In jedem Unternehmen gibt es Ordner oder Freigaben, die nur von einer bestimmten Gruppe an Benutzern zugegriffen werden dürfen. Je größer die Firma, desto wichtiger ist es Zugriffe (oder versuchte Änderungen) in einer solchen Sicherheitsstruktur zu überwachen. Ich zeige Ihnen wie Sie auf einem Ordner das Logging der Zugriffe aktivieren können und in Server-Eye als Monitoring einbinden.

Zu allererst gibt es zwei Möglichkeiten wie Sie das Auditing (also das Protokollieren der Ereignisse) anschalten können. Zentral über eine GPO oder über die Lokale Sicherheitsrichtlinie.

Verzeichniszugriffe - Policy

Den Wert Objektzugriffsversuche überwachen, finden Sie unter „Lokale Richtlinien –> Überwachungsrichtlinie“ und kann so angepasst werden wie Sie das wünschen.  Zum Beispiel nur erfolgreiche Zugriffe, nur fehlerhafte oder beides.

Mit Schritt 1 sind wir nun fertig. Es gilt die Überwachung des wichtigen Ordners zu aktivieren. Das konfigurieren wir, in den erweiterten Eigenschaften des Ordners unter Sicherheit.

Verzeichniszugriffe - Eigenschaften

Danach können Sie über den Tab „Überwachung“ gezielte Einstellungen vornehmen, von welchem Benutzer Sie Zugriffe protokollieren lassen wollen.

Verzeichnisgzugriff - Überwachung 1    Verzeichnisgzugriff - Überwachung 2 Verzeichnisgzugriff - Überwachung 3

Sie können aber auch einfach Zugriffe von „Jeder“ protokollieren lassen oder fein granulieren. Zum Beispiel nur Änderungen an Dateien oder Berechtigungen. Generell würde ich empfehlen Fehlgeschlagene Zugriffe von „Jeder“ mit „Vollzugriff“ zu protokollieren, da dies für die meisten Szenarien am sinnvollsten ist.

 

Ereignisse zu Verzeichniszugriffen

Wenn sich nun jemand an dem Ordner „vergreifen“ sollte bekommen Sie in der Windows Ereignisanzeige im Protokoll Sicherheit eine Meldung. Genauer gesagt Ereignis ID 4656.

Verzeichniszugriffe - Eventlog

Der Zugriff auf die Datei C:\temp\Install.txt für den Benutzer LAB\testlab wurde verweigert. Wenn man nun die genauen Gründe wissen will, muss man etwas tiefer im Ereignistext graben.

Verzeichniszugriffe - Erweiterte Ausgabe

Es wurden diverse Zugriffe angefordert, wie das schreiben von Daten, die aber nicht gewährt worden sind ( Punkt Datei schreiben : Nicht gewährt). Wenn ein Benutzer, dem die Berechtigung fehlt, versucht die Rechte an einem Ordner zu verändern, sieht das wie folgt aus:

Verzeichniszugriffe - Benutzerrechte

Der Punkt Zugriffe zeigt, dass auf den Ordner versucht wurde die DAC (discretionary access control) zu verändern, was mit einem Write_DAC: Nicht gewährt abgelehnt wurde.

Integration in Server-Eye

Nun wollen wir genau diese Meldungen in unser Monitoring integrieren. Das Stichwort dazu heißt „Ereignisanzeige Abfrage„, ein Sensor der für diese Aufgabe wie geschaffen ist. Erstellen wir also einen Filter in der Windows Ereignisanzeige, welcher unseren Vorstellungen entspricht.

Verzeichniszugriffe - Filterkonfig 1 Verzeichniszugriffe - Filterkonfig 2

Uns reichen die Zugriffsversuche der letzten Stunde, eine Eingrenzung auf das Protokoll Sicherheit und natürlich Event ID 4656. Nun wechseln wir in die XML Ansicht und kopieren uns die Filterabfrage für den Sensor in die Zwischenablage.

 

sensor3

Da die letzten sicherheitsrelevanten Ereignisse noch innerhalb der letzten Stunde stattfanden, bekommen wir auch glatt eine Ausgabe im Sensor.

 

Verzeichniszugriffe - Sensorausgabe

Ein unberechtigter Zugriff auf unser Verzeichnis führt ab jetzt zu einer Meldung im Monitoring. Mission complete!

Verzeichniszugriffe überwachen
3 (60%) 2 vote[s]