Im besten Fall gibt es ein klares Berechtigungskonzept, damit Datei- und Verzeichnisberechtigungen nach einem System von den dazu berechtigten Persoen vergeben werden und von vorneherein ausgeschlossen wird, dass Unbefugte Zugriff auf sensible Informationen erhalten. Falls ein solches Konzept nicht vorliegt oder Administratoren sich darüber hinwegsetzen, kann es nützlich sein, nachzuvollziehen, welche Berechtigungen wann von wem verändert wurden.
In der lokalen Gruppenrichtlinien-Verwaltung des Rechners, auf dem das zu überwachende Verzeichnis liegt, oder in einem von diesem Rechner empfangenen Gruppenrichtlinienobjekt konfiguriert man dazu die Richtlinie „Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Objektzugriff\Dateisystem überwachen“ und setzt das Häkchen bei „Erfolg“, um herauszufinden, wann Berechtigungen erfolgreich geändert wurden. In früheren Windows-Versionen (Windows Server 2008 R2, Windows 7) konfiguriert man stattdessen die Richtlinie „Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Objektzugriffsversuche“.
Damit wurde grundsätzlich das Auditing für das Dateisystem aktiviert. Was und wo genau protokolliert wird, muss man allerdings noch festlegen. Schließlich ist es nicht unbedingt zielführend, das Ereignisprotokoll mit Ereignissen in Verzeichnissen zu füllen, die gar nicht interessieren. In den Eigenschaften des Verzeichnisses, das überwacht werden soll, klickt man im Reiter „Sicherheit“ auf „Erweitert“, wechselt dort in den Reiter „Überwachung“ und klickt auf „Hinzufügen“. Danach wählt zunächst den Prinzipal, durch den der zu überwachende Zugriff erfolgen kann (sinvoll ist hier „Jeder“), und in diesem Fall „Berechtigungen ändern“/“Erfolgreich“. Außerdem kann die Einstellung zum Beispiel an Ordner und Dateien weitervererbt werden: Auch hier muss wieder eine Abwägung getroffen werden, wie umfangreich das Ereignisprotokoll werden soll. Und auch hier unterscheidet sich die Benutzeroberfläche in älteren Windows-Versionen; das Prinzip bleibt allerdings das gleiche.
Berichte über erfolgreiche Änderungen der Berechtigungen finden sich in der Ereignisanzeige unter „Windows-Protokolle\Sicherheit“ und der Ereignis-ID 4670. Alternativ filtert man natürlich in der Ereignisanzeige nach der Aufgabenkategorie „Dateisystem“ und dem Schlüsselwort „Überwachung erfolgreich“. Neben der noch klaren Information, mit welchem Benutzerkonto die Änderung unternommen wurde, enthält der Ereignisbericht auch jeweils eine zunächst kryptisch erscheinende Übersicht über den Zustand vor und nach dem Zugriff. Eine ausführliche Übersicht über die Bestandteile des Berichts und wie sie zu interpretieren sind, bietet der Artikel aus der Microsoft-Dokumentation 4670(S): Permissions on an object were changed.
In Abhängigkeit von der Menge der erwarteten zusätzlich zu speichernden Eeignisse muss dem Ereignisprotokoll mehr Speicher bereitgestellt werden oder die Archivierung aktiviert werden. Denn Berichte nützen nur etwas, wenn sie im Ernstfall auch zugänglich sind und gelesen werden.
