Dateizugriffsverfolgung sammelt alle erfolgreichen Dateizugriffsaktivitäten, die vom Betriebssystem protokolliert werden, wenn das Auditing für ein Verzeichnis und/oder eine Datei aktiviert ist. File Access Tracking umfasst:
• Dateien, die zu einem Verzeichnis hinzugefügt werden
• Dateien, die aus einem Verzeichnis gelöscht werden
• modifizierte Dateien
• andere Dateiänderungen wie z.B. Erlaubnis- oder Eigentumsänderungen
Darüber hinaus kann die Dateizugriffsverfolgung die folgenden Informationen über eine Dateiänderung enthalten:
• Der Benutzername des Benutzers, der die Aktion ausgeführt hat
• Der Computer und/oder die IP-Adresse, von dem/der die Aktion ausgeführt wurde (optional)
• Der Prozess, der die Aktion ausgeführt hat (es sei denn, sie wurde über eine Dateifreigabe ausgeführt)
Unter Datei-Überwachung vs. Dateizugriffsverfolgung finden Sie einen Vergleich zwischen Dateizugriffsverfolgung und Dateiüberwachung. |
Die Dateizugriffsverfolgung funktioniert, indem Ereignis 560 (auf Computern mit Windows 2003 und früher) oder Ereignis 4663 (auf Computern mit Vista und später) überwacht und normalisiert wird und zusätzliche Aktionen durchgeführt werden, um erweiterte Informationen über die Ereignisse zu erhalten (z. B. den Quellcomputer) und die Dateizugriffsaktion zu kategorisieren.
Verwendung der Dateizugriffsverfolgung unter Windows 2003 und früher
Ein Problem mit den 560 Sicherheitsereignissen unter Windows 2003 und früher ist, dass sie nicht nur protokolliert werden, wenn Änderungen an Dateien vorgenommen werden, sondern auch, wenn Änderungen an Dateien angefordert werden. Microsoft® hat mit Windows 2003 so genannte Betriebsereignisse (Ereignis-ID 567) eingeführt, die versuchen, dieses Problem zu lösen, indem sie nur tatsächliche Dateiänderungen im Sicherheitsereignisprotokoll protokollieren. Wir haben jedoch festgestellt, dass die Betriebsereignisse unter Windows 2003 etwas unzuverlässig sind, insbesondere wenn auf Dateien über eine Dateifreigabe über ein Netzwerk zugegriffen wird. Wir haben dieses Problem in unserem Ereignisprotokoll-Blog ausführlich diskutiert. Daher wird die Funktion zur Verfolgung des Dateizugriffs die 567 Ereignisse unter Windows 2003 und früher nicht nutzen, sie werden jedoch unter Vista, Windows Server 2008 und später genutzt.
Um diese Einschränkung auszugleichen, kann EventSentry bestimmte Dateiaktionen manuell verifizieren, indem es eine zusätzliche Verifizierung der Dateien durchführt, wie z.B. die Erstellung von Prüfsummen bei der Änderung von Dateien, oder die Überprüfung ob Dateien tatsächlich gelöscht wurden. Diese Funktion heißt Verify, ist optional und kann aktiviert werden, wenn Sie den Dateizugriff auf Hosts mit Windows Server 2003 (und früher) überwachen.
Verwendung der Dateizugriffsverfolgung unter Vista, Windows Server 2008 und höher
Wenn Sie den Dateizugriff auf Windows Server 2008 und höher überwachen (dies schließt Dateien ein, auf die von Computern über Dateifreigaben zugegriffen wird), dann fängt EventSentry"Operation Events" ab und normalisiert sie, wodurch die zusätzliche Verarbeitung durch die Verifizierungsfunktion (wie oben beschrieben) in den meisten Szenarien unnötig wird.