So erkennt man, wer den Besitzer einer Datei oder eines Ordners geändert hat

Netwrix Auditor for Windows-Dateiserver

1. Starten Sie Netwrix Auditor → Navigieren Sie zu „Suche“ → Klicken Sie auf „Erweiterter Modus“, falls nicht ausgewählt → Richten Sie die folgenden Filter ein:
   • Filter = „Datenquelle“
     Operator = „Gleich“
     Wert = „Dateiserver“
   • Filter = „Details“
     Operator = „Enthält“
     Wert = „Eigentümer geändert“
2. Klicken Sie auf die Schaltfläche „Suchen“ und überprüfen Sie, wer die Besitzer von Dateien oder Ordnern geändert hat.

Um eine Warnung bei Änderungen des Datei- oder Ordnerbesitzers zu erstellen:

1. Navigieren Sie in den Suchergebnissen zu „Tools“ → Klicken Sie auf „Alert erstellen“ → Geben Sie den Namen des neuen Alerts an.
2. Wechseln Sie zur Registerkarte „Empfänger“ → Klicken Sie auf "Empfänger hinzufügen" → Geben Sie die E-Mail-Adresse an, an die der Alarm gesendet werden soll.
3. Klicken Sie auf „Hinzufügen“, um den Alarm zu speichern.

Native Auditing

1. Navigieren Sie zu der benötigten Dateifreigabe → Klicken Sie mit der rechten Maustaste darauf und wählen Sie "Eigenschaften" → Wechseln Sie zum Reiter "Sicherheit" → Klicken Sie auf die Schaltfläche "Erweitert" → Gehen Sie zum Reiter "Überwachung" → Klicken Sie auf die Schaltfläche "Hinzufügen" → Wählen Sie Prinzipal: "Jeder"; Wählen Sie Typ: "Alle"; Wählen Sie Gilt für: "Diesen Ordner, Unterordner und Dateien"; Wählen Sie die folgenden "Erweiterten Berechtigungen": "Berechtigungen ändern und "Besitz übernehmen".
2. Führen Sie gpmc.msc aus → Bearbeiten Sie die "Standarddomänenrichtlinie" → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen.
3. Gehen Sie zu Lokale Richtlinien → Überwachungsrichtlinie:
   • Objektzugriff überwachen → Definieren → Erfolg und Fehler
4. Navigieren Sie zu „Erweiterte Überwachungsrichtlinienkonfiguration“ → Überwachungsrichtlinien → Objektzugriff:
   • Audit File System → Definieren → Erfolge und Fehler
   • Audit Handle Manipulation → Definieren → Erfolge und Fehler
5. Gehe zum Ereignisprotokoll → Definieren:
   • Maximale Sicherheitsprotokollgröße auf 1 GB
   • Methode zur Aufbewahrung des Sicherheitsprotokolls auf „Ereignisse bei Bedarf überschreiben“
6. Öffnen Sie den Ereignisanzeiger → Suchen Sie in den Sicherheits-Windows-Protokollen nach der Ereignis-ID 4663 mit der Aufgabenkategorie "Dateiserver" oder "Wechselmedien" und dem String "Zugriffe: WRITE_OWNER". Die "Subjekt-Sicherheits-ID" zeigt Ihnen, wer den Besitzer einer Datei oder eines Ordners geändert hat.
   

Erfahren Sie mehr über Netwrix Auditor for Windows File Servers

Änderungen an Datei-/Ordnerbesitz schnell erkennen, um das Risiko von Datenverletzungen zu mindern

Jedes Objekt auf einem Dateifreigabe hat einen Eigentümer. Der Eigentümer einer Datei kontrolliert, wer permissions für das Objekt hat; Vollzugriffsberechtigungen sind besonders wichtig, da sie dem Benutzer ermöglichen, die Datei zu lesen, zu kopieren, zu löschen und zu verschieben. Daher erhöht jede Änderung eines Dateieigentümers das Risiko eines unbefugten Zugriffs, der zum Verlust oder zur Weitergabe sensibler Daten führen könnte. IT-Administratoren müssen jede Änderung an einem Dateieigentümer kontinuierlich überwachen und unangemessene Änderungen erkennen, um das Risiko von Datenpannen und Compliance-Verstößen zu mindern.

Netwrix Auditor for Windows File Servers liefert vollständige Transparenz darüber, was auf Ihren Windows-Dateiservern passiert, und stellt aussagekräftige Audit-Daten über alle Änderungen an Dateien und Ordnern bereit, einschließlich der Änderung eines Dateibesitzers. Die Anwendung liefert auch die aktuellen und vergangenen Werte für jede Änderung. Diese Werte helfen Ihnen schnell zu erkennen, wessen Dateibesitz geändert wurde, der alte und der neue Name des Dateibesitzers, wann und wo die Änderung vorgenommen wurde und – am wichtigsten – wer den Dateibesitzer geändert hat.