Windows Audit Files & Folders – Verfolgen Sie den Dateizugriff durch eine Person

Mit Windows Audit-Dateien und -Ordnern können Sie jede Aktivität verfolgen, die in diesen Dateien und Ordnern aus verschiedenen Gründen stattfindet.

Es gibt viele Gründe, die Aktivität von Dateien und Ordnern in Windows zu verfolgen. Einer der häufigsten Gründe ist der Sicherheitsaspekt, um die Integrität des Systems zu gewährleisten. Wenn Sie die Überwachung von Dateien und Ordnern aktivieren, wissen Sie, wann Benutzer auf Dateien und Ordner zugreifen, sie lesen, erstellen, ändern oder löschen.

Wenn Sie ein „Admin“ sind, können Sie bestimmten Benutzern erlauben, Änderungen an Dateien und Ordnern zu verfolgen und deren Zugriff zu verwalten.

Die Nachverfolgung der Erstellung und Löschung von Dateien und Ordnern ist zwingend erforderlich, um die Datensicherheit zu gewährleisten und die Anforderungen der Compliance-Mandate zu erfüllen. Außerdem hilft es Administratoren bei der Überwachung von Dateien und Ordnern in ihrem System.

Wenn der Hacker im Falle eines Sicherheitsangriffs eine Datei oder einen Ordner löscht, ist es einfacher, ihn bei den Ermittlungen aufzuspüren.

Eine der wirksamsten Methoden zur Aufrechterhaltung der Integrität Ihres Systems ist die Sicherheitsüberprüfung. Sie sollten die Audit-Stufe für Ihre Umgebung als Teil Ihres allgemeinen Sicherheitsplans auswählen. Der Zweck der Prüfung besteht darin, Bedrohungen für Ihr Netzwerk zu finden, unabhängig davon, ob sie erfolgreich sind, sowie Bedrohungen für Ressourcen, die Sie in Ihrer Risikobewertung als wichtig eingestuft haben.

Aktivieren von Audit-Dateien und -Ordnern in Windows 11

Es gibt mehrere Schritte, die Sie durchführen müssen, um die Prüfung von Dateien und Ordnern zu aktivieren. Die Schritte sind:

• Aktivieren Sie Object Access Auditing in der Gruppenrichtlinie.
• Konfigurieren Sie das Auditing für eine Datei oder einen Ordner.
• Anzeigen und Analysieren von Protokollen.

A. Aktivieren Sie Object Access Auditing in der Gruppenrichtlinie.

1. Öffnen Sie den „Local Group Policy Editor“. Sie können ihn öffnen, indem Sie auf die Windows-Start-Schaltfläche klicken und „gpedit“ eintippen. Klicken Sie dann im Suchfeld auf „Edit group policy“.

2. Im Fenster Gruppenrichtlinien-Editor, navigieren Sie zu „Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy. Als nächstes konfigurieren Sie auf der rechten Seite „Audit object access“ durch Doppelklick.

3. Markieren Sie im Fenster „Audit object access Properties“ alle Optionen „Success“ und „Failure“, um jeden Versuch zu prüfen.
4. Then Click the OK button and close the Local Group Policy Editor.

B. Konfigurieren Sie Auditing für eine Datei oder einen Ordner.

1. Öffnen Sie den Datei-Explorer und wählen Sie die Datei oder den Ordner aus, den Sie prüfen möchten. Klicken Sie anschließend mit der rechten Maustaste darauf und wählen Sie die Option „Properties“.
2. Wählen Sie dann im Fenster Eigenschaften die Registerkarte „Security“. Klicken Sie auf der Registerkarte auf die Schaltfläche „Advanced“.

3. Dann öffnet sich das Fenster „Advanced Security Settings“ und Sie wählen die Registerkarte „Auditing. Klicken Sie auf die Schaltfläche „Continue“.
4. Klicken Sie anschließend auf die Schaltfläche „Hinzufügen“.
5. Das Fenster „Auditing entry“ wird geöffnet und Sie klicken auf „Select a principal“.

6. Als nächstes werden Sie aufgefordert, den zu überprüfenden Benutzer auszuwählen. Wählen Sie „Everyone“, um alle Benutzer zu überprüfen, die auf die Datei oder den Ordner zugreifen. Klicken Sie dann auf OK.
7. Zurück im Fenster „Auditing entry“, klicken Sie im Abschnitt „Type“ auf die Dropdown-Schaltfläche und wählen Sie „Alle“. Und im Abschnitt „Basic permissions“ aktivieren Sie die Option „Full Control“.
8. Klicken Sie dann auf die Schaltfläche OK und klicken Sie auch auf alle OK-Schaltflächen in jedem sich öffnenden Fenster, um sie zu übernehmen.

C. Anzeigen und Analysieren von Protokollen.

1. Öffnen Sie den „Event Viewer“. Sie können ihn öffnen, indem Sie auf die Windows-Start-Schaltfläche klicken und „event viewer“ in das Suchfeld eingeben.

2. Navigieren Sie im Fenster der Ereignisanzeige zu „Windows Logs > Security.
3. Sie sehen die Ergebnisse eines Windows-Audits, einschließlich „Audit Success“ und „Audit Failure“. Doppelklicken Sie, um die Details zu sehen.

4. Schieben Sie den Pfeil nach oben oder unten, um weitere Prüfungsergebnisse anzuzeigen.