Ein bekanntes Problem im Office-Betrieb ist, dass „plötzlich“ Dateien verschwunden sind und niemand weiss wer es war. Dieses Problem kann man rudimentär mit Windows-Bordmitteln umgehen oder dem Admin wenigsten einige zusätzliche Handlungsoptionen geben. Die Funktion ist in jedem Windows eingebaut. Egal ob Windows 7, Windows 8, Windows 10, Windows Server 2008 oder Windows Server 2012. Man kann die Überwachung sowohl für lokale Daten als auch für Freigaben nutzen.
Hier beschreibe ich kurz wie man die Freigabeüberwachung aktiviert, konfiguriert und auswertet.
Zunächst muss die Überwachung auf dem Server/PC aktiviert werden. Das kann man per GPO für alle Server machen oder auch in den lokalen Sicherheitsrichtlinen, falls es nur ein Server ist.
1. Öffnen von „Lokale Sicherheitsrichtline“
2. Zu “ Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinie“ navigieren
3. Das Objekt „Objektzugriffsversuche überwachen“ bearbeiten und sowohl „Erfolgreich“ als auch „Fehler“ aktivieren
Danach muss die Überwachung für den entsprechenden Ordner aktiviert werden. Sie wird nicht auf Freigabeebene sondern auf Ordnerebene auf dem entsprechendem Server eingerichtet. Die darauf liegende Freigabe wird dann entsprechend mit Überwacht.
1. Eigenschaften des Ordners öffnen -> Sicherheit -> Erweitert
2. Den Reiter Überwachung öffnen und die Einstellungen wie gewünscht setzen.
Ich habe hier eine Beispielkonfiguration, welche nur mitlogged wenn eine Datei – egal von wem – gelöscht wird. (Da „Verschieben“ auch nur „Kopiere nach, dann lösche“ für Windows ist, werden hiermit die meisten Anforderungen an eine solche Überwachung schon abgefangen. Wenn hier alles aktiviert ist, spamt euch das System ganz schön zu…
Nach diesen beiden einfachen Schritten, können wir nun auf unserem Server nachverfolgen, welcher böse böse User uns immer die Dateien löscht. – Aber wie finden wir das heraus?
Die Logs werden in die Ereignisanzeige von Windows geschrieben. Genauer gesagt unter Windows-Protokolle -> Sicherheit. Eine markante Referenz in diesem Eintrag ist das Wort „DELETE“. Hiernach kann man einfach suchen und bekommt nacheinander alle gelöschten Dateien angezeigt.
Um länger etwas von den Logs zu haben, sollte man die maximale Größe der Sicherheits-Protokolldatei prüfen und bei Bedarf vergrößern.
Flowbit 