Thema:
Wie unter Windows Dateien, Ordner, Verzeichnisse auf Änderungen überwachen




Windows 7 (eventuell auch vorhergehende Windows Versionen wie Windows XP oder Vista) können Dateien, Odner oder Verzeichnisse auf Änderungen überwachen mit Bordmitteln. Die Änderungen werden dann im Eventlog unter "Sicherheit" mitgelogt. Eine Auswertung kann dann mit Scripts oder anderen Tools erfolgen die aus dem Eventlog Daten verarbeiten können.

Hierzu gehen Sie entweder in den Gruppenrichtlinen Editor ihres Domain Controllers, oder öffnen Ihren lokalen Gruppenrichtlinen Editor unter Start, Ausführen mit dem Befehl "gpedit.msc". Dann erhalten Sie folgende Ansicht.


(Klicken Sie auf das Bild um es zu vergrößern)


Dort editieren Sie die Option:
Computerkonfiguration\Richtlinen\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinen
den Punkt:
Objektzugriffe Überwachen
(Siehe Bild unten)


(Klicken Sie auf das Bild um es zu vergrößern)


Alle 3 Haken aktivieren.

Nun haben wir ein Problem.

Damit etwas gelogt wird müssen die SACL Settings eines Verzeichnisses\Ordner oder einer Datei editiert werden.

Dies geht per Domain GPO (was nun beschrieben wird), oder Manuell (habe bisher noch kein DOS Tool gefunden zur unattended einstellen der SACL, sollte ich etwas finden wir das Thema ergänzt).

Im Gruppenrichtlinen Editor der Domain können Sie auf den Punkt gehen:
Computerkonfiguration\Richtlinen\Windows-Einstellungen\Sicherheitseinstellungen\Dateisystem

und mit einem Rechten Mausklick Datei Hinzufügen auswählen.


(Klicken Sie auf das Bild um es zu vergrößern)


Dann wählen Sie ein Ordner\Verzeichnis aus, oder eine Datei. und bekommen folgende Ansicht.


(Klicken Sie auf das Bild um es zu vergrößern)


Dort klicken sie auf Erweitert, und auf die Lasche Überwachung. Hier kann man dann einen User oder Gruppe hinzufügen die überwacht werden soll, also z.B. "Jeder" und man kann auswählen was überwacht werden soll:
- Vollzugriff
- Ordner durchsuchen / Datei ausführen
- Ordner auflisten / Datei lesen
- Attribute lesen
- Erweiterte Attribute lesen
- Dateien erstellen / Daten schreiben
- Ordner erstellen / Daten anhängen
- Attribute schreiben
- Erweiterte Attribute schreiben
- Löschen
- Berechtignungen lesen
- Berechtigungen ändern
- Besitz übernehmen

ACHTUNG !!
Wenn Sie zu viele Sachen überwachen, gerade lese Zugriffe, dann müööen Sie das Eventlog voll, und das bringt auch nicht viel, ausserdem muss man auch wissen das das Mitloggen ebenfalls resourcen frist und wenn man zu viel mitlogt, dann kann das auch zu Problemen führen.

Daher genau testen, bevor man soetwas Flächendeckend einsetzt, bzw. ich würde nur folgendes mitloggen:
- Dateien erstellen / Daten schreiben
- Ordner erstellen / Daten anhängen
- Löschen

Es kommt immer darauf an was man mit dem Logging erreichen will.







(Klicken Sie auf das Bild um es zu vergrößern)


Dann kommt noch folgendes Fenster, wie im Bild mit OK bestätigen.


(Klicken Sie auf das Bild um es zu vergrößern)


Haben Sie keine Domain, und somit keine Domain GPO kann man das ganze manuell machen in dem sie einen rechten Mausklick auf eine Datei, Ordnern\Verzeichnis machen und auf Eigenschaften klicken. Dort auf Sicherheit, Erweitert und die Lasche Überwachung. Dann bekommen Sie auch dieses Fenster und können entsprechende Settings machen wie oben beschrieben.


(Klicken Sie auf das Bild um es zu vergrößern)


Wie schon erwähnt genau diesen Schritt per DOS Befehl automatisieren um die SACL zu bearbeiten habe ich bisher noch leider nicht gefunden. Gerüchte behaupten es gäbe ein VBS Script von Microsoft...


Das Ergebnis findet man im Eventlog. Das Eventlog kann man einsehen unter Windows 7 unter:
Start, Systemsteuerung, System und Sicherheit, Verwaltung, Ereignisanzeige.

In der Ereignisanzeige unter:
Windows Protokolle, Sicherheit.