Dateien und Verzeichnisse überwachen

Dateien und Verzeichnisse überwachen Sie haben die Möglichkeit, den Zugriff und die Aktionen der Anwender auf Freigaben und Verzeichnisse auf dem SBS-Server zu überwachen und im Ereignisprotokoll anzuzeigen, welche Aktionen die Anwender durchführen. Dabei protokolliert der Server, welcher Anwender erfolgreich oder erfolglos versucht hat, bestimmte Operationen auf Dateien und Verzeichnisse auszuführen. Damit die Überwachung funktioniert, müssen Sie diese zunächst aktivieren. Die Einstellungen dazu nehmen Sie am besten über Gruppenrichtlinien vor (siehe Kapitel 4 und Kapitel 5). Öffnen Sie die Gruppenrichtlinie, mit der Sie die Überwachung durchführen wollen, und navigieren Sie anschließend zu Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie. Die Verwendung von Gruppenrichtlinien behandeln wir auch in Kapitel 4 und Kapitel 5. Die Überwachung der Zugriffe auf das Dateisystem aktivieren Sie über Objektzugriffsversuche überwachen. Neben Dateizugriffen überwachen Sie mit dieser Einstellung auch Zugriffe auf Drucker. In der Standardeinstellung ist die Überwachung zunächst nicht aktiviert. Nach der Aktivierung müssen Sie noch auswählen, ob erfolgreiche und/oder fehlgeschlagene Zugriffsversuche protokolliert werden sollen. Abbildung 6.51 Konfiguration der Überwachungsrichtlinie Nachdem Sie die Überwachung aktiviert haben, müssen Sie die eigentliche Überwachung für die entsprechenden zu überwachenden Dateien und Verzeichnisse zusätzlich aktivieren. Öffnen Sie dazu die Eigenschaften des Objekts und wählen Sie auf der Registerkarte Sicherheit die Schaltfläche Erweitert. Auf der Registerkarte Überwachung sehen Sie, welche Operationen Windows protokollieren soll. Damit Sie die bei der Überwachung anfallenden Protokolldaten sinnvoll bearbeiten können, sollten Sie von diesen Einschränkungsmöglichkeiten Gebrauch machen und nur das Nötigste protokollieren. Über Hinzufügen legen Sie die Überwachung fest. Wie bei den NTFS-Berechtigungen gilt auch hier das Prinzip der Vererbung, das Sie bei Bedarf ausschalten können. Nachdem Sie Hinzufügen gewählt haben, können Sie über Ändern den zu überwachenden Benutzer auswählen. Wie schon bei der Vergabe spezieller NTFS-Berechtigungen können Sie auch hier angeben, inwieweit sich diese Einstellungen auf untergeordnete Objekte und Verzeichnisse auswirken. Wählen Sie anschließend im Feld Zugriff aus, welche Zugriffe protokolliert werden sollen und ob Sie erfolgreiche oder fehlgeschlagene Zugriffe protokollieren möchten. Abbildung 6.52 Konfiguration der Überwachung für ein Verzeichnis Die Protokollierung der Überwachung erfolgt in der Ereignisanzeige. Starten Sie die Verwaltungskonsole durch Eingabe von eventvwr.msc im Suchfeld des Startmenüs oder über den Server-Manager. In der Ereignisanzeige finden Sie die protokollierten Zugriffsversuche im Sicherheitsprotokoll. Die mit einem Schlüssel gekennzeichneten Einträge stehen für erfolgreiche Zugriffe, wogegen ein Schloss für fehlgeschlagene Zugriffe steht. Genauere Informationen zu einem Eintrag erhalten Sie, wenn Sie ihn öffnen. Ein einzelner Zugriff erzeugt eine ganze Reihe von Einträgen im Sicherheitsprotokoll.