Im besten Fall gibt es ein klares Berechtigungskonzept, damit Datei- und Verzeichnisberechtigungen nach einem System von den dazu berechtigten Persoen vergeben werden und von vorneherein ausgeschlossen wird, dass Unbefugte Zugriff auf sensible Informationen erhalten. Falls ein solches Konzept nicht vorliegt oder Administratoren sich dar\u00fcber hinwegsetzen, kann es n\u00fctzlich sein, nachzuvollziehen, welche Berechtigungen wann von wem ver\u00e4ndert wurden.<\/p>\n
In der lokalen Gruppenrichtlinien-Verwaltung des Rechners, auf dem das zu \u00fcberwachende Verzeichnis liegt, oder in einem von diesem Rechner empfangenen Gruppenrichtlinienobjekt konfiguriert man dazu die Richtlinie „Computerkonfiguration\\Richtlinien\\Windows-Einstellungen\\Sicherheitseinstellungen\\Erweiterte \u00dcberwachungsrichtlinienkonfiguration\\\u00dcberwachungsrichtlinien\\Objektzugriff\\Dateisystem \u00fcberwachen“<\/strong> und setzt das H\u00e4kchen bei „Erfolg“<\/strong>, um herauszufinden, wann Berechtigungen erfolgreich ge\u00e4ndert wurden. In fr\u00fcheren Windows-Versionen (Windows Server 2008 R2, Windows 7) konfiguriert man stattdessen die Richtlinie „Computerkonfiguration\\Richtlinien\\Windows-Einstellungen\\Sicherheitseinstellungen\\Lokale Richtlinien\\Objektzugriffsversuche“<\/strong>.<\/p>\n Damit wurde grunds\u00e4tzlich das Auditing f\u00fcr das Dateisystem aktiviert. Was und wo genau protokolliert wird, muss man allerdings noch festlegen. Schlie\u00dflich ist es nicht unbedingt zielf\u00fchrend, das Ereignisprotokoll mit Ereignissen in Verzeichnissen zu f\u00fcllen, die gar nicht interessieren. In den Eigenschaften des Verzeichnisses, das \u00fcberwacht werden soll, klickt man im Reiter „Sicherheit“<\/strong> auf „Erweitert“<\/strong>, wechselt dort in den Reiter „\u00dcberwachung“<\/strong> und klickt auf „Hinzuf\u00fcgen“<\/strong>. Danach w\u00e4hlt zun\u00e4chst den Prinzipal, durch den der zu \u00fcberwachende Zugriff erfolgen kann (sinvoll ist hier „Jeder“<\/strong>), und in diesem Fall „Berechtigungen \u00e4ndern“\/“Erfolgreich“<\/strong>. Au\u00dferdem kann die Einstellung zum Beispiel an Ordner und Dateien weitervererbt werden: Auch hier muss wieder eine Abw\u00e4gung getroffen werden, wie umfangreich das Ereignisprotokoll werden soll. Und auch hier unterscheidet sich die Benutzeroberfl\u00e4che in \u00e4lteren Windows-Versionen; das Prinzip bleibt allerdings das gleiche.<\/p>\n Berichte \u00fcber erfolgreiche \u00c4nderungen der Berechtigungen finden sich in der Ereignisanzeige unter „Windows-Protokolle\\Sicherheit“<\/strong> und der Ereignis-ID 4670. Alternativ filtert man nat\u00fcrlich in der Ereignisanzeige nach der Aufgabenkategorie „Dateisystem“<\/strong> und dem Schl\u00fcsselwort „\u00dcberwachung erfolgreich“<\/strong>. Neben der noch klaren Information, mit welchem Benutzerkonto die \u00c4nderung unternommen wurde, enth\u00e4lt der Ereignisbericht auch jeweils eine zun\u00e4chst kryptisch erscheinende \u00dcbersicht \u00fcber den Zustand vor und nach dem Zugriff. Eine ausf\u00fchrliche \u00dcbersicht \u00fcber die Bestandteile des Berichts und wie sie zu interpretieren sind, bietet der Artikel aus der Microsoft-Dokumentation 4670(S): Permissions on an object were changed.<\/a><\/p>\n In Abh\u00e4ngigkeit von der Menge der erwarteten zus\u00e4tzlich zu speichernden Eeignisse muss dem Ereignisprotokoll mehr Speicher bereitgestellt werden oder die Archivierung aktiviert werden. Denn Berichte n\u00fctzen nur etwas, wenn sie im Ernstfall auch zug\u00e4nglich sind und gelesen werden.<\/p>\n","protected":false},"excerpt":{"rendered":" Im besten Fall gibt es ein klares Berechtigungskonzept, damit Datei- und Verzeichnisberechtigungen nach einem System von den dazu berechtigten Persoen vergeben werden und von vorneherein ausgeschlossen wird, dass Unbefugte Zugriff auf sensible Informationen erhalten. Falls ein solches Konzept nicht vorliegt oder Administratoren sich dar\u00fcber hinwegsetzen, kann es n\u00fctzlich sein, nachzuvollziehen, welche Berechtigungen wann von wem… Dateiberechtigungen \u00fcberwachen<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":6,"featured_media":53,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,3],"tags":[],"class_list":["post-51","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gruppenrichtlinien","category-windows","entry"],"_links":{"self":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/51","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/comments?post=51"}],"version-history":[{"count":1,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/51\/revisions"}],"predecessor-version":[{"id":52,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/51\/revisions\/52"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/media\/53"}],"wp:attachment":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/media?parent=51"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/categories?post=51"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/tags?post=51"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}