Überwachen der Ressourcenattribute für Dateien und Ordner
In diesem Thema, das sich an IT-Experten richtet, wird beschrieben, wie Versuche, Änderungen an den Einstellungen der Ressourcenattribute für die Dateien vorzunehmen, überwacht werden, wenn Sie die erweiterten Sicherheitsüberwachungsoptionen zum Überwachen von dynamischen Zugriffssteuerungsobjekten verwenden.
Wenn Ihre Organisation die Autorisierungskonfiguration für Ressourcen sorgfältig durchdacht hat, können Änderungen an diesen Ressourcenattributen zu potenziellen Sicherheitsrisiken führen. Beispiele:
Ändern von Dateien, die als „hoher Geschäftswert“ markiert wurden, zu einem niedrigen Geschäftswert.
Ändern des Attributs „Retention“ der Dateien, die für die Aufbewahrung markiert wurden.
Ändern des Attributs „Department“ der Dateien, die markiert wurden, dass sie einer bestimmten Abteilung angehören.
Gehen Sie wie folgt vor, um die Einstellungen für das Überwachen von Änderungen an den Ressourcenattributen für Dateien und Ordner zu konfigurieren. In diesen Vorgehensweisen wird davon ausgegangen, dass Sie bereits zentrale Zugriffsrichtlinien in Ihrem Netzwerk konfiguriert und bereitgestellt haben. Weitere Informationen über das Konfigurieren und Bereitstellen von zentralen Zugriffsrichtlinien finden Sie unter Dynamische Zugriffsteuerung: Szenarioübersicht.
Hinweis
Die Funktionsweise des Servers ist möglicherweise abhängig von der Version und der Edition des installierten Betriebssystems, von Ihren Kontoberechtigungen sowie von den Menüeinstellungen.
.gif "Mt431889.wedge(de-de,VS.85).gif")
So überwachen Sie Änderungen an den Ressourcenattributen für Dateien
Melden Sie sich mithilfe Ihrer Domänenadministratoranmeldeinformationen an Ihrem Domänencontroller an.
Zeigen Sie im Server-Manager auf Extras, und klicken Sie dann auf Gruppenrichtlinienverwaltung.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die flexible Zugriffsoption „Gruppenrichtlinienobjekt“, und klicken Sie dann auf Bearbeiten.
Doppelklicken Sie jeweils auf Computerkonfiguration, Sicherheitseinstellungen, Erweiterte Überwachungsrichtlinienkonfiguration, Richtlinienänderung und Autorisierungsrichtlinienänderung überwachen.
Aktivieren Sie jeweils die Kontrollkästchen Folgende Überwachungsereignisse konfigurieren, Erfolgreich, Fehler, und klicken Sie auf OK.
Nachdem Sie die Einstellungen für das Überwachen der Ressourcenattribute für Dateien konfiguriert haben, müssen Sie überprüfen, ob die Änderungen überwacht werden.
So überprüfen Sie, ob die Änderungen an den Ressourcenattributen für Dateien überwacht werden
Verwenden Sie Administratoranmeldeinformationen, um sich beim Server anzumelden, auf dem die zu überwachende Ressource gehostet wird.
Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten gpupdate /force ein, und drücken Sie die EINGABETASTE.
Versuchen Sie, die Ressourceneigenschaften in mindestens einer Datei bzw. mindestens einem Ordner zu ändern.
Klicken Sie im Server-Manager auf Extras und dann auf Ereignisanzeige.
Erweitern Sie Windows-Protokolle, und klicken Sie dann auf Sicherheit.
In Abhängigkeit der Ressourcenattribute, die Sie versuchen zu ändern, sollten Sie nach den folgenden Ereignissen suchen:
Ereignis 4911. In diesem werden Änderungen an Dateiattributen nachverfolgt.
Ereignis 4913. In diesem werden Änderungen an zentralen Zugriffsrichtlinien nachverfolgt.
Zu den wichtigen Informationen, nach denen gesucht werden sollten, zählen der Name und die Kontodomäne des Prinzipals, der versucht, die Ressourcenattribute zu ändern, das Objekt, welches durch den Prinzipal zu ändern versucht wird, und die Informationen über die versuchten Änderungen.