zugänglich über den Ereignisanzeiger unter Windows-Protokolle > Sicherheit. Diese Ereignisse erscheinen typischerweise mit den Ereignis-IDs 4656 (Handle angefordert), 4658 (Handle geschlossen), 4663 (Zugriffsversuch) und 4660 (Objekt gelöscht). Sie können das Sicherheitsprotokoll nach diesen spezifischen Ereignis-IDs filtern, um sich auf die Dateizugriffsaktivität zu konzentrieren.

Das Sicherheitsereignisprotokoll hat Einschränkungen für die Überwachung von Unternehmensdateien. Es füllt sich schnell, Ereignissen fehlt der Geschäftskontext und das Korrelieren von Zugriffsmustern über mehrere Server hinweg wird zu einem manuellen Prozess. Jedes Ereignis zeigt technische Details wie Benutzer-SIDs und Dateipfade, gibt aber nicht an, ob der Zugriff normale Geschäftsaktivitäten oder eine potenzielle Insider-Bedrohung darstellt. Unternehmensgerechte Dateiüberwachung erfordert zentralisierte Protokollsammelung, automatisierte Korrelation mit Identitätsinformationen und intelligente Filterung basierend auf Datensensibilität und Benutzerrollen. Das Ziel ist nicht nur jede Dateiberührung zu erfassen – es geht darum zu verstehen, welche Zugriffsmuster ein tatsächliches Risiko für Ihre Data Security Posture darstellen.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Joe Dibley

Sicherheitsforscher

Security Researcher bei Netwrix und Mitglied des Netwrix Security Research Teams. Joe ist ein Experte für Active Directory, Windows und eine Vielzahl von Unternehmenssoftwareplattformen und -technologien. Joe erforscht neue Sicherheitsrisiken, komplexe Angriffstechniken sowie zugehörige Milderungs- und Erkennungsmaßnahmen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen