Wie man nachverfolgt, wer eine Datei von Ihren Windows-Dateiservern gelöscht hat

Netwrix Auditor for Windows File Servers

1. Starten Sie Netwrix Auditor. Navigieren Sie zu „Reports“ → Klicken Sie auf „File Servers“ → Wählen Sie „File Servers Activity“ → Klicken Sie auf „Files and Folders Deleted“ → Klicken Sie auf „View“.
2. Geben Sie den Servernamen in das Feld „Wo“ ein. Sie können auch den Pfad zu einem bestimmten Ordner angeben, indem Sie % als Platzhalterzeichen verwenden.
3. Überprüfen Sie den Bericht:

Einrichten der Dateisystemüberwachung

1. Navigieren Sie zum Dateifreigabeordner, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Eigenschaften" → Wählen Sie den Tab „Sicherheit" → Klicken Sie auf die Schaltfläche „Erweitert" → Wechseln Sie zum Tab „Überwachung" → Klicken Sie auf die Schaltfläche „Hinzufügen" → Wählen Sie Folgendes aus:
   • Hauptbenutzer: "Jeder"
   • Typ: "Alle"
   • Gilt für: „Diesen Ordner, Unterordner und Dateien“
   • Erweiterte Berechtigungen: „Unterordner und Dateien löschen“ und „Löschen“
2. Starten Sie den Gruppenrichtlinien-Editor (gpedit.msc) und erstellen und bearbeiten Sie eine neue GPO. Gehen Sie speziell zu → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie, und richten Sie wie folgt ein:
   • Audit-Objektzugriff → Definieren → Erfolge und Fehler.
3. Gehen Sie zu "Advanced Audit Policy Configuration" → Audit Policies → Object Access, und richten Sie es wie folgt ein:
   • Audit File System → Definieren → Erfolge und Fehler
   • Audit Handle Manipulation → Definieren → Erfolge und Fehler
4. Verknüpfen Sie die neue GPO mit Ihrem Dateiserver.
5. Wenden Sie Ihre Änderung an, indem Sie ein Gruppenrichtlinien-Update erzwingen: Gehen Sie zu "Gruppenrichtlinienverwaltung" → Rechtsklicken Sie auf die OU → Klicken Sie auf "Gruppenrichtlinien-Update".

Überprüfung von Ereignissen

1. Öffnen Sie die Ereignisanzeige und suchen Sie im Sicherheitsprotokoll nach der Ereignis-ID 4656 mit einer Aufgabenkategorie von "Dateisystem" oder "Wechselmedien" und der Zeichenfolge "Zugriffe: LÖSCHEN".
2. Überprüfen Sie den Bericht. Das Feld "Subject: Security ID" zeigt an, wer jede Datei gelöscht hat.

Erfahren Sie mehr über Netwrix Auditor for Windows File Servers

Führen Sie regelmäßig Audits von Dateilöschungen durch, um Geschäftsunterbrechungen zu verhindern

Wenn eine Datei auf einem Server in Ihrer Domäne gelöscht wird, sei es böswillig oder versehentlich, können Benutzer möglicherweise nicht auf kritische Informationen zugreifen, die sie benötigen, was dazu führen kann, dass wichtige Geschäftsprozesse zum Stillstand kommen. Darüber hinaus ist es ohne angemessene Überwachung von Dateilöschungen und access permission change auditing, unmöglich, Benutzer für ihre Handlungen zur Verantwortung zu ziehen und weitere unbefugte Löschungen zu verhindern.

Microsoft bietet eine native Methode zur Überwachung von Dateilöschungen auf Windows-Dateiservern. Sie müssen jedoch das Auditing bereits aktiviert haben, und der Prozess der Durchsuchung des Windows-Ereignisprotokolls nach gelöschten Dateien kann ziemlich mühsam sein: Sie müssen jedes Ereignis in der Liste öffnen, um die Details zu finden, wie den Namen der Person, die die Datei gelöscht hat, und die Zeit des Ereignisses.

Netwrix Auditor ermöglicht es Ihnen, bösartige oder fehlerhafte Dateilöschungen auf Ihren Windows-Dateiservern, EMC-Speichergeräten und NetApp-Filern einfach zu erkennen und zu untersuchen. In nur wenigen einfachen Schritten können Sie einen klaren Bericht erhalten, der alle Änderungen und Zugriffsereignisse zeigt, einschließlich leicht verständlicher Details zu wer/was/wo/wann. Sie können die Berichte sogar automatisch per E-Mail nach Zeitplan erhalten und Benachrichtigungen über bestimmte Arten von Aktionen bekommen, sodass Sie sofort reagieren können. Die interaktive Suche wird den Untersuchungsprozess vereinfachen und straffen. Netwrix Auditor bietet auch fortgeschrittenes user behavior monitoring, das Sie über anomale Aktivitäten informiert, wie zum Beispiel einen Anstieg von Zugriffsereignissen oder Massendatenlöschungen, sodass Sie handeln können, bevor Sie einen Sicherheitsvorfall, Datenverlust oder Ausfallzeiten erleiden.