Um die Dateizugriffsverfolgung verwenden zu können, muss das Auditing für die Dateien und/oder Ordner konfiguriert werden, die Sie mit EventSentry verfolgen würden. Zusätzlich muss die Objektverfolgung entweder durch die Gruppenrichtlinie oder durch die lokale Sicherheitsrichtlinie aktiviert werden.
1. Objektverfolgung aktivieren
Weitere Informationen darüber, wie Sie die Audit-Kategorie für die Objektverfolgung aktivieren können, finden Sie unter Verfolgungsanforderungen. Wenn die Objektverfolgung nicht aktiviert ist, werden die erforderlichen 560 oder 4663 Ereignisse nicht vom Betriebssystem erzeugt, selbst wenn die Überwachung eines Verzeichnisses aktiviert ist.
2. Auditing für eine Datei und/oder einen Ordner aktivieren
Sobald die Objektzugriffsverfolgung aktiviert wurde, müssen Sie das Auditing für die Verzeichnisse konfigurieren, die Sie mit EventSentry überwachen möchten. Sie konfigurieren die Überwachung, indem Sie auf die Ordnereigenschaften im Windows-Explorer zugreifen und auf die erweiterten Sicherheitseigenschaften zugreifen, wie in den folgenden Screenshots gezeigt:
Viewing current file/folder permissions
|
Enabling auditing for file changes and deletions |
List of auditing entries after EVERYONE was added |
|
Die detaillierten Schritte zur Ermöglichung von Audits sind wie folgt:
1. Klicken Sie mit der rechten Maustaste auf den Ordner, in dem Sie die Prüfung aktivieren möchten, und wählen Sie "Eigenschaften".
2. Klicken Sie auf die Registerkarte "Sicherheit".
3. Wählen Sie die Schaltfläche "Erweitert".
4. Wählen Sie die Registerkarte "Überwachung".
5. Klicken Sie auf "Bearbeiten".
6. Klicken Sie auf "Hinzufügen".
7. Geben Sie im Auswahldialog den/die Benutzer und/oder die Gruppe(n) an, die Sie auditieren möchten. Um alle zu auditieren, wählen Sie Everyone
8. Geben Sie im Dialog "Eintrag prüfen" die Art des Zugriffs an, den Sie prüfen möchten, z.B. "Ändern".
9. Klicken Sie mehrmals auf OK, um Ihre Auswahl zu bestätigen.
Auditing-Einträge sind sofort wirksam.
