USB, Kennwörter, Programme

Windows-Praxis: Sicherheit per Gruppenrichtlinien

Überwachung von Dateisystemzugriffen aktivieren

Wollen Sie auf Computern oder Dateiservern den Zugriff auf Dateien überwachen, können Sie das ebenfalls über Richtlinien durchführen. Öffnen Sie die lokale oder Gruppenrichtlinie für den Computer und navigieren Sie anschließend zu Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinien. Die Überwachung der Zugriffe auf das Dateisystem aktivieren Sie über Objektzugriffsversuche überwachen.

Aufsicht: An diesem Punkt können Sie eine Überwachungsrichtlinie konfigurieren.
Aufsicht: An diesem Punkt können Sie eine Überwachungsrichtlinie konfigurieren.

Neben Dateizugriffen überwachen Sie mit dieser Einstellung auch Zugriffe auf Drucker. In der Standardeinstellung ist die Überwachung zunächst nicht aktiviert. Nach der Aktivierung müssen Sie noch auswählen, ob erfolgreiche und/oder fehlgeschlagene Zugriffsversuche protokolliert werden sollen.

Nachdem Sie die Überwachung generell aktiviert haben, müssen Sie die eigentliche Überwachung für die entsprechenden zu überwachenden Dateien und Verzeichnissen einrichten. Öffnen Sie dazu die Eigenschaften des Objekts, also des Verzeichnisses mit den Daten und wählen Sie auf der Registerkarte Sicherheit die Schaltfläche Erweitert. Auf der Registerkarte Überwachung sehen Sie, welche Operationen protokolliert werden. Damit Sie die bei der Überwachung anfallenden Protokolldaten sinnvoll bearbeiten können, sollten Sie von diesen Einschränkungsmöglichkeiten Gebrauch machen und nur das Nötigste protokollieren.

Über Hinzufügen legen Sie die Überwachung fest. Wie bei den NTFS-Berechtigungen gilt auch hier das Prinzip der Vererbung, das Sie bei Bedarf ausschalten können. Nachdem Sie Hinzufügen gewählt haben, können Sie über Ändern den zu überwachenden Benutzer respektive die entsprechende Gruppe auswählen. Wie bei der Vergabe spezieller NTFS-Berechtigungen können Sie angeben, inwieweit sich diese Einstellungen auf untergeordnete Objekte und Verzeichnisse auswirken.

Einrichtung: Hier wird die Überwachung für ein konkretes Verzeichnis festgelegt.
Einrichtung: Hier wird die Überwachung für ein konkretes Verzeichnis festgelegt.

Wählen Sie anschließend im Feld Zugriff aus, welche Zugriffe protokolliert werden sollen und ob Sie erfolgreiche oder fehlgeschlagene Zugriffe protokollieren wollen.

Die Überwachung wird in der Ereignisanzeige protokolliert. Starten Sie die Verwaltungskonsole über eventvwr.msc. In der Ereignisanzeige finden Sie die protokollierten Zugriffsversuche im Sicherheitsprotokoll. Die mit einem Schlüssel gekennzeichneten Einträge stehen für erfolgreiche Zugriffe, wogegen ein Schloss für fehlgeschlagene Zugriffe steht. Genauere Informationen zu einem Eintrag bekommen Sie, wenn Sie ihn öffnen. Ein einzelner Zugriff erzeugt eine ganze Reihe von Einträgen im Sicherheitsprotokoll.