So erkennen Sie, wer versucht hat, eine Datei oder einen Ordner auf Ihrem Windows-Dateiserver zu ändern

Native Auditing

1. Navigieren Sie zum erforderlichen Dateifreigabe → Klicken Sie mit der rechten Maustaste darauf und wählen Sie "Eigenschaften".
2. Wechseln Sie zur Registerkarte "Sicherheit" → Klicken Sie auf die Schaltfläche "Erweitert" → Wechseln Sie zur Registerkarte "Überwachung" → Klicken Sie auf die Schaltfläche "Hinzufügen" und definieren Sie die Überwachung:
   • Principal entspricht "Everyone"
   • Typ entspricht "All"
   • Gilt für: „Diesen Ordner, Unterordner und Dateien“.
3. Wählen Sie die folgenden "Advanced Permissions":
   • Ordner durchqueren / Datei ausführen
   • Ordner auflisten / Daten lesen
   • Dateien erstellen /Daten schreiben
   • Ordner erstellen / Daten anhängen
   • Schreiben Sie Attribute.
4. Führen Sie gpedit.msc aus → Gehen Sie zum Menü „Bearbeiten“.
5. Erstellen Sie eine neue Richtlinie → Bearbeiten → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie:
   • Objektzugriff überwachen → Definieren → Erfolge und Fehler
6. Gehen Sie zu „Erweiterte Überwachungsrichtlinienkonfiguration“ → Überwachungsrichtlinien → Objektzugriff:
   • Audit File System → Definieren → Erfolge und Fehler
   • Audit Handle Manipulation → Definieren → Erfolge und Fehler
7. Gehe zum Ereignisprotokoll → Definieren:
   • Maximale Sicherheitsprotokollgröße auf 4 GB
   • Methode zur Aufbewahrung des Sicherheitsprotokolls auf "Ereignisse bei Bedarf überschreiben"
8. Um das neue GPO mit der OU für Dateiserver zu verknüpfen, gehen Sie zu „Group Policy Management“ → Rechtsklicken Sie auf die definierte OU → Wählen Sie „Link an Existing GPO“ → Wählen Sie das von Ihnen erstellte GPO aus.
9. Um das Gruppenrichtlinien-Update zu erzwingen, gehen Sie zu „Gruppenrichtlinienverwaltung“ → Rechtsklick auf die definierte OU → Klicken Sie auf „Gruppenrichtlinien-Update“.
10. Öffnen Sie die Ereignisanzeige → Suchen Sie in den Sicherheits-Windows-Protokollen nach der Ereignis-ID 4656 mit dem Schlüsselwort "Audit Failed", der Aufgabenkategorie "File Server" oder "Removable Storage" und mit den Zeichenfolgen "Accesses: READ_CONTROL" und Zugriffsgründe: "WriteData (oder AddFile) Not granted". "Subject: Security ID" zeigt Ihnen, wer versucht hat, eine Datei zu ändern.

Netwrix Auditor for Windows File Servers

• Netwrix Auditor starten → Navigieren Sie zu „Suche“ → Klicken Sie auf „Erweiterter Modus“, falls nicht ausgewählt → Richten Sie die folgenden Filter ein:
  • Filter = „Datenquelle“
    Operator = „Gleich“
    Wert = „Dateiserver“
  • Filter = „Aktion“
    Operator = „Gleich“
    Wert = „Ändern (Fehlgeschlagener Versuch)“
• Klicken Sie auf die Schaltfläche „Suchen“ und überprüfen Sie, wer versucht hat, Dateien und Ordner auf Ihrem Dateiserver zu ändern.

Um einen Alarm bei fehlgeschlagenen Versuchen, eine Datei oder einen Ordner zu ändern, zu erstellen, gehen Sie wie folgt vor:

• Navigieren Sie in den Suchergebnissen zu „Tools“ → Klicken Sie auf „Alert erstellen“ → Geben Sie den Namen des neuen Alerts an.
• Wechseln Sie zur Registerkarte „Empfänger“ → Klicken Sie auf "Empfänger hinzufügen" → Geben Sie die E-Mail-Adresse an, an die der Alarm gesendet werden soll.
• Klicken Sie auf „Hinzufügen“, um den Alarm zu speichern.