Die Funktionen Dateiüberwachung (Systemzustand) und Dateizugriffsverfolgung (Sicherheit & Compliance) können zweideutig erscheinen, da sie beide Dateiänderungen überwachen. Die Funktionen sind jedoch recht unterschiedlich und versuchen, unterschiedliche Probleme zu lösen. Die nachstehende Vergleichstabelle umreißt die wichtigsten Unterschiede zwischen diesen Funktionen:
Vergleichs-Übersicht
Feature |
Datei-Überwachung |
Dateizugriffsverfolgung |
Kann Alerts erzeugen, Aktionen auslösen |
Ja |
Nein |
Erfordert, dass NTFS-Auditing für überwachte Ordner aktiviert ist |
Nein |
Ja |
Erfasst den Benutzernamen, der auf die Datei zugegriffen und/oder sie geändert hat |
Nein |
Ja |
Kann den aufrufenden Prozess erfassen, der auf die Datei zugegriffen und/oder sie geändert hat |
Nein |
Ja, je nach Quelle |
Kann den Quellcomputer erfassen, von dem aus auf die Datei zugegriffen wurde und/oder sie verändert wurde |
Nein |
Ja |
Überwacht Prüfsummen |
Ja |
Ja |
Kann den Lesezugriff überwachen |
Nein |
Ja |
Detaillierter Vergleich
System Health -> File Monitoring
Diese Funktion überwacht Dateien in einem oder mehreren bestimmten Verzeichnissen entweder in Echtzeit oder in geplanten Intervallen. Die Dateiüberwachung wurde sowohl mit Blick auf die Sicherheit (Integritätsprüfungen) als auch auf die Systemautomatisierung entwickelt und dient in erster Linie dazu, Warnmeldungen auszugeben oder Aktionen auszulösen, wenn eine Dateiänderung erkannt wird.
Vom Sicherheitsstandpunkt aus gesehen stellt die Dateiüberwachung sicher, dass ausgewählte Dateien (z.B. ausführbare Dateien im SYSTEM32-Verzeichnis, Protokolle von Kreditkartentransaktionen usw.) nicht verändert werden, und dass jede Änderung, die stattfindet, protokolliert wird und optional einen Alarm auslöst.
Aus der Sicht eines Systemadministrators kann es helfen, viele Aufgaben zu automatisieren, die aufgrund von Dateiänderungen in einem Verzeichnis ausgelöst werden. Beispielsweise kann ein Verzeichnis überwacht werden, und jede Datei, die dem Verzeichnis hinzugefügt wird, kann durch eine Prozessaktion automatisch komprimiert werden, oder eine Liste von Benutzern kann benachrichtigt werden, dass eine Datei hinzugefügt wurde. Da Dateiänderungen direkt mit einer Prozessaktion verknüpft werden können, sind die Möglichkeiten, was man tun kann, nur durch die Prozess-/Batchdatei selbst begrenzt.
Ein entscheidender Vorteil der Datei-Überwachungsfunktion ist, dass sie keine zusätzlichen Konfigurationsschritte auf dem Betriebssystem erfordert. Sobald die Datei-Überwachung konfiguriert und die Konfiguration aktiv ist, wird sie sofort wirksam.
|
|
Sicherheit und Compliance -> Dateizugriffsverfolgung
Security & Compliance fängt "Object Access"-Sicherheitsereignisse ab, die vom Betriebssystem erzeugt werden, wenn die Überwachung einer Datei und/oder eines Verzeichnisses aktiviert wurde. Diese Funktion wurde entwickelt, um Verzeichnisse zu überwachen, die vertrauliche oder sicherheitsempfindliche Daten enthalten, und um eine erweiterte Berichterstellung zu ermöglichen, mit der sowohl sicherheits- als auch konformitätsbezogene Anforderungen erfüllt werden können.
Die Dateizugriffsverfolgung kann zwar keine Art von Warnung erzeugen oder Aktionen auslösen, aber sie enthält mehr Informationen über die Dateiänderungen selbst. Der Hauptvorteil besteht darin, dass die Dateizugriffsverfolgung Ihnen oft Auskunft darüber geben kann, wer Änderungen an einer Datei vorgenommen hat und von wo aus.
Je nach Quelle der Dateiänderung können die Daten beispielsweise sowohl den aufrufenden Prozess als auch den Quellcomputer umfassen.
Aufgrund einiger wichtiger architektonischer Unterschiede zwischen den Betriebssystemen von Pre-Vista sind Vista und Windows Server 2008 die bevorzugten Plattformen für diese Funktion, obwohl auch frühere Betriebssysteme unterstützt werden.
Beachten Sie, dass die Dateizugriffsverfolgung voraussetzt, dass die NTFS-Überwachung für jeden Ordner, der überwacht werden soll, aktiviert ist, siehe Voraussetzungen für die Dateizugriffsverfolgung für weitere Informationen. |
